Ein DSB bringt nachweislich Vorteile – DS News KW 33/2025

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Wir begrüßen euch wieder zum wöchentlichen Datenschutz-Update der Migosens.
Heute ist Freitag, der 15. August 2025.
Unser Redaktionsschluss war wie immer um 10 Uhr.
Meine Eltern gaben mir den Namen Heiko.
Gossen mit Nachnamen. Er gab sich so ein bisschen aus der Familienstruktur.
Wie sieht es bei dir aus? Wer bist du?
Meine Eltern haben den schönen Namen Laura Droschinski gewählt.
Auch ein schöner Name. Wunderbar. So, damit sind wir bekannt.
Fängt ja schon gut an heute.
Fängt gut an, ja. Und bevor wir zu den Themen kommen und zu viel Zeit verlieren.
Kurz, in eigener Sache. Wir suchen nämlich Unterstützung für den Schnitt unseres Podcasts.
Wer also jemanden kennt oder dessen Schwager, der Freund, der Bekannte,
dessen Schwibbschwager jemanden kennt oder vielleicht selbst auch Erfahrung
und Interesse hat, auf freiberuflicher Basis uns zu unterstützen, jede Woche,
der schickt einfach gerne mir eine E-Mail an podcast.migosens.de und wir freuen
uns natürlich über jeden, der da Interesse hat zu unterstützen.
Wir freuen uns übrigens auch, das sei an der Stelle auch nochmal erwähnt,
auch über Unterstützung in unserem Team.
Wir suchen nämlich aktuell noch zwei Consultants im Bereich Datenschutz.
Also wer da auch Erfahrung und Lust und Laune hat, hier ins Team zu kommen,
auch der ist natürlich herzlich willkommen.
Wir nehmen auch Leute, die beides können.
Wir nehmen auch Leute, die beides können, genau. Die Datenschutz-Consultant
suchen wir allerdings nicht auf freiberuflicher Basis, schon als Festanstellung.
Gut, das dazu. Dann, Laura, was hast du mitgebracht heute?
Ja, ein bisschen Übersicht müssen wir natürlich zu Beginn machen, da hast du recht.
Zu Beginn habe ich ein größeres Datenleck mitgebracht aus einer sehr beliebten
Urlaubsregion und weiter geht es mit einem Tool zum Aufspüren von Daten im Unternehmen,
super interessant und eine Leseempfehlung
für das sommerliche Wochenende habe ich auch auf dem Zettel.
Und das war es schon bei mir. Also das Sommerloch zieht sich so ein bisschen
durch. Wie sieht es bei dir aus?
Ich habe eine Studie der französischen Aufsichtsbehörde zur Rolle der Danenschutzbeauftragten mitgebracht.
Dann eine technische Komponente basierend auf WLAN zur Identifizierung von Personen,
finde ich sehr spannend.
Und eine Veranstaltung, auf die ich aufmerksam machen möchte.
Alles klar. Los geht's.
Los geht's. Der Matau.
Sommerloch heißt auch Urlaubszeit, jedenfalls hier bei uns in der Region.
Und wer reist nicht gerne nach Italien und wer das schon mal in Vergangenheit
getan hat, sollte jetzt seine Ohren spitzen.
Denn ich hatte ja gesagt, ich berichte von einem Cyberangriff und zwar sind
160.000 Scans von Personalausweisen, Reisepässen und Führerschein italienischer
Hotelgäste gestohlen worden.
Als hätten es Gregor und David in der letzten Folge nicht geahnt, dass da was im Busch ist.
Denn jetzt in dieser Woche ist laut Medienberichten bekannt geworden,
dass eben Hacker Buchungssysteme italienischer Hotels geplündert und im Nachgang
jahrelang gespeicherte Ausweisdaten im Darknet offengelegt haben und sogar auch
zum Kauf angeboten haben. Übrigens für 50 Cent das Stück.
Das fand ich ganz interessant zu hören. Das größte Einzelleck dabei betrifft
ein venezianisches Luxushotel mit nur 50 Zimmern, aber 38.000 gespeicherten Ausweiskopien.
Eben ist das… Ist aber kein Stundenhotel.
Oder?
Das hast du mir jetzt gesagt.
