Die Protagonisten des technologischen Fortschritts lassen uns wissen: „Alles, was digitalisiert werden kann, wird auch digitalisiert.“ Und in der Tat hält die Technik immer mehr Möglichkeiten bereit. „Intelligente“ Schrauben können mit Büroklammer vernetzt werden. Die Mimik beim Skypen könnte der Erstellung eines Persönlichkeitsprofils von Bewerbern dienen. Die Produktion in einer Fabrik könnte mit Gesten gesteuert, die Daten erfasst und daraus die Rechnung für den Kunden und den Lohn des Mitarbeiters berechnet werden. Damit erhöht sich aber das Risiko der „unbeabsichtigten“ und „unrechtmäßigen“ „Offenlegung […] personenbezogener Daten“, wie es in der europäischen Datenschutzgrundverordnung (DSGVO) heißt.
Wenig Risikobewusstsein
Zum Stichwort „Unbeabsichtigt“: Viele Unternehmen führen neue Technik ein, ohne die Risiken zu klären. Gütesiegel für Software gibt es nicht, die Implementierungen sind fehlerhaft, die Admins kommen beim Stopfen der Löcher nicht hinterher. Und nur rund die Hälfte der Anwender benutzt tatsächlich komplexe Passwörter. Das Personal ist laut einer Untersuchung von Pricewaterhouse Coopers die „Topquelle für Datenpannen“.
Todernste Cyberkriminalität
Ein drastisches Beispiel, das zeigt, wie wichtig der Schutz von Daten vor unrechtmäßigen Zugriffen ist: Im April 2017 hat eine Hackergruppe, die den IS unterstützt, eine Todesliste mit den Namen und Adressen von knapp 9.000 Personen aus den USA und Großbritannien veröffentlicht. „Kill them wherever you find them“, hieß der beigefügte Aufruf zum Mord dazu. Ein anderes Beispiel, diesmal aus Deutschland: Wären Patientendatenbanken vor Mitarbeitern eines Krankenhausverbandes geschützt gewesen, hätte der Abfluss von schätzungsweise einer Million Patientendaten verhindert werden können. Eine Krankenakte soll Kriminellen übrigens zwischen 40 Euro und 1000 US-Dollar wert sein. Informationen über Krankheiten sind wertvoller als Kreditkartendaten: Das Wissen ist ein dankbarer Hebel für Manipulation, Bestechung oder gar Erpressung.
Offen zugängliche Personenprofile
Hinzu kommen die Möglichkeiten, mithilfe der Technik Menschen regelrecht in den Kopf gucken zu können: Im April dieses Jahres wurden anscheinend 48 Millionen psychographische Personenprofile mit Daten aus sozialen Netzwerken auf einer allgemein zugänglichen Website gefunden. Mit 300 Facebook-Likes soll sich die Psyche von Betroffenen detailtief erschließen lassen können – was Betrüger zum Übertölpeln von Menschen ausnutzen könnten. Demnächst ist mit dem automatisierten Erstellen personalisierter Mails, dem Kopieren von Stimmen und Manipulieren von Videos zu rechnen. Das Landeskriminalamt Hamburg glaubt, dass Kriminelle in drei Jahren über solche Fähigkeiten verfügen.
Handel mit Sprachprofilen?
Bislang ist nicht bekannt, dass Facebook oder Microsoft Sprachproben von Whatsapp oder Skype verkaufen würden. Skype-Nutzer gewähren immerhin per Lizenzvertrag „Microsoft eine weltweite und gebührenfreie Lizenz für geistiges Eigentum zur Verwendung Ihrer Inhalte“.
Die DSGVO weist glücklicherweise den „Verantwortlichen“ eine „Rechenschaftspflicht“ zu – sie müssen den Nachweis erbringen können, dass ihre Datenverarbeitung die Forderungen der Verordnung erfüllt. Etwa „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ und der „Zweckbindung“ der Verarbeitung. Damit wäre ein Verkauf von Sprachprofilen kaum zu vereinbaren.
Der Zweck der Datenverarbeitung muss klar sein
Laut DSGVO ist der Zweck der Datenverarbeitung zu definieren. Und an den muss man sich halten. Die Daten müssen korrekt sein und gelöscht werden, sobald der Zweck erfüllt ist. Für die Datensicherheit ist ein „angemessenes Schutzniveau“ nach dem „Stand der Technik“ zu garantieren. Die Risiken der „Offenlegung“ von Daten – „unbeabsichtigt oder unrechtmäßig“ – sind zu berücksichtigen. Zum Stand der Technik gehören nach Meinung des Teletrust – Bundesverband IT-Sicherheit e.V. die „besten verfügbaren Techniken“ – wobei auch „Verfahren, Einrichtungen und Betriebsweisen“ dazu zählen, die „nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen“ lassen. Die Daten sind zu anonymisieren und zu pseudonymisieren.
Vom Autor zum Thema erschienen:
Joachim Jakobs: Vernetzte Gesellschaft.
Vernetzte Bedrohungen – Wie uns die künstliche Intelligenz herausfordert.
Cividale Verlag 2015, 352 Seiten, 21,90 Euro
Notfallpläne und präventive Schadensbegrenzung
Der Gesetzgeber setzt auch voraus, „Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“ und „die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“. Für einen solchen Notfallplan gibt es eine Menge Tipps. Je geringer die Rechte vom Personalleiter, -sachbearbeiter und -buchhalter im System, desto geringer mögliche Schäden. Daher müssen sie begrenzt werden.
Penetrationstests und Folgenabschätzung
Außerdem verlangt die DSGVO „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“. Ein solches Verfahren, einen „Penetrationstest“, bieten verschiedene Cybersecurity-Firmen an. „Voraussichtlich“ hohe Risiken verlangen laut DSGVO (Art. 35) nach einer Datenschutz-Folgenabschätzung. Das Kriterium „hoch“ wird anhand des Risikomanagements geprüft: Die Erfassung von Arbeitszeiten per RFID-Technik dürfte etwa darunterfallen.
Kriminelle KI und virtuelle Einbrecher
Künstliche Intelligenz ist auf dem Vormarsch, auch im kriminellen Milieu. Oft bedienen sich virtuelle Einbrecher aber einer einfacheren Methode. Möglich ist es beispielsweise, dass der Personalleiter eine solche Mail erhält: „Sehr geehrter Herr … , Sie wurden von Ihren Kollegen zum besten Personalleiter der Branche gewählt. Dafür möchte Sie der Branchenpräsident Herr Dr. … im Rahmen eines Festakts auszeichnen“. Klickt der Empfänger auf den beigefügten Anhang, wird der Software-Schädling aktiv, nutzt die technischen Lücken des Rechners aus und erbeutet die Personaldatenbank. Dieser Vorgang wäre irreversibel.
Die Haftung der Personalleitung
Zu allem Überfluss soll die Personalleitung nicht nur für eigenes Verhalten und das ihrer Mitarbeiter, sondern auch noch für „Auftragsverarbeiter“ (Personalberater, Zeitarbeitsfirmen) und für fehlerhafte Software haften. Das Schlupfloch (Art. 82, Abs. 3 DSGVO): „Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“ Das heißt letztlich, die Personalleitung könnte gezwungen sein, Rechenschaft darüber abzulegen, ob sie den sicheren Umgang mit Daten per künstlicher Intelligenz geprüft hat.