EU Datenschutz Grundverordnung 2018

KW 4: Unbeabsichtigte Schädigungen, beabsichtigtes Abhören und Ihre Haftung nach DSGVO

Autor:

Joachim Jakobs

Das Leben lässt sich sprichwörtlich bis unter die Haarspitzen erfassen. IT-Industrie und Dienstleister liefern löchrige Technik und verlieren Daten. Professionelle Anwender haften gesamtschuldnerisch für Dienstleister und Techniklieferanten. Die IT-Industrie lässt ihre Kunden im Stich und der Bundesinnenminister will sogar per Gesetz zusätzliche Löcher in die IT-Systeme der Wirtschaft schlagen.

Paragraph 47 , Nr. 6 BDSG (neu) verlangt, dass personenbezogene Daten

„in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet; hierzu gehört auch ein durch geeignete technische und organisatorische Maßnahmen zu gewährleistender Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.“

Die Wahrscheinlichkeit „unbeabsichtigter“ Schädigungen steigt mit der Größe der Schaufeln

Heute geht’s um das Wörtchen „unbeabsichtigt“ – die Konsequenzen unbeabsichtigter Handlungen wachsen parallel zur Größe der Schaufeln, die die Handelnden zur Verfügung haben: Angenommen, Ihre Kundendatenbank kann 50 Gigabytes Daten aufnehmen, so passt dieses Volumen auf eine Speicherkarte im Wert von knapp 30 Euro und damit in Ihr schlaues Telefon. Mit dem aktuellen Mobilfunkstandard LTE lässt sich die Datenbank in einer Stunde ans andere Ende der Welt übertragen. Im künftigen „5G“-Netz dauert die gleiche Übung noch 40 Sekunden.

Und das Telefon kann noch viel mehr: Es wimmelt nur so von Sensoren – die Ihr Leben detailtief vermessen; es repräsentiert einen Teil Ihres Lebensstandards: Hersteller, Gerätetyp, Modell, Baureihe und -jahr, Farbe. Der Lebenswandel ergibt sich detailtief aus der Anwendung: Wann wird wo mit wem wie oft „gesmst“, telefoniert, Facebook aktualisiert oder getwittert? Nicht nur beim Gebrauch ist das Teil in ständiger Bewegung – und diese Bewegungen lassen sich auswerten – es verfügt nämlich über ein Gyroskop, Bewegungs- und Beschleunigungssensoren. Damit „weiß“ das Gerät nicht nur, ob es sich gerade im Hoch- oder Querformat befindet, sondern auch, mit welcher Geschwindigkeit es sich dabei in der Hosentasche oder vor Ihren Augen – etwa im Zug – bewegt. Das funktioniert sekunden- und millimeter-genau. Das Barometer protokolliert den Luftdruck und Höhenunterschiede von einem Meter, ein Thermometer misst die Temperatur im Inneren und berechnet damit die der Umgebung.


C-IAM GmbH:

Beratung für DSGVO 0228 534-592-35


Die Lebens-Wanze namens „Smartphone“

So behauptet (PDF) Scott R. Peppet , Jura-Professor der Universität von Colorado, Wissenschaftler könnten aus den Daten dieser Sensoren Rückschlüsse auf den Grad einer Parkinson-Erkrankung ziehen: Das Zittern von Parkinson-Patienten ist einmalig und unterscheidet sich von dem Anderer – etwa Unterzuckerten oder Alkoholikern. Weiter sollen sich unsere Stimmung (PDF), Stressniveau , Persönlichkeitstyp (PDF), manisch-depressive Erkrankungen , demographische Daten (Geschlecht, Ehestand, Beschäftigungsverhältnis, Alter), Rauchgewohnheiten , allgemeines Wohlbefinden (PDF), Schlafgewohnheiten , Zufriedenheit , Häufigkeit körperlicher Bewegung (PDF) und Arten physischer Aktivität und Bewegung ableiten lassen. Künftig sei mit „verstehenden Telefonen“ (PDF) zu rechnen, die Sensordaten mit geographischen oder zeitlichen Informationen verknüpfen könnten – Hinweise auf Stress könnten so verknüpft werden mit Geschäftsterminen. Dann, so Peppet, könnte das Telefon wohl auch Tipps geben, mit wem Sie sich aus gesundheitlichen Gründen besser nicht mehr treffen sollten.

