Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

in der US-Stadt Oldsmar im Bundesstaat Florida hat Anfang Februar ein Mitarbeiter eines Wasserwerks einen Hackerangriff gestoppt und dadurch eine Trinkwasservergiftung verhindert. Den Tätern war es angesichts fehlender IT-Sicherheitsmaßnahmen des Wasserwerks gelungen, sich die Kontrolle über die Rechner des Wasserwerks zu verschaffen. Der Fall zeigt, wie wichtig technische und organisatorische Maßnahmen zur Datensicherheit in Unternehmen sind, um nicht nur Verletzungen des Schutzes personenbezogener Daten zu verhindern, sondern darüber hinaus auch die Sicherheit und Handlungsfähigkeit eines Unternehmens zu gewährleisten. Über Einzelheiten zu dem Fall und andere aktuelle Entwicklungen, etwa bezogen auf das Bußgeld in Höhe von 14,5 Mio. EUR gegen die Deutsche Wohnen SE, informieren wir Sie in diesem Newsletter.

In dem Schwerpunktthema berichten wir in diesem Monat über die Revision des Datenschutzgesetzes in der Schweiz, von der auch deutsche Unternehmen betroffen sind.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Revision des Datenschutzgesetzes in der Schweiz

Da die Schweiz nicht Mitgliedstaat der EU ist, sind Unternehmen in der Schweiz nicht in gleicher Weise wie europäische Unternehmen von dem Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) umfasst. Die Verordnung kann nach Art. 3 Abs. 2 DSGVO aber auch auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, Anwendung finden, wenn die Datenverarbeitung durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter erfolgt. Voraussetzung hierfür ist, dass die Datenverarbeitung im Zusammenhang damit steht, Betroffenen in der EU Waren oder Dienstleistungen anzubieten oder das Verhalten von Betroffenen in der EU zu beobachten.

Durch die nationalen Gesetze in der Schweiz werden sowohl zentrale Grundgedanken aus dem europäischen Datenschutzrecht übernommen als auch eigene Regelungen aufgestellt. Das Schweizer Parlament hat am 25.09.2020 die Revision des schweizerischen Datenschutzgesetzes (Bundesgesetz über den Datenschutz, DSG) verabschiedet. Der Text ist auf der Internetseite des Schweizer Parlaments abrufbar. Da für die Geltung des neuen Datenschutzgesetzes maßgebend ist, ob eine Datenverarbeitung sich in der Schweiz auswirkt – unabhängig davon, ob sie in der Schweiz oder im Ausland veranlasst wird – können auch deutsche Unternehmen von dem Gesetz betroffen sein.

Wir haben dies zum Anlass genommen, uns gemeinsam mit Julia Bhend von der Rechtsanwaltskanzlei Probst Partner AG vertieft mit der Revision des Datenschutzgesetzes in der Schweiz auseinanderzusetzen. Wir informieren außerdem über die Auswirkungen des Gesetzes für deutsche Unternehmen und wesentliche Unterschiede der schweizerischen Regelungen zu dem in Deutschland geltenden Datenschutzrecht.

Die Probst Partner AG ist, wie BRANDI, Mitglied von PangeaNet, einem Zusammenschluss unabhängiger Rechtsanwaltskanzleien aus über 25 Ländern. Teil des Netzwerks ist eine Praxisgruppe für Datenschutz- und IT-Recht, bestehend aus Experten der beiden Rechtsgebiete aus den verschiedenen Kanzleien. Sowohl Julia Bhend als auch die Mitglieder des Datenschutzteams von BRANDI sind Teil dieser Praxisgruppe, innerhalb derer ein regelmäßiger Austausch über aktuelle Themen stattfindet.

