Der Hotelier zwischen allen Stühlen: Digitalisierung, Kriminelle, DSGVO und die „MaRisk“ verlangen nach einem Balanceakt. Der Datenschutz-Experte und Fachbuchautor Joachim Jakobs fasst den Stand der Dinge exklusiv für Superior Hotel zusammen.
Der Accor-Konzern erhebt [1] auf seiner Internetseite folgende Daten „über Sie und/oder Ihre Begleitpersonen“: „Kontaktdaten“, „Persönliche Daten“, „Informationen über Ihre Kinder“, „Kreditkartennummer“, „Mitgliedsnummer für das AccorHotels Treueprogramm“, „Informationen über Ihre Aktivitäten im Zusammenhang mit diesen Programmen“, „Ankunfts- und Abreisedaten“, „Ihre Präferenzen und persönlichen Interessen“, „Fragen/Kommentare nach oder während eines Aufenthalts in einem unserer Hotels“ und „technische Informationen bzgl. Ihres Nutzerverhaltens auf den Websites und Apps.“ Für „personalisierte Angebote“ würden „Interessen und Ihr Kundenprofil“ ermittelt.
Nach Artikel 4 Nummer 4 der Datenschutzgrundverordnung (DSGVO) dienen „persönliche Aspekte“ zu diesem „Profiling“, „die sich auf eine natürliche Person beziehen“, um diese „zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.
Seine Erkenntnisse über den Gast teilt das Unternehmen nicht nur mit Hotelmitarbeitern oder medizinischen Dienstleistern vor Ort und den Strafverfolgungsbehörden, sondern gibt sie auch an „Geschäftspartner und Marketing-Dienstleister“ weiter, „sofern Sie der Datenschutz-Abteilung keine anderslautenden Anweisungen erteilen“.
Datenspuren entstehen dabei nicht nur zwischen Accor und einem Dutzend Internetgeräten auf dem Weg zum Gast, sondern auch auf dessen Anwendungsrechner: Diese Spuren sollen den Nutzer so einmalig wie einen Fingerabdruck machen: Wissenschaftler von zwei US-Universitäten wollen in einer Studie über einen Zeitraum von drei Monaten 3615 Fingerabdrücke den zugehörigen 1903 Anwendern mit einer Trefferquote von 99,2 Prozent erfolgreich zugewiesen haben. Und zwar selbst dann, wenn die Teilnehmer mehrere Browser verwandt haben und im „privat surfen“-Modus unterwegs waren.
In ihrem Buch „Essentials of Marketing Research“ wiesen die Autoren Barry J. Babin und William G. Zikmund 2015 darauf hin, dass das Internet bereits zu diesem Zeitpunkt von zwei Milliarden Menschen genutzt worden sei. Das Lesen von Internetfährten bedeute, dass „Milliarden wenn nicht Billionen Spuren“ ausgewertet werden könnten. Somit sei das Internet ein „Datenlager und ein gutes Werkzeug, um Daten über diese Milliarden Verbraucher zu sammeln“.
Zu den Fährtenlesern könnten als erstes die Hotels selbst gehören – Medienberichte warnen jedenfalls vor der Auswertung des Funknetzes durch die Herbergen. Das Unternehmen Swisscom im Schweizerischen Bern zählt darüberhinaus Kriminelle und Terroristen zu den Tätern. So sollen 2018 bei der Hotelkette Marriott Hunderte Millionen Kundendaten illegal kopiert wurden sein. Der Konzern scheint es den Angreifern dabei besonders leicht gemacht zu haben: Pass- und Kreditkartennummern