Es ist aber eben auch ein sehr eindeutiger Hinweis darauf, dass die Daten über
viele Jahre hinweg nicht gelöscht wurden.
Nach italienischem Recht müssen eben die Daten unmittelbar nach der Weitergabe
an die Behörde gelöscht werden und eben eine längerfristige Aufbewahrung der
Ausweiskopien dürften eben daher nicht begründet sein.
Der Fall verdeutlicht nun eindrücklich, warum eben das Prinzip der Datenminimierung
existiert und was uns auch die Nachricht der spanischen Aufsichtsbehörde aus
der letzten Woche vermitteln wollten.
Also wie gesagt, David und Gregor, wer es noch nicht gehört hat,
sehr empfehlenswert, hört da gerne in die letzte Woche nochmal rein.
Ja, die spanische Aufsichtsbehörde hatte ja eben in ihrer Meldung klargestellt,
dass sie Scans als ganz klar unzulässig ansieht.
Und auch hier in Italien jetzt, also in dem aktuellen Fall, hätte wahrscheinlich
eine reine Sichtprüfung ausgereicht und die Speicherung damit hätte komplett
vermieden werden können.
Zu den Folgen sei eben jetzt noch gesagt, dass wohl auch deutsche Urlauber betroffen
sind und gemäß den Medienberichten scheint wohl auch noch keine Information
über den Vorfall an die Betroffenen zugestellt worden zu sein.
Ich finde, das ist durchaus kritisch zu sehen, denn aufgrund der Tatsache,
dass eben Ausweiskopien abhandengekommen sind, sollte es doch hier wahrscheinlich
eher zu einem höheren Risiko für die betroffenen Personen kommen in der Rückschau.
Also der aktuelle italienische Vorfall nun führt ja eben eigentlich genau dazu,
worüber wir letzte Woche auch gesprochen haben, denn werden Ausweise gescannt
und gespeichert und dann gehen sie verloren.
Haben wir eben das Thema des Datenverlusts, aber auch Identitätsdiebstahl als
großes Risiko, aber auch der Image-Schaden für die Hotels, denke ich,
dürfte hier nicht unter den Teppich zu kehren sein.
Wobei ich jetzt hier raushöre, in Italien darf man wohl die Ausweise kopieren,
wenn ich es von letzter Woche richtig in Erinnerung habe.
Sie dürfen die Daten erfassen.
War es in Spanien so, dass sie da ja gar nicht erst kopiert werden dürfen.
Ja, also so klar ist es hier nicht. Datenkategorien müssen halt erfasst werden,
aber das muss nicht zwangsläufig immer eine Ausweiskopie erfolgen.
Ja, okay, verstehe. Ja, wäre vielleicht mit einem Datenschutzbeauftragten nicht passiert in den Hotels.
Laut der KNILL-Studie helfen DSBs messbar dabei, Datenschutzverletzungen zu
vermeiden und zu hohen Kosten und Imageschäden abzuwenden.
2022 führt die französische Aufsichtsbehörde alle zwei Jahre eine Studie zur
Situation der Datenschutzbeauftragten in Unternehmen durch.
Nun wurden die Ergebnisse der 2024er-Studie veröffentlicht und demnach bringen
sie Unternehmen handfeste wirtschaftliche Vorteile.
Da können natürlich gute Argumente auch für interne Diskussionen rund um den
Datenschutzbeauftragten drinstecken und der Geschäftsführung vielleicht auch behilflich sein.
Deswegen haben wir es hier heute mal mit reingenommen. Zu welchen Ergebnissen
ist die Studie nun gekommen?
Laut der Studie stärken Datenschutzbeauftragtes Vertrauen potenzieller Kunden,
besonders in datensensiblen Märkten.
42% der Befragten bestätigen das. Die Rolle oft konkret geholfen hat,
ihre Aufträge zu gewinnen und den Unternehmen, die aktiv auf Datenschutz setzen,
steigt die Erfolgsquote bei Ausschreibungen laut der Studie sogar auf 50%.
Finde ich schon beachtlich und auch argumentativ. Wie gesagt,
wir kennen ja das Argument natürlich, aber hier ist es jetzt unterfüttert.