Zum vollständigen Schwerpunktthema

Missbräuchliche Geltendmachung von Betroffenenanfragen

Neben berechtigten Anfragen von Betroffenen ist in letzter Zeit vermehrt zu beobachten, dass teilweise auch Betroffenenanfragen mit dem Ziel geltend gemacht werden, für eine vermeintlich nicht ordnungsgemäße Beantwortung die Zahlung von Schadensersatzbeträgen zu verlangen. Argumentiert wird dabei mit dem Ansatz, dass über die Schadensersatznorm gem. Art. 82 Abs. 1 DSGVO auch der Ersatz von immateriellen Schäden in Betracht kommt. Bei entsprechenden Anfragen liegt dabei häufig die Konstellation zugrunde, dass zunächst über ein Kontaktformular eine Anfrage gestellt wird oder ein Newsletter bestellt werden soll. Nach einiger Zeit erfolgt dann ein Auskunftsverlangen ohne weitere Darlegung mit der Forderung, alle vorliegenden Daten offenzulegen und anschließend zu löschen. Soweit hierauf nicht geantwortet wird oder vermeintlich falsch der Hinweis erfolgt, dass keine Daten vorliegen, droht das Risiko, dass mit Anwaltsschreiben zum einen Ersatzansprüche geltend gemacht werden und zum anderen auch eine Kostenübernahme durchgesetzt werden soll. Das entsprechende Vorgehen ist natürlich rechtlich fragwürdig und die Erfolgsaussichten für eine gerichtliche Geltendmachung sind eher gering, dennoch hoffen die Anspruchsteller offensichtlich auf eine Teilzahlung im Rahmen einer vergleichsweisen Einigung. Die Gesellschaft für Datenschutz und Datensicherheit (GDD) hat zu diesem Aspekt eine Handlungsempfehlung herausgegeben, wie in derartigen Fällen reagiert werden sollte. Aus unserer Sicht ist eine effektive Verteidigungsstrategie auch, sämtliche Betroffenenanfragen im Zweifelsfall über den Datenschutzbeauftragten beantworten zu lassen, um so zu zeigen, dass es einen etablierten Prozess gibt, der nicht erfolgversprechend angegriffen werden kann.

(Dr. Sebastian Meyer)

LG Berlin: Bußgeldbescheid gegen die Deutsche Wohnen SE ist unwirksam

Das Landgericht Berlin hat in erster Instanz den von der Berliner Datenschutzaufsichtsbehörde erlassenen Bußgeldbescheid gegen die Deutsche Wohnen SE aus formalen Gründen als unwirksam angesehen. Die Aufsichtsbehörde hatte im September 2019 ein Bußgeld über 14,5 Mio. EUR gegen das Immobilienunternehmen festgesetzt, weil Mieterdaten nicht datenschutzkonform gespeichert wurden und insbesondere keine rechtzeitige Löschung von Altdaten erfolgt ist. Vorangegangen war eine Vor-Ort-Prüfung des Unternehmens im Juni 2017; im Nachgang sei nach Auffassung der Aufsichtsbehörde keine signifikante Besserung eingetreten. Die Bußgeldhöhe wurde dabei unter anderem damit begründet, dass bewusst eine datenschutzwidrige Archivstruktur angelegt wurde und es sich um langfristigen Verstoß gehandelt hat.

Gegen den Bußgeldbescheid hatte die Deutsche Wohnen SE Einspruch eingelegt, über den das LG Berlin zu entscheiden hatte. Nach Auffassung des Gerichts kommt eine Sanktionierung allerdings nicht in Betracht, soweit dem Unternehmen kein Verschulden nach Leitungspersonen nachgewiesen werden kann. Diese Argumentation deckt sich mit der Auffassung des österreichischen Bundesverwaltungsgerichts, das ein Bußgeld in Höhe von 18 Mio. EUR gegen die österreichische Post aufgehoben hat. Das Landgericht Bonn hat dagegen zwar das Bußgeld gegen das Telekommunikationsunternehmen 1&1 Telecom von 9,5 Mio. EUR auf 900.000 EUR gesenkt, allerdings keine grundsätzlichen Bedenken gegen die Bußgeldpraxis des Bundesdatenschutzbeauftragten geltend gemacht (LG Bonn, Urteil v. 11.11.2020, Az. 29 OWi 1/20). Das LG Bonn hatte das deutsche Ordnungswidrigkeitengesetz in diesem Verfahren in Anlehnung an das Kartellrecht „europarechtskonform“ so ausgelegt, dass Bußgelder auch gegen juristische Personen verhängt werden können, ohne dass ein konkreter Verschuldensvorwurf gegen einzelne Leitungspersonen nachgewiesen werden müsse.

