Digitalen Verbraucherschutz konsequent ausbauen – Unternehmen müssen ihre Kunden über Cyberangriffe und Datenlecks informieren!

Antrag
vom 20.04.2021

Antragder AfD-Fraktion vom 20.04.2021

 

Digitalen Verbraucherschutz konsequent ausbauen Unternehmen müssen ihre Kunden über Cyberangriffe und Datenlecks informieren!

I. Ausgangslage

Ende März 2021 wurde bekannt, dass erneut Cyberkriminelle, vermutlich Hacker im Auftrag des russischen Geheimdienstes GRU, Kontaktdaten und Passwörter von mehreren Politikern gestohlen haben könnten. Auch mehrere Kommunal- und Landespolitikern aus NRW sollen von diesem Angriff betroffen sein.1

Nach dem letzten großen Cyberangriff auf politische Verantwortungsträger und Prominente im Dezember 2018 durch einen Schüler2 und nach dem Cyberangriff auf Bundestagsrechner im Jahre 2015,3 möglicherweise durch vom russischen Geheimdienst gesteuerte Hacker, reiht sich dieser erneute Angriff in eine Kaskade von Meldungen über Hackerangriffe und „Datenleaks“ ein. In den letzten Jahren wurden weltweit monatlich teilweise Millionen von Nutzerkonten, E-Mail-Adressen, Kreditkartendaten und Telefonnummern illegal veröffentlicht.

Zuletzt wurde Anfang April 2021 das Auftauchen einer riesigen Datensammlung vermeldet, die Hacker im Jahre 2019 von der Firma Facebook Inc. erbeutet haben. Mit über 533 Mio. Datensätzen ist es eines der größten Datenlecks weltweit. Die jetzt frei zur Verfügung stehende Datenbank enthält, neben den Namen der Nutzer, Mobilfunknummern, E-Mails, Geschlecht, Beruf, Stadt, Land und sogar den Beziehungsstatus der jeweiligen Nutzer.4 Betroffen sind ca. 500 Millionen Personen weltweit, darunter auch über sechs Millionen aus Deutschland.

Dass dieser immense Datenpool nicht ungenutzt blieb, wurde einige Tage später offensichtbar. Diverse Pressemeldungen informierten über eine Welle von Phishingversuchen per SMS infolge der Veröffentlichung der Facebook-Datensätze.5

Aber nicht nur große Datensammler wie Facebook sind von Datenlecks betroffen, sondern auch kleinere Unternehmen und Einrichtungen.

Neben oftmals wiederholt gehackten und veröffentlichten Datenbanken internationaler Unter­nehmen wie Facebook, Yahoo, Microsoft, Ebay, LinkedIn, Expedia, booking.com und Google6 waren auch in Deutschland ansässige Firmen und Einrichtungen von Datenlecks betroffen. Zuletzt gab es vermehrt Meldungen über IT-Sicherheitsvorfälle bei Corona-Testzentren.7 8

Dass es sich hier nicht um Einzelfälle handelt, sondern um ein schon ein fast alltägliches Phänomen, zeigt eine Studie des Wirtschaftsberatungsunternehmens KPMG zur Wirtschaftskriminalität. Von den 1.000 befragten Unternehmen waren 31 Prozent bereits von Datendiebstahl oder von Datenmissbrauch betroffen; 86 Prozent der befragten Unternehmen gaben an, dass sie das Risiko künftiger Datendiebstähle als hoch bis sehr hoch einschätzen.9

In all diesen Fällen waren es nicht die Bürger oder die Kunden, die als technische Laien durch eigenes Verschulden ihrer wertvollen und auch sensiblen Daten beraubt wurden, sondern es waren oftmals große und finanzstarke Unternehmen, von denen erwartet werden kann, dass sie sowohl ihre IT-Sicherheit als auch ihren Datenschutz professionell und durch profunde Fachkräfte handhaben würden.

Aber nicht nur Unternehmen gehen mitunter fahrlässig mit dem Schutz der oftmals sensiblen Daten ihrer Kunden um, zusätzlich lässt auch der Staat den Bürger sowohl im Gesetzgebungsverfahren als auch bei der Anwendung der datenschutzrelevanten Gesetze oftmals allein.

Beispielhaft dafür steht der Fall des Elektronikhändlers Conrad. Auf ca. 14 Millionen Kunden­daten hatten unbekannte Hacker 2019 monatelang Zugriff. Sie konnten dadurch auf Post­adressen, E-Mail-Adressen, Fax- und Telefonnummern sowie Kontonummern zugreifen10.

Trotz guter und intensiver Zusammenarbeit mit den Strafverfolgungsbehörden gab es aus Sicht des Unternehmens und der Aufsichtsbehörden keine rechtliche Notwendigkeit, die betroffenen Kunden direkt zu informieren. Es erfolgte lediglich ein Hinweis auf der Website des Anbieters.

Laut Artikel 34 Absatz 1 der Datenschutzgrundverordnung (DSGVO) muss eine von Datenlecks betroffene Person erst nach Abwägung über ein „voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten“ unverzüglich informiert werden.11 Außerdem soll in enger Absprache mit den Aufsichts- und Strafverfolgungsbehörden entschieden werden, ob und wie der einzelne Betroffene über den Datenschutzvorfall informiert wird.