Das finde ich halt das Gute daran, dass wir jetzt mal Zahlen haben,
dass es halt nicht nur unsere Wahrnehmung ist. Außerdem durch die Beratung Sensibilisierung
und Kontrolle helfen Datenschutzbeauftragte Verstöße gegen die DSGVO zu vermeiden.
Also auch das ergibt sich halt durch die Befragung.
Man sieht hier einen maßgeblichen Beitrag zur Vermeidung von Datenlecks und
auch Kosteneinsparungen durch Datenmanagement.
Es gab also auch Unternehmen, die durch die Umsetzung von den Grundsätzen wie
Datenminimierung und Speicherbegrenzung auch direkte finanzielle Vorteile erzielen konnten.
Sicherlich eine Ausnahme, glaube ich zumindest, aber ein Unternehmen konnte
wohl, also das Unternehmen erzielt 150 Millionen Euro Umsatz, konnte laut TX.
Dieser Befragung durch den DSGVO-konforme Datenhaltung allein 400.000 Euro an
Serverkosten einsparen.
Finde ich, ist ein sehr schönes Beispiel.
Teilgenommen rund 3.600 Unternehmen und was wir sicherlich beachten sollten
bei dieser Studie und immer im Hinterkopf haben sollten, ist,
dass in Frankreich natürlich andere Regeln zur Benennung eines DSBs gelten.
Es gibt dort keine automatische Pflicht in Abhängigkeit der Mitarbeiterzahl,
wie wir sie hier in Deutschland haben, mit aktuell zumindest noch den 20 Mitarbeitenden,
die regelmäßig mit der Verarbeitung der Datenbeauftragten sind.
Trotzdem, ich sehe erstmal eine schöne Bestätigung der Sinnhaftigkeit unserer Rolle im Unternehmen.
Definitiv. Und auch da, Werbung in einer Sache, sind wir natürlich auch die
richtigen Ansprechpartner für.
Nicht nur als Datenschutzbeauftragte, sondern natürlich auch,
wenn der Datenschutzbeauftragte Unterstützung benötigt. Das ist gerade angesprochen, intern.
Immer mal wieder Herausforderungen bei der Argumentation, Und was das Thema
Ressourcen angeht, aber da stehen wir euch von der MikroSens gerne zur Seite.
Und vielleicht auch da nochmal, wir machen ja sehr gerne auch immer mal wieder
auf unsere Themenfolge aufmerksam.
Und unser lieber Datenschutzfreund Falk Böhm war ja mal bei uns zu Gast,
wo Markus und du ja zu dem Thema Wettbewerbsvorteil gesprochen habt.
Vielleicht auch nochmal der Hinweis, wer diese Folge noch nicht gehört hat.
Genau, die ist zwar schon ein bisschen her, aber sie ist meines Erachtens nach
wie vor von den Überlegungen und Ideen da drin absolut aktuell.
So ist es. Ich komme zu meiner nächsten Nachricht, denn der hessische Datenschutzbeauftragte
hat ein eigenes Open-Source-Tool veröffentlicht, das personenbezogene Daten
in großen Datenmengen aufspüren kann.
Entwickelt wurde das Werkzeug im Rahmen von Ransomware-Ermittlungen,
um betroffene Unternehmen und Behörden das Auffinden sensibler Daten zu erleichtern.
Das Tool soll vor allem in Fällen helfen, in denen angegriffene IT-Systeme unübersichtlich
oder schlecht dokumentiert sind.
Die Software analysiert Dateien automatisiert nach typischen personenbezogenen
Mustern, wie beispielsweise Rentenversicherungsnummern oder bestimmten Schlagwörtern.
Es kann daher durchaus hilfreich sein, wenn es zu einem Vorfall gekommen ist,
wie beispielsweise einem Datenabfluss, um schnell herauszufinden,
ob und welche personenbezogenen Daten denn davon betroffen sind.
Gerade bei historisch gewachsenen IT-Landschaften, die oft eben wenig dokumentiert
sind, ist es denkbar, dass die interne Analyse dadurch doch enorm beschleunigt wird.
Aber auch, ich denke, für externe Datenschutzaudits, Betroffenenanfragen,
aber auch Präventionsmaßnahmen wird das sicherlich auch ein sehr hilfreiches Tool sein.