Die Berliner Aufsichtsbehörde hat bereits angekündigt, die Entscheidung nicht akzeptieren zu wollen. Über die Einlegung eines Rechtsmittels muss allerdings formal die Staatsanwaltschaft entscheiden, die von der Aufsichtsbehörde bereits entsprechend kontaktiert wurde. Unabhängig von der endgültigen Klärung der Angelegenheit zeigt sich, dass es für beide Seiten in entsprechenden Bußgeldverfahren zahlreiche Unwägbarkeiten gibt. Auffällig ist weiter, dass bisher weder in Deutschland noch in den anderen Mitgliedsstaaten der EU die bisherigen Bußgeldentscheidungen bei einer gerichtlichen Überprüfung sonderlich häufig bestätigt werden. Je höher die Bußgelder ausfallen, desto eher werden Unternehmen letztlich in eine rechtliche Auseinandersetzung gedrängt, die auf beiden Seiten erhebliche Ressourcen bindet.

Die Entwicklung der Bußgeldpraxis wird in einem Aufsatz der Zeitschrift für Vertriebsrecht genauer beleuchtet und kritisch gewürdigt (Meyer, Bußgelder bei Datenschutzverstößen – Alles nur halb so schlimm?, ZVertriebsR 2021, 1).

(Dr. Sebastian Meyer)

Datenschutzbehörde Norwegen: Bußgeld in Höhe von 9,6 Mio. Euro gegen Grindr angekündigt

Die norwegische Datenschutzbehörde Datatilsynet hat ein Bußgeld in Höhe von 100 Mio. norwegischen Kronen (rund 9,6 Mio. Euro) gegen die Grindr LLC angekündigt. Dem Unternehmen, das die Dating-App Grindr betreibt, werden Verstöße gegen die DSGVO vorgeworfen.

Grindr solle Nutzerdaten mit Dritten geteilt haben, ohne dass für diese Datenverarbeitung eine Rechtsgrundlage bestand. Nach Auffassung der Behörde seien für die Datenübermittlung wirksame Einwilligungen der Nutzer erforderlich gewesen, über die Grindr jedoch nicht verfügt habe. Die Datenschutzerklärung der App hätte zwingend in ihrer Gesamtheit akzeptiert werden müssen, um die App nutzen zu können. Die Nutzer seien jedoch nicht speziell nach ihrer Einwilligung in die Übermittlung ihrer Daten an Dritte gefragt worden. Zudem hätte Grindr die Nutzer nicht in ausreichender Weise über die Datenverarbeitung informiert.

Da sich die Dating-App Grindr vorwiegend an Schwule, Bisexuelle und Transsexuelle richte, lasse die Tatsache der Nutzung der App Rückschlüsse auf die sexuelle Orientierung des Nutzers zu. Es handele sich deshalb um besonders schützenswerte Daten.

Grindr wurde die Gelegenheit gegeben, zu der Ankündigung der Behörde bis zum 15.02.2021 Stellung zu nehmen. Erst danach wird die Behörde ihre endgültige Entscheidung treffen. Ob sich Grindr zu den Vorwürfen geäußert hat, ist bisher nicht bekannt.