Auch der Rest vom Leben wird gesammelt

Nicht nur das Telefon sammelt – das Fitnessarmband protokolliert unseren Blutalkoholspiegel , ein tragbares System erfasst mit Hilfe von Sensoren an Stirn und Armen darüber hinaus auch Natrium-, Kalium-, Glucose-, Laktat-Werte im Schweiß und die Hauttemperatur. Am Laktat-Wert lässt sich die Müdigkeit der Muskeln erkennen. Und es ist nicht auszuschließen, dass künftig alle Sensoren in einer „Fitbit Superwatch“ integriert werden.

Schlaue Autos sammeln (PDF) Daten übers Bremsen, Beschleunigen, Drehzahl, eingelegtem Gang, Lenkeinschläge, Pausen und Tanken. Langzeitprotokolle können darüber Auskunft geben, wer in welchem Rhythmus welche Ziele ansteuert.

Daimler will seinen Kunden gute Tipps geben – der Entwickler Werner Bernzen verrät im Internetblog des Konzerns Details zum Mercedes-“Müdigkeitsassistenten“: „Das System analysiert permanent das Fahrverhalten und die Lenkbewegungen und registriert bestimmte Muster, die bei zunehmender Ermüdung oder Unaufmerksamkeit häufig auftreten. Dabei hat jeder Fahrer ein individuelles Lenkverhalten und das System muss sich zunächst auf den Fahrer einstellen. Verändert sich das Lenkverhalten dann sehr stark im Vergleich zum Beginn der Fahrt ist dies ein sicheres Indiz für Müdigkeit oder starke Ablenkung.“

Lässt der Herzrhythmus des Autofahrers auf Entspannungsbedarf schließen, beginnt der Kia Telluride einem Bericht der Aachener Zeitung zufolge mit einem „Entspannungsprogramm“ einschließlich belebender „Beleuchtung aus einem im Dachhimmel integrierten LED-System“. Die Sensor-Daten dieser Fahrzeuge werden von bis zu 200 Computern verarbeitet . Pro Tag produziert ein Oberklasse-Fahrzeug 40 Gigabytes Daten – bis 2018 soll's ein Terabyte sein. Schließlich das „intelligente“ Gebäude – Wikipedia versteht darunter sowohl „die Vernetzung von Haustechnik und Haushaltsgeräten , als auch die Vernetzung von Komponenten der Unterhaltungselektronik“ – am Ende kann das Handy per „App“ die ganze Bude steuern – einschließlich Wlan-Router, Solaranlage, Stromspeicher, -verbraucher und -zähler. Wie oft wird welches Programm am Fernseher eingeschaltet? Wann wechseln wir den Sender? Wie lang läuft die Kiste? In welcher Werbepause marschieren wir zum Kühlschrank, um ein Bier zu holen? Im Gegenzug erinnert der Kühlschrank ans Auffüllen der Vorräte auf Basis des bisherigen Verbrauchs. Bis auf Weiteres muss der Bewohner zum Füllen oder Leeren des Kühlschranks allerdings noch aufstehen.

Viele könnten es als attraktiv empfinden, ihr Heim mit Gesten zu steuern – dazu werden beispielsweise Infrarotkameras an Fernsehern genutzt. Alternativ bietet sich die menschliche Sprache an.