Die Veröffentlichung ist auf opencode.de.
Oder hat dort stattgefunden? Und das Tool ist eben frei verfügbar,
es ist quelloffen und eben explizit
auch zur Nutzung durch andere Verantwortliche oder Behörden gedacht.
Die hessische Datenschutzaufsicht stellt somit erstmal ein selbstentwickeltes
Analyse-Tool öffentlich zur Verfügung und soll halt eben in erster Linie Hilfestellung bieten,
bei Ransomware-Angriffen eben schneller die Daten zu identifizieren.
Das soll wohl laut der Pressemitteilung der hessischen Datenschutzaufsicht jetzt
auch kein Einzelfall bleiben, denn weitere Veröffentlichungen sind auch hier geplant.
Und ja, jeder ist eingeladen, der das Tool genutzt hat, auch direktes Feedback
an die Behörde zu geben, was ich auch sehr schön finde, dass hier der Austausch
weiterhin gefördert wird.
Ich finde immer Hilfestellungen von der Aufsicht immer besonders begrüßenswert.
Aber das wissen die ja schon mittlerweile alle, glaube ich. Manche Pengeheimnis draußen.
Nein, nun es hören uns ja auch einige zu, also von daher schöne Grüße an der
Stelle. Nein, ich finde es richtig gut und begrüße das natürlich auch.
Vielleicht haben Sie auch direkt was zu den Rechtsgrundlagen gesagt,
warum man dann das Tool auch einsetzen darf, aber wahrscheinlich nicht.
Nein, ich finde es gut. Also ich finde es wirklich gut und hilft sicherlich in vielen Fällen.
Und auch vielleicht, und das könnte ich mir vorstellen, ist auch ein Einsatzszenario,
wenn man vermeintlich anonymisierte Datenbestände hat, die dann auch nochmal zu untersuchen.
Vielleicht auch nochmal ein Case, der da gut Anwendung findet.
Forscher aus Rom haben gezeigt, dass sich Menschen allein über vorhandene WLAN-Signale
biometrisch identifizieren lassen, ohne Geräte oder Kameras.
Gruselig.
Wie Heise berichtet, haben Forscher der Universität La Sapienza in Rom nun HuFi,
also abgeleitet aus Wi-Fi und Hu, also HuFi eine Methode entwickelt,
die allein über WLAN-Signale biometrische Identifikation von Personen erlaubt.
Also wie gesagt, ohne Kamera und ohne weitere Geräte bei der betroffenen Person
und damit natürlich auch Fragen aufwerfen zu den Risiken für Privatsphäre und Datenschutz.
Die Technologie Hufai nutzt also Signalverzerrungen des WLAN,
die durch Körperkonturen, Bewegung, Größe und Form entstehen,
zur Identifikation der Personen.
Dazu wird ein sogenanntes Deep Neural Network, also kurz DNN,
eingesetzt, also ein neuronales Netz, ein Teil einer KI-Anwendung damit.
Und in Laborversuchen hat man so eine Identifikationsgenauigkeit von bis zu
95,5 Prozent erreicht und das ist deutlich höher als frühere Ansätze,
die eher so bei 70, 75 Prozent rauskamen.
Wie funktioniert das? Jeder menschliche Körper beeinflusst WLAN-Signale individuell
durch Reflexionen, Beugung, Dämpfung und die so entstehenden Signale.
Dadurch kann man dann genau Ableitungen treffen und Personen eindeutig wiedererkennen,
wenn die sich zum Beispiel wiederholt im gleichen Raum aufhalten.
Man kann sogar teilweise erkennen, wo sie sich bewegen im Raum,
obwohl keine Bilder erfasst werden. WLAN wurde auch schon früher häufiger als
passiver Sensor eingesetzt.
Das konnte man wohl auch schon vorher zum Beispiel zur Sturzerkennung einsetzen
oder zur Anwesenheitsmessung.
Aber jetzt neu ist wirklich dieses sehr präzise biometrische Werkzeug, was man dadurch hat.
Vielleicht ein kleiner Hinweis noch, der Forschungsaufsatz ist noch nicht peer-reviewed.