Im Gegensatz zu den Kunden müssen Aufsichtsbehörden schon bei normalem Risiko innerhalb von 72 Stunden informiert werden.12

Auch im jüngsten Facebook-Datenskandal, in dessen Folge Betroffene von einer Phishing-SMS-Welle heimgesucht werden, weigerte sich das Unternehmen bisher, mit Verweis auf die Verjährung des Vorfalls und die zugrundeliegenden Bestimmungen der DSGVO, die vom Datenleak betroffenen Kunden direkt zu informieren.13

Eine für die meisten von solchen Delikten betroffenen Normalbürger nicht vorstellbare intensive Betreuung und Information bei Hackerangriffen erfahren zur Zeit allerdings Bundestags- und Landtagsabgeordnete sowie kommunale Mandatsträger, deren Daten, infolge eines Phishingangriffs auf deren private Emailkonten, möglicherweise kompromittiert sein könnten. Sowohl Bundes- und Landeskriminalämter als auch Staatsanwaltschaften sowie Verfassungsschutzbehörden kümmern sich um die potenziell betroffenen Politiker.14

Zwar dürfte eine so umfassende Betreuung kaum flächendeckend zu realisieren sein, dennoch ist es notwendig, den aktuellen Stand der Datenschutzgesetze und -vorschriften hinsichtlich stärkerer Datensicherheit bei Unternehmen sowie stärkerer, verpflichtender Transparenz gegenüber der von Datenkriminalität betroffenen Verbraucher zu überprüfen.

Die Kombination aus Datensammel- und Speicherwut von Unternehmen sowie laxen Vorschriften zu Datenschutz und Transparenz gefährdet zunächst noch nicht das öffentliche Leben, aber bei jedem neuen Vorfall mit Milliarden Informationen aus Tausenden von erbeuteten Datensätzen steigt nicht nur das Bedrohungsgefühl in der Bevölkerung, sondern auch das Misstrauen gegenüber der Internetwirtschaft und der Lösungskompetenz der Politik.

II. Der Landtag stellt daher fest:

  • Die individuellen Folgen für die von Datenleaks Betroffenen können, unabhängig von deren Prominenz und Bedeutsamkeit, immens sein.
  • Eine Häufung von Datensicherheitsvorfällen kann das Vertrauen der Verbraucher in die Internetwirtschaft nachhaltig schädigen und gar zur gesellschaftlichen Destabilisierung beitragen.
  • Den Verbraucherzentralen steht mit dem Phishing-Radar ein wirksames Instrument zur Aufklärung der Verbraucher zur Verfügung, das jedoch durch personelle und finanzielle Einschränkungen unterhalb seiner Möglichkeiten bleibt.

III. Der Landtag fordert die Landesregierung auf,

  • es den Verbraucherzentralen in Nordrhein-Westfalen technisch, finanziell und personell sowie durch Änderung entsprechender Datenschutzgesetze und -vorschriften zu ermöglichen, in Zusammenarbeit mit den Aufsichtsbehörden und mit den von Datenleaks betroffenen Unternehmen betroffene Bürger in NRW direkt und unverzüglich über Datenlecks, deren Umfang und ihre möglichen Auswirkungen zu informieren;
  • sich auf allen Ebenen dafür einzusetzen, sowohl die DSGVO als auch die darauf beruhenden Datenschutzgesetze so zu schärfen und zu präzisieren, dass von Datenlecks betroffene Unternehmen, Organisationen oder staatliche Verwaltungen verpflichtet werden, nicht nur die entsprechenden Aufsichtsbehörden, sondern auch betroffene Verbraucher direkt und umgehend umfassend zu informieren; sich auf allen Ebenen dafür einzusetzen, dass verbindliche Vorschriften zur wirksamen Verschlüsselung aller Kundendaten in die Datenschutzgesetze Einzug halten; sich auf allen Ebenen dafür einzusetzen, dass Vorschriften zur Datenarmut und Datenspeicherfristen verbraucherorientiert ausgebaut und eingehalten werden.

Sven W. Tritschler
Dr. Christian Blex
Markus Wagner
Andreas Keith

und Fraktion

 

Antrag als PDF

 

1 https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMV17-4973.pdf

2 https://www.zeit.de/digital/datenschutz/2019-01/datenklau-hacker-schueler-angriff-daten-politiker-datendiebstahl-datenleak

3 https://www.zeit.de/digital/datenschutz/2015-05/hackerangriff-bundestag-sommerpause

4 https://www.golem.de/news/scraping-daten-von-500-millionen-facebook-nutzern-geleakt-2104-155476.html

5 https://www.ksta.de/koeln/seit-januar-mehr-als-60-strafanzeigen-betrueger-schicken-koelnern-sms-mit-paket-info-38277572?cb=1618422162547

6 Siehe https://de.wikipedia.org/wiki/Liste_von_Datendiebst%C3%A4hlen

7 https://netzpolitik.org/2021/sicherheitsluecke-mehr-als-130-000-corona-testergebnisse-waren-frei-im-netz-abrufbar/

8 https://www.tagesschau.de/investigativ/ndr/datenleck-corona-test-101.html

9 https://home.kpmg/de/de/home/media/press-releases/2020/08/kpmg-studie-wirtschaftskrim inalitaet-in-deutschland-2020.html

10 https://www.handelsblatt.com/technik/it-internet/versandhaendler-hacker-haben-zugriff-auf-14-millionen-kundendatensaetze-von-conrad-electronic/25245682.html

11 https://dsgvo-gesetz.de/art-34-dsgvo/

12 https://dsgvo-gesetz.de/art-33-dsgvo/

13 https://www.heise.de/news/SMS-Spam-nach-Datenleck-Facebook-will-Betroffene-nicht-informieren-6009106.html

14 https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMV17-4973.pdf