(Johanna Schmale)

BVerfG: Fragen zur Auslegung immaterieller Schadenersatzansprüche hätten EuGH vorgelegt werden müssen

Das Bundesverfassungsgericht hat entschieden, dass bei Prüfung der Reichweite eines möglichen datenschutzrechtlichen Schadensersatzanspruchs im Zweifelsfall eine Vorlage zum Europäischen Gerichtshof zu erfolgen hat (BVerfG, Beschluss v. 14.01.2021, Az. 1 BvR 2853/19). In dem konkreten Fall, über den das Bundesverfassungsgericht im Rahmen einer Verfassungsbeschwerde zu entscheiden hatte, verlangte ein Rechtsanwalt in eigener Sache für eine Werbe-E-Mail, die ohne ausreichendes Einverständnis übermittelt wurde, einen Schadensersatz in Höhe von 500 Euro. Einen solchen Schadensersatzanspruch lehnte das Amtsgericht Goslar allerdings ab (AG Goslar, Urteil v. 27.09.2019, Az. 28 C 7/19). Die Ablehnung wurde damit begründet, dass eine einzelne Werbe-E-Mail keine für einen Schadenersatz erforderliche Erheblichkeit bewirken könne. Der Kläger ging hiergegen erfolglos vor und erhob nach Erschöpfung der sonstigen Rechtsmittel Verfassungsbeschwerde. Das BVerfG kam dabei zu dem Ergebnis, das AG Goslar habe durch seine Entscheidung das Recht des Klägers auf den gesetzlichen Richter nach Art. 101 Abs. 1 S. 2 Grundgesetz verletzt. Es habe in letzter Instanz entgegen seiner Zuständigkeit entschieden und relevante Rechtsfragen nicht dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt. Das Verfahren werfe die bisher nicht durch den EuGH geklärte und auch aus der DSGVO nicht eindeutig geregelte Frage auf, unter welchen Voraussetzungen Art. 82 Abs. 1 DSGVO einen immateriellen Schadensersatzanspruch gewähre. Das AG muss nun neu entscheiden und wird diese Fragen wohl im Rahmen eines Vorabentscheidungsverfahrens dem EuGH vorlegen.

(Robert Bommel)

Veröffentlichung eines Fotos auf der Facebook-Fanpage

Das Oberverwaltungsgericht Lüneburg hat in einem Verfahren über eine Verwarnung der Niedersächsischen Landesdatenschutzbehörde entschieden, unter welchen Bedingungen ein unverpixeltes Foto auf einer Facebook-Fanpage veröffentlicht werden darf (OVG Lüneburg, Beschl. v. 19.01.2021, 11 LA 16/20). Hintergrund des Verfahrens war die Veröffentlichung eines Fotos von einer Veranstaltung einer Partei, bei der es um den Bau einer Ampelanlage ging. Auf einem Foto, das insgesamt ca. 30 bis 40 Personen zeigt, waren auch die Eheleute F. abgebildet, die in einem Halbkreis um den Vorsitzenden des Ortsverbandes der Partei standen. Nachdem ca. vier Jahre später mit dem Bau der Ampelanlage begonnen wurde, stellte die Partei das anlässlich der Veranstaltung aufgenommene Foto für Ihre Facebook-Fanpage ein. Die Gesichter der Eheleute F. waren auf dem Foto nicht verpixelt und das Foto war frei für sämtliche Facebook-Nutzer einsehbar. Die Eheleute F. beschwerten sich daraufhin bei der Landesdatenschutzaufsicht, die dem Ortsverband der Partei eine datenschutzrechtliche Verwarnung (Art. 58 Abs. 2 lit. a) DSGVO) erteilte. Dagegen hat die Partei letztlich erfolglos geklagt. Das OVG Lüneburg hat in zweiter Instanz das vorhergehende Urteil des VG Hannover bestätigt.