Von der Spracherkennung zur Persönlichkeitsanalyse

Spracherkennung – ein überaus spannendes Thema: Unsere Worte lassen sich in ihre Lautbestandteile, sogenannte Phoneme zerlegen , in digitale Zeichen umwandeln und inhaltlich analysieren. Unser Wortschatz lässt Rückschlüsse auf unsere Intelligenz zu . Beim Sprechen gibt unsere Stimme unsere psychologische und emotionale Verfassung wider . Im Zeitverlauf entsteht ein Sprachprofil, das Rückschlüsse auf unser Denken und dessen Entwicklung zulässt . Anschließend kann der Sprache eine „Bedeutung“ zugewiesen werden. Diese Bedeutung verlangt nach einem „Kontext“: Wer spricht? In welchem Zusammenhang? Gehts um die Steuerung einer Maschine? Oder wird nur von einem Krimi erzählt? Um zu vermeiden, dass die Gerätesteuerung auf vermeintliche Kommandos hört, die tatsächlich aber nur vom Moderator einer Radiosendung stammen , kann man der Steuerung zusätzlich eine Gesichtserkennung spendieren. Um Hintergrundgeräusche zu eliminieren, sollen Vibrationen der Gesichtsmuskulatur mit Hilfe eines Lasersystems millimetergenau erkannt und so die Fehlerrate um bis zu 80 Prozent reduziert werden können.

Was da so alles konserviert werden kann – spontane Emotionen sind vergleichsweise weniger symmetrisch an Mundwinkeln und Augenbrauen abzulesen als ein „gewolltes“ und deshalb gleichmäßiges (PDF) Lächeln. Genauso lassen sich die Veränderungen der Pupille und der Lippenlinie analysieren . Und ob wir gute oder schlechte Laune haben . Weitere Erkenntnisse könnten Analysen im Zeitvergleich erbringen. Vergleichen ließe sich aber auch ein Skype-Video mit den Bildern der Überwachungskamera am Bahnhof. Spanische Wissenschaftler haben in einer Untersuchung festgestellt, dass sich mit Hilfe von Videos ein Psychogramm auf Basis des sogenannten Fünf-Faktoren-Modells erstellen lässt. Zu diesem – nach Meinung der Universität Bielefeld „gut abgesicherten“ – Modell gehören:

  1. Die Begeisterungsfähigkeit – sie gibt Aufschluss darüber, ob Einer Einzelgänger oder Partylöwe ist.
  2. Der Neurotizismus – ist er schwach ausgeprägt, handelt es sich um eine selbstsichere, umgekehrt um eine verletzliche Person.
  3. Die Verträglichkeit – die Verträglichen sind verständnisvoll, Unversträgliche sind widerstreitend und misstrauisch.
  4. Die Gewissenhaftigkeit – Gewissenhafte arbeiten organisiert und präzise, die weniger Gewissenhaften sind unzuverlässig.
  5. Die „Offenheit“ – „Offene“ sind neugierig, wollen was erleben. Weniger offene vertrauen auf Bewährtes.

Zur Erstellung eines solchen Persönlichkeitsprofils ist es ausreichend, in einem Videotelefonat 30-120 Sekunden von sich selbst zu erzählen. Das wollen italienische Wissenschaftler herausgefunden (PDF) haben. Und der Sprecher kann nach dieser Zeit auch noch imitiert werden – behauptet der „Scientific American“. Das lässt sich mit unseren Daten aus Facebook kombinieren: Wer Basketball und Saxophon spielt, könnte als Verkäufer eine gute Figur abgeben, wer Schnecken fotografiert und meditiert, könnte als Buchhalter Karriere machen. Anhand von 150 “Likes“ soll Facebook genauere Persönlichkeitsprofile von der Zielperson erstellen können als dessen Familie, um Ehepartner zu toppen, sind 300 nötig. Mit FaceID sollen sich die Gefühlslage „in Echtzeit“ überwachen lassen. Außerdem lassen sich die Facebook-Freunde sowie die Häppchen auf Twitter und unser Tippverhaltens analysieren: Der Eine tippt mit zwei, die Andere mit zehn Fingern. Mal schneller, mal langsamer und der Tastendruck soll variieren.


Die lebenslange Papierspur wird per IoT erfasst

Einen noch größeren Kontext bietet unsere bisher zurückgelegte „Papierspur“ – Erbanlagen, Eltern, Kindergarten, Schule, Uni, Arbeitgeber, soziale Stellung, Wohneigentum oder Miete. Das ganze funktioniert in 'Echtzeit' : In dem Augenblick, in dem wir den Fernseher einschalten, aktualisiert sich unser Profil.