Also von daher gehen wir jetzt mal positiv davon aus, dass es bestätigt wird.
Aber grundsätzlich, glaube ich, ist die Technologie natürlich schon etwas,
wo wir aufmerksam sein sollten.
Ich kann es nur wiederholen. Gruselig.
Ja, ein bisschen schon.
Weiter geht es zu den Veröffentlichungen.
Yes, please.
Yes, please. Und zwar die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
hat ihre Informationsbroschüre zum Datenschutzrecht neu aufgelegt.
Seit 2018 gibt es dieses Nachschlagewerk bereits und bietet eben einen schnellen
Überblick zu den aktuellen Gesetzestexten
und Erwägungsgründen der Datenschutzgrundverordnung, aber auch dem BDSG.
Also die Broschüre bietet eben die wichtigsten Erläuterungen zu den zentralen
Themen, aber auch zu unbestimmten Rechtsbegriffen.
Die Broschüre ist wohl sehr angesagt laut der Pressemitteilung und gibt sie
deshalb wohl auch digital als auch in gedruckter Form.
Also für alle, die regelmäßig mit datenschutzrechtlichen Angelegenheiten arbeiten,
dürfte das eben jetzt auch die Neuauflage ganz sicherlich ein praktisches Hilfsmittel sein.
Auf jeden Fall. Ich finde, die haben ja mehrere Veröffentlichungen,
Informationsbroschüren in dem Bereich. Es gibt die Info Nummer 5,
auch zum Telekommunikationsrecht, die finde ich auch mal sehr wertvoll.
Von daher auf jeden Fall ein guter Hinweis. Ja, ich würde einmal auf die KI-Woche
in Baden-Württemberg aufmerksam machen wollen.
Der Landesdatenschutzbeauftragte dort, Professor Keber, organisiert einmal im
Jahr die KI-Woche, haben wir ja auch regelmäßig darüber berichtet und die diesjährige
Veranstaltung findet am 3.
Und 4. November statt. und das Ganze unter dem Motto wer-wem nutzt KI.
Das genaue Programm ist noch nicht veröffentlicht.
Interessierte Bürger, Bürgerinnen, Fachpersonen aus dem Bereich Datenschutz
und KI sind hier wie immer eingeladen.
Teilnahme ist kostenlos und ich vermute, es wird auch wie die letzten Jahre
sein, dass es online stattfindet und dass man aber auch im Nachgang sich wahrscheinlich
die Videos dann wieder ansehen kann.
Und ergänzend, ich hatte es nicht auf der Liste, aber es fiel mir gerade ein.
Ich möchte mal darauf hinweisen.
Und zwar die Privacy-Konferenz steht ja auch bald an. Und zwar am 10. und 11.
September, 10. September in Berlin, vor Ort im Futurium.
Und wer wird auch da sein, Laura?
Wir!
Jawohl, wir!
Nicht das erste Mal, freue mich sehr drauf.
Absolut. Und es gibt ja auch wieder einen Workshop mit uns, das heißt zum Thema
Löschkonzepte von der Pflicht bis zur Umsetzung.
Also wir gehen natürlich auch darauf ein, was ist so ein Löschkonzept alles
drin und wie kriegt man es dann auch operationalisiert. Und wer mag,
wer Lust hat, ist natürlich herzlich willkommen.
Anmeldung kann man online sich zu dem Ganzen. Privacy-Conference.com.
Genau, die letzten Jahre war es auch so. Wir haben die ein oder anderen Zuhörer
dort auch treffen dürfen und freut mich persönlich immer sehr.
Das heißt, ihr seid herzlich eingeladen.
Hallo zu sagen. Genau, sagt gerne Hallo. Wir machen ein kleines inoffizielles Meet & Greet.
Der Workshop kann das ja auch werden.
Richtig, genau.
Wunderbar. In diesem Sinne, dir ganz herzlichen Dank, Laura.
Danke ebenso.
Euch natürlich auch. Vielen Dank fürs Dranbleiben. Und wir freuen uns,
wenn ihr nächste Woche wieder einschaltet.
Gleiche Stelle, gleicher Ort, gleiche Zeit.
Und in diesem Sinne, bleibt uns gewogen und auf bald.
Bis bald.