Die Veröffentlichung des unverpixelten Fotos ist nach der Entscheidung des OVG Lüneburg nicht gemäß Art. 6 Abs. 1 lit. f) DSGVO gerechtfertigt, da die Veröffentlichung eines unverpixelten Fotos für das berechtigte Interesse, über die parteipolitischen Aktivitäten zu informieren, nicht erforderlich war. Dieses Ziel der Datenverarbeitung hätte auch durch eine anonymisierte Verarbeitung erreicht werden können. Im konkreten Fall ging es der Partei nicht darum, dass gerade die Eheleute F. als solche in einen spezifischen Kontext zur politischen Tätigkeit des Klägers gesetzt würden, sondern um den Nachweis, dass man sich politisch eingesetzt habe. In dem Fall hätten die Gesichter verpixelt werden müssen, was nach Auffassung sowohl des Verwaltungsgerichts als auch des OVG Lüneburg schon mit einfachen technischen Mitteln möglich gewesen wäre.

Die gemäß Art. 6 Abs. 1 lit. f) DSGVO durchzuführende Interessenabwägung fällt zugunsten der Eheleute F. aus. Das OVG argumentiert, dass den betroffenen Interessen ein hohes Gewicht zukomme, da die Daten im Internet veröffentlicht worden seien und somit ein Verlust der Kontrolle über die Daten drohe. Außerdem hätten die Eheleute F. vernünftigerweise nicht damit rechnen müssen, dass dieses Foto mehr als vier Jahre nach der Veranstaltung auf der Fanpage der Partei bei Facebook veröffentlicht würde. Allein die schlichte Tatsache, dass die Eheleute F. an der Veranstaltung teilgenommen hätten, begründe noch keine Beziehung zu der Partei, die die Veröffentlichung des Fotos mehr als vier Jahre nach der Veranstaltung auf der Fanpage vorhersehbar mache. Hinzu kommt, dass das Foto ohne Kenntnis der Eheleute F. aufgenommen worden sei und die Eheleute F. daher bereits zum Zeitpunkt der Datenerhebung keine Kontrolle über diese Daten gehabt hätten.

Die Veröffentlichung des Fotos auf der Facebook-Fanpage sei auch nicht gemäß §§ 22, 23 KUG gerechtfertigt. Die Normen seien bereits nicht gemäß Art. 85 Abs. 2 DSGVO anwendbar, da Art. 85 Abs. 2 DSGVO kein allgemeines Meinungsprivileg enthalte und somit nicht auf alle Meinungsäußerungen im Internet anwendbar sei. Insoweit beruft sich das OVG auch auf den Erwägungsgrund 153 zur DSGVO, wonach nur solche Tätigkeiten umfasst seien, die ausschließlich zu journalistischen Zwecken erfolgten. Die Veröffentlichung des Fotos auf der Facebook-Fanpage der Partei habe jedenfalls nicht ausschließlich journalistischen Zwecken gedient. Stattdessen habe die Partei auf ihre politischen Aktivitäten aufmerksam machen wollen. Die meinungsbildenden Zwecke haben jedenfalls nicht im Vordergrund gestanden.

(Dr. Christoph Rempe)

Bundesdatenschutzbeauftragter kritisiert 1000 Tage ohne vollständige Umsetzung der JI-Richtlinie

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) fordert von der Bundesregierung die vollständige Umsetzung der Richtlinie 2016/680 („JI-Richtlinie“) in das deutsche Recht. Die Richtlinie regelt neben anderen Dingen die Anordnungskompetenzen, die die Datenschutzaufsichtsbehörden gegenüber den Strafverfolgungsbehörden haben. Die Regelungen der Richtlinie hätten vom deutschen Gesetzgeber eigentlich zum bis zum 06.05.2018 vollständig in das deutsche Recht aufgenommen werden müssen. Die meisten Bestimmungen wurden 2018 in das (seinerzeit neue) Bundesdatenschutzgesetz eingefügt. Bis heute fehlen aber Regelungen im deutschen Recht, die dem BfDI Anordnungsbefugnisse und die Möglichkeit einer gerichtlichen Überprüfung gegenüber der Bundespolizei, der Zollfahndung und im Bereich der Nachrichtendienste gewähren. Der BfDI erklärte hierzu am 29.01.2021 in einer Pressemitteilung: „Die EU-Mitgliedsstaaten haben sich verpflichtet, alle notwendigen Gesetze bis zum 06.05.2018 zu erlassen. Deutschland überschreitet diese Frist heute um 1.000 Tage. Ich kann Datenschutzverstöße bei Bundespolizei und Zollfahndung nur beanstanden. Ohne nationale Gesetze fehlen mir wirksame Durchsetzungsbefugnisse. Das untergräbt die demokratische Legitimation der Datenschutzaufsicht und der Strafverfolgungsbehörden gleichzeitig.“ Der BfDI forderte den deutschen Gesetzgeber zu einem unmittelbaren Handeln und zur vollständigen Umsetzung der JI-Richtlinie auf.