Angenommen einige Hundert Sensoren wären notwendig, um alle Ihre Daten zu protokollieren, die ich in diesem Text angesprochen habe – so ist das ein Nichts im Verhältnis zu den Möglichkeiten! Im IPv6, der Basis fürs „Internet der Dinge“, sollen jedem Erdenbürger 10 Quadrillarden Adressen zur Verfügung stehen. Damit ließen sich die 100 Billionen Körperzellen eines jeden Bundesbürgers 10 Billionen mal durchnummerieren. IT-Riesen wie Hewlett Packard (HP) wollen das digitale Gold schürfen – 160 Petabytes (= 160.000 Terabytes) sollen nach Konzernangaben in 250 Nanosekunden (= 0,00000025 Sekunden) zu verarbeiten sein. In dieser Zeit legt das Licht 75 Meter zurück.

Zur Bewertung der Kreditwürdigkeit eines Menschen werden nach Angaben von Wikipedia Merkmale „wie ‚Kunde seit‘, ‚Wohnort‘, ‚Beruf‘, ‚Sicherheiten‘“ genutzt. Handelte es sich bei den Kreditnehmern um Firmen, so hießen die Parameter beim Datenhändler Dun & Bradstreet (D& B) vor zehn Jahren:

  1. „Branche
  2. Rechtsform
  3. Standort
  4. Gesamtkapital
  5. Verbindlichkeiten
  6. Umlaufvermögen
  7. Grundbuchauswertung
  8. Anzahl der Mitarbeiter
  9. Zahlungserfahrungen im Zuge des DunTrade-Programms
  10. Negativinformationen“

Das ist lang her – heute wirbt der Softwarekonzern SAP: „Setzen Sie in Datenbanken Predictive Scoring für eine Vielzahl unterschiedlicher Zielsysteme ein“. Der BigData-Insider bestätigt : „Microsoft hat klar erkannt, dass künftig die größten Datenmengen aus dem Internet der Dinge kommen werden.“ D&B-Manager Scott Taylor ist der Ansicht : „Wir müssen die Art und Weise der Entstehung, Verarbeitung, Verwaltung, Integration und Zusammenführung von Daten vollständig überarbeiten“. Klar, dass der Konzern ein gutes Betriebsklima nicht nur als einen entscheidenden Erfolgsfaktor ansieht , sondern auch für die Analyse der „sozialen Netze“ seiner Kunden trommelt . Ob sich das Ergebnis dieser Analyse dann auch auf die Bonität auswirkt, ist nicht bekannt.

Ähnlich „vorhersagende Analysen“ wollen Wikipedia zufolge auch Versicherungen, die Werbewirtschaft, Finanzdienstleister, Telekommunikationsanbieter, Einzelhändler, die Reiseindustrie, Mobilitätsanbieter, das Gesundheitswesen, Kinderschützer und Pharmahersteller für Kunden, Mitarbeiter, Patienten, Einzelhandelsartikel, Komponenten, Maschinen oder „andere Organisationseinheiten“ anstellen. Spannend ist sicher die Antwort auf die Frage, wie viele angeblich schlaue Schrauben in Ihrem Unternehmen mit ebensolchen Büroklammern (PDF) tagein-tagaus kommunizieren.

Der kleine Racker „unbeabsichtigt“

Jetzt entfaltet der kleine Racker „unbeabsichtigt“ große Wirkung: Während sich so Mancher freut dass die Unternehmensdatenbank mit „jedem Gerät (Desktops, Laptops, Tablets und Smartphones)“ erreichbar ist, sollen allein in London jährlich 190.000 solcher Telefone in Taxis – unbeabsichtigt! – verloren gehen. Demnächst sollen die Dinger 100 Terabytes an Daten fassen können.

Und 50 Prozent der verlorenen Geräte sollen nach Erkenntnis des Virenjägers Eset unverschlüsselt sein: „Unsere Umfrage zeigt, dass sich trotz der hohen Aufmerksamkeit für Cyberkriminalität viele Menschen immer noch nicht selbst als potenzielles Ziel wahrnehmen. Diese Naivität nutzen Cyberkriminelle schamlos aus“, kommentiert Mark James, Sicherheitsspezialist bei Eset.

