Laut einem neuen Bericht zum Datenschutz werden in NRW immer mehr Cyberangriffe gemeldet. Es könne jeden treffen, sagt die Datenschutzbeauftragte. Daneben beschäftigt sie auch Künstliche Intelligenz.
In NRW werden immer mehr Datenpannen gemeldet. „Wir stellen einen Anstieg bei Datenverlustmeldungen fest, was auf mehr Cyberangriffe schließen lässt“, sagte die Landesbeauftragte für Datenschutz und Informationsfreiheit, Bettina Gayk, bei der Vorstellung des neuen Datenschutzberichts für das Jahr 2023.
Insgesamt gab es demnach im Berichtsjahr 2.039 Meldungen zu sogenannten Datenpannen. Das sind 210 Meldungen mehr als noch 2022. „Die Frage ist nicht, wen es trifft, sondern wann es mich trifft. Eine hundertprozentige Sicherheit vor Cyberangriffen gibt es im Grunde nicht. Letztendlich kann es jeden treffen“, sagte Gayk. Auf der kriminellen Seite sei eine hohe Professionalisierung zu erkennen und die Dunkelzimmer Betroffener hoch.
Handlungsspielraum begrenzt
Nach Schätzungen seien im vergangenen Jahr 58 Prozent der deutschen Unternehmen von Cyberangriffen betroffen gewesen, darunter auch öffentliche Stellen. Würden bei einem solchen Angriff personenbezogene Daten abfließen oder seien anderweitig gefährdet, sei dies ein Fall für die Behörde, erläuterte die NRW-Datenschutzbeauftragte.
Der Handlungsspielraum sei aber begrenzt. „Wir bekommen diese Meldungen dann immer und können auch nicht mehr tun, als nachzuschauen: Hat man denn jetzt für die Menschen, die von diesem Cyberangriff getroffen sind, das Nötigste getan? Sind die alle informiert? Und hat man ihnen Hilfestellungen angeboten, was man tun kann, wenn sie aufgrund dieses Cyberangriffs dann auch Nachteile erleiden?“, erläuterte Gayk.
Leitfaden für Unternehmen
Daher sei aber vor allem die Beratung so wichtig. „Für die Unternehmen ist es wichtig, dass sie vor allen Dingen für diese Situation ein gut aufgestelltes Notfallmanagement haben, sie schnell Lücken schließen und dafür zu sorgen, dass Daten gesichert werden“, sagte Gayk. Daher gebe es von ihrer Behörde etwa einen Leitfaden zum Umgang mit solchen Attacken.
Insgesamt habe es inklusive der Datenpannen 2023 rund 11.050 Beschwerden zum Datenschutz gegeben. Seit der 2016 in Kraft getretenen Datenschutz-Grundverordnung sei diese Zahl der Eingaben etwa auf gleichbleibendem Niveau, betonte Gayk.
10.000 Euro Bußgeld
Bei gravierenden Datenschutzverstößen seien Bußgelder verhängt worden. 2023 seien 111 Bußgeldverfahren eingeleitet und 65 Bußgeldbescheide erlassen worden. „Das größte Bußgeld im letzten Jahr waren 10.000 Euro.“ Dabei sei es um das Auskunftsrecht gegangen. Ein Unternehmen, das unter anderem in großem Stil Corona-Tests durchgeführt habe, habe wiederholt und bewusst keine Auskunft an Betroffene gegeben, berichtete Gayk.
Grundsätzlich sei das Auskunftsrecht ein zentrales Element und immer wieder Thema bei der Behörde sowie im 160 Seiten langen Bericht. „Informationen über uns sollen nicht gezielt und ungerechtfertigt erhoben und zu unserem Nachteil eingesetzt werden können. Außerdem sollen wir wissen können, wer was über uns weiß“, betonte die Datenschutzbeauftragte.
Datenschutz und KI
Allerdings gebe es auch eine „ganze Reihe von Beschwerden von Menschen, die sich auch eine falsche Vorstellung vom Datenschutz machen“. So seien manche Datenverarbeitungen schlicht erlaubt. „Es ist im Datenschutz nicht alles verboten, sondern wenn es einen sinnvollen Zweck hat, ist es auch erlaubt und muss erlaubt sein.“ Als Beispiel nannte Gayk etwas das Speichern von Gesundheitsdaten, um Behandlungen nachzuvollziehen.
Ihre Behörde arbeite und berate derzeit zudem verstärkt zu Themen rund um Künstliche Intelligenz (KI). Dabei gehe es konkret etwa um die Videoüberwachung mit KI an Flughäfen und in Bahnen zum Nachvollziehen von Fahrgastströmen, um das Lernen im Schulbereich oder um kassenlose Supermärkte, in denen eine KI die Einkäufe überwacht und abrechnet.
„Der Trend, der zu sehen ist, ist, dass Datennutzung und KI ein immer größeres Thema wird. Es kommt dabei darauf an, dass Daten den Personenbezug verlieren. Man soll Daten nutzen können, aber sie sollen nicht auf Personen zurückzuführen sein“, sagte Gayk. Datenschutz müsse bei KI-Anwendungen daher von Anfang an mitgedacht werden.