(Robert Bommel)

Unzulässige Nutzung von Cookies kann einstweilige Verfügung rechtfertigen

Nach der Entscheidung des BGH zur Nutzung von Cookies steht fest, dass auch unter Geltung von § 15 Abs. 3 TMG keine nicht-erforderlichen Cookies gesetzt werden dürfen, ohne dass der Nutzer zuvor hierzu seine Einwilligung erteilt hat. Trotz der mittlerweile insoweit relativ klaren Rechtslage sind die Anforderungen zur richtigen Nutzung von Cookies noch nicht von allen Anbietern korrekt umgesetzt. Die Aufsichtsbehörden halten sich mit Kontrollen und Maßnahmen bisher noch zurück, aber erste Wettbewerber haben es geschafft, auf dieser Grundlage im Wege des vorläufigen Rechtsschutzes vorzugehen. Das Landgericht Köln hat beispielsweise bereits im Oktober 2020 eine entsprechende einstweilige Verfügung erlassen, wonach es unter Androhung eines Ordnungsgeldes zu unterlassen ist, Cookies ohne vorherige Einwilligung der Betroffenen zu verwenden (LG Köln, Beschl. v. 29.10.2020, Az. 31 O 194/20). Die Möglichkeit zur Durchsetzung von datenschutzrechtlichen Ansprüchen über das Wettbewerbsrecht ist zwar weiterhin rechtlich umstritten, war aber im konkreten Fall erfolgreich. Unternehmen, die bisher die notwendigen Maßnahmen noch nicht umgesetzt haben, sollten auch vor diesem Hintergrund die Umstellung forcieren.

(Dr. Sebastian Meyer)

Bundeskabinett beschließt Telekommunikation-Telemedien-Datenschutzgesetz

Das Bundeskabinett hat am 10.02.2021 den vom Bundesministerium für Wirtschaft und Energie (BMWi) vorgelegten Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikation-Telemedien-Datenschutzgesetz, TTDSG) beschlossen. Ziel des Gesetzes ist es, Rechtsklarheit für den Datenschutz und den Schutz der Privatsphäre in der digitalen Welt zu schaffen.

Der Gesetzentwurf enthält unter anderem in § 24 eine Regelung, die für die Nutzung von Cookies und ähnlicher technischer Einrichtungen relevant ist. Die Speicherung von technisch nicht notwendigen Cookies soll danach grundsätzlich nur noch mit Einwilligung des Nutzers möglich sein. In der Sache werden somit die Cookie-Urteile des EuGH vom 01.10.2019 und des BGH vom 28.05.2020 in dem Gesetzestext umgesetzt.

Der Gesetzentwurf der Bundesregierung wird nun dem Bundesrat zur Stellungnahme zugeleitet und nach einer Gegenäußerung der Bundesregierung an den Deutschen Bundestag weitergeleitet und dort beraten.