52 Gigabytes personenbezogener Daten sollen dem erwähnten Datenhändler D&B – dem, so die Werbung „Inhaber der größten globalen kommerziellen Datenbank auf dem Planeten“ – 2017 abhanden gekommen sein. In der Datenbank sollen sich unter anderem Vor- und Zuname, Beruf, Mail-Adressen, Telefonnummern, Arbeitgeber und Funktionsbezeichnung von 33 Millionen Personen befunden haben. D&B verkauft diese Informationen an Werbefirmen; wie diese Informationen (unbeabsichtigt?!) verloren gingen und wer dafür verantwortlich ist, war zumindest zum damaligen Zeitpunkt nicht bekannt.

Der Sicherheitsforscher Troy Hunt hat sich die Mühe gemacht und die Personen einigen Firmen zugeordnet. Es folgen die Firmennamen und die Anzahl der betroffenen Mitarbeiter:

  1. US-Verteidigungsministerium (101.013)
  2. US Post (88.153)
  3. AT&T Inc. (67.382)
  4. Wal-Mart Inc. (55.421)
  5. CVS Health Corporation (40.739)
  6. Universität von Ohio (38.705)
  7. Citigroup Inc. (35.292)
  8. Wells Fargo Bank (34.928)
  9. Kaiser Foundation Hospitals (34.805)
  10. IBM (33.412

Lücken haben sich – vermutlich unbeabsichtigt! – in die Chips von Intel , AMD , Qualcom , IBM-Power-, Fujitsu SPARC-CPU und ARM eingeschlichen, wie zur Jahreswende 2018 bekannt wurde. Betroffen sollen Handgeräte, Notebooks, Desktops und Server unter Android, iOS/macOS, GNU/Linux und Windows sein.

Die Kunden haften für Lieferanten und Dienstleister

Jedes Unternehmen, das solche Systeme einsetzt, muss mit Angriffen rechnen. Zur Frage, wie die Anwender dieser Systeme ihrer Rechenschaftspflicht nach Artikel 5 (2) DSGVO nachkommen können, lässt die Bundesbeauftragte für den Datenschutz (BfDI) durch einen Sprecher darauf hinweisen, dass die Verantwortlichen die Grundsätze der DSGVO einzuhalten hätten. Ausdrücklich verweist die Stellungnahme auf „die Sicherstellung der Integrität und Vertraulichkeit der verarbeiteten Daten sowie das Transparenzgebot“. Diese Forderung bezieht die BfDI „nicht nur“ auf „die üblichen Nutzeroberflächen und Betriebssysteme, sondern natürlich auch“ auf „Hardwarekonfigurationen“.

Die Hersteller würden dabei jedoch keine Daten verarbeiten und somit „grundsätzlich nicht unter den Anwendungsbereich der DSGVO fallen“. Daher seien „in der Regel die Nutzer der Hardware verantwortlich, diesen Nachweis zu führen“. Dazu seien diese „jedoch wiederum häufig faktisch nicht in der Lage“. Die Behörde rät den Nutzern, die Lieferanten „im Rahmen ihrer zivilrechtlichen Vertragsgestaltung“ in die Pflicht zu nehmen, „um Ihrer gesetzlichen Nachweispflicht genügen zu können“.

„Unabhängig davon“ seien die Verantwortlichen „verpflichtet“ „nach Bekanntwerden einer Sicherheitslücke, die auch eine Gefährdung für die auf dem System verarbeiteten personenbezogenen Daten darstellen kann, unverzüglich alle notwendigen technischen und organisatorischen Maßnahmen zu treffen, um die potentiellen Risiken für die betroffenen Daten zu minimieren.“

Das bedeutet unterm Strich: Der Verantwortliche haftet – auch für unbeabsichtigte Fehler Dritter! – Es sei denn, er kann – vgl. Art. 82 (3) DSGVO – nachweisen, „dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“.

Wenig Hilfe, weitere gesetzlich verordnete (!) Lücken

„Deutschland sicher im Netz e.V.“ (DsiN) empfiehlt zur Bewältigung der Krise die Teilnahme an einer Veranstaltungsreihe „IT-Sicherheit@Mittelstand“ . Da gibt’s der Internetseite zufolge fünf Veranstaltungen in zwei Monaten. Pro Monat will die Institution eine Million Menschen erreichen. Da 3,6 Millionen Mittelständler bis 25. Mai 2018 die DSGVO umgesetzt haben sollen, ist dieses Ziel mehr als begründet. Wie aber soll das mit jeweils einer Veranstaltung in Gießen-Friedberg, Nordhausen, Oldenburg, Weimar und Stuttgart gelingen? Für eine Institution, zu deren Mitgliedern Milliarden-Konzerne wie Facebook, Google, Microsoft, SAP und Telekom gehören, ist das ziemlich peinlich! Zur Frage, ob DsiN die Ansicht teilt, dass die Anwender für die Fehler der Hersteller haften sollen, hat Chefsache: Datensicherheit! keine Antwort erhalten.

An dieser Stelle hätte der heutige Beitrag enden sollen! Eigentlich! Doch heute präsentiert Ihnen der geschäftsführende Bundesinnenminister Thomas de Maizière noch einen Nachschlag: Kurz vor Weihnachten hat der Minister seine Absicht bekundet die Hersteller von Alarmanlagen zur Kooperation zu verpflichten, um heimlich Verdächtige in ihren Immobilien und Fahrzeugen abhören zu können. Die Ermittler sollen Wanzen in den Objekten unterbringen können, was aber durch Alarmanlagen erschwert werde. Deshalb müsse es möglich sein, diese Systeme im Vorhinein zu deaktivieren. Da frage ich mich zum Einen, wie der Minister Chinesische Hersteller zur Kooperation verpflichten will und zum Anderen möchte ich darauf hinweisen, dass diese Systeme in Autos und Immobilien heutzutage schlau sind, also mit der übrigen Informationstechnik vernetzt und per Handy zu steuern sind.

Zum Stand der Technik gehört wohl auch der Objektschutz – durch Fenster, Türen, Tresore, Schließanlagen, Schließzylinder (gem. DIN 1627 – und (vernetzte?!) Alarmanlagen. In alle diese Alarmsysteme will Herr Minister jetzt per Gesetz ein Loch (Schwachstelle !) schlagen lassen, um bei einigen Wenigen (die erwartete Zahl der Verdächtigen war bis Redaktionsschluss bei der Pressestelle nicht zu erfahren) spitzeln zu können. Das Loch aber bedroht alle, die solche Alarmsysteme nutzen – egal ob und wann Herr Minister jetzt die Absicht hat, dort einsteigen zu lassen: „Es gibt keine Hintertüren, die nur von den Guten benutzt werden“, warnt Apple Chef Tim Cook. Auf die Frage, wie die Unternehmen da ihrer Rechenschaftspflicht nach DSGVO gerecht werden können, antwortet Johannes Dimroth, Pressesprecher des Innenministers: „Wie Sie dem Beschluss der IMK (Innenministerkonferenz, Anm. d. Autors) entnehmen können, wird ein weitergehender Prüfbedarf im Hinblick auf technische und rechtliche Lösungsmöglichkeiten zur Umsetzung der Maßnahmen gesehen.“ Vor Jahren verlangte der Herr Minister in der FAZ: „Wer durch den Einsatz von IT Risiken für andere schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken“. Es gelte: „Je gravierender diese Risiken für unsere Gesellschaft sind, desto höhere Anforderungen sind an die erforderlichen Schutzvorkehrungen zu stellen.“

Ich teile diese Haltung – mehr noch: Wer durch Gesetzesinitiativen Risiken für Bürger und Unternehmen schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken! Herr Minister ist bereit, höchstmögliche Risiken zu Lasten der Betroffenen einzugehen – da bin ich gespannt zu erfahren, welche Schutzvorkehrungen er zu treffen gedenkt!

Ein Mittel zur Vermeidung unbeabsichtigter Schädigungen besteht in einer sicheren Authentisierung der berechtigten Person; wie sich Benutzer sicher authentisieren können, erklärt Chefsache: Datensicherheit! im nächsten Beitrag.