(Johanna Schmale)

Brexit: Entwurf eines Angemessenheitsbeschlusses von der EU-Kommission veröffentlicht

Die EU-Kommission hat am 19.02.2021 das Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen eingeleitet, die sich auf die Übermittlung personenbezogener Daten in das Vereinigte Königreich im Rahmen der Datenschutzgrundverordnung und der Richtlinie zum Datenschutz bei der Strafverfolgung beziehen. Die Veröffentlichung der Beschlussentwürfe markiert den Beginn eines zu ihrer Annahme führenden Verfahrens. Für den erfolgreichen Abschluss dieses Verfahrens sind die Einholung einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und die Zustimmung eines aus Vertretern der EU-Mitgliedstaaten bestehenden Komitologieausschusses erforderlich. Anschließend könnte die Kommission die beiden Angemessenheitsbeschlüsse annehmen und Großbritannien damit ein der EU vergleichbares Datenschutzniveau bescheinigen. Hierdurch würde der Austausch personenbezogener Daten zwischen der EU und Großbritannien nach dem Brexit deutlich vereinfacht. Die Entwürfe sehen zunächst aber nur einen Angemessenheitsbeschluss für die Dauer von vier Jahren vor. Nach Ablauf dieser vier Jahre wäre das Schutzniveau im Vereinigten Königreich erneut zu bewerten. Aktuell gilt noch eine Übergangsphase, in der auch für Großbritannien eingeschränkt noch die Bestimmungen der DSGVO gelten.

(Robert Bommel)

USA: Mitarbeiter eines Wasserwerks stoppt Trinkwasservergiftung durch Hacker

Hacker haben Anfang Februar die Trinkwasserversorgung der US-Stadt Oldsmar im Bundesstaat Florida angegriffen. Die Täter hatten sich zuvor Zugriff auf ein Passwort verschafft, mit dem sie unter Einsatz der Software TeamViewer die Kontrolle über Rechner des Wasserwerks der Stadt erhielten. Bei einem ersten Einwählen um 8 Uhr morgens Lokalzeit installierten die Täter eine Backdoor („Hintertür“), die sodann bei einem zweiten Zugriff um 13:30 Uhr zur Manipulation der Trinkwasserversorgung ausgenutzt wurde. Ein Mitarbeiter des Wasserwerks habe dabei live am Bildschirm beobachten können, wie sich der Mauszeiger von selbst bewegt und die Einstellung für die Zufuhr von Natriumhydroxid von ungefährlichen 100 ppm auf gesundheitsschädliche und ätzend wirkende 11.100 ppm veränderte. Der Mitarbeiter des Wasserwerks reagierte sofort und verhinderte den Angriff. Nach Angaben des Wasserwerks hätten aber auch ohne das Eingreifen des Mitarbeiters systemseitige Sicherungsmechanismen einen automatischen Alarm ausgelöst.

An den Tagen nach dem Vorfall wurden weitere Details zur IT-Sicherheit des Wasserwerks bekannt. So gebe es in dem Wasserwerk weder ein ausreichendes Zugriffsberechtigungskonzept noch eine ausreichende Firewall. Jeder Rechner im Wasserwerk könne theoretisch auf die Einstellungen zur Wasserversorgung zugreifen und es gebe ein einheitliches Passwort für den Fernzugriff per TeamViewer, das sich alle Mitarbeiter teilen. Auch werde die veraltete Betriebssoftware Windows 7 eingesetzt.

In Deutschland gehören Wasserwerke zu den sogenannten „kritischen Infrastrukturen“ und haben somit besonderes hohe Anforderungen an die IT-Sicherheit zu erfüllen, die mit Einführung des IT-Sicherheitsgesetzes im Juli 2015 näher definiert wurden. Eine umfangreiche Ergänzung dieser Regelungen durch IT-Sicherheitsgesetz 2.0 wurde im Dezember 2020 von der Bundesregierung als Gesetzentwurf beschlossen und wird zeitnah im Bundestag verhandelt werden. Die neuen Regelungen sollen noch 2021 in Kraft treten. Allen Betreibern kritischer IT-Infrastrukturen ist zu empfehlen, die diesbezüglichen Entwicklungen zu beobachten und sich hierzu mit ihrem Datenschutzbeauftragten abzustimmen.

(Robert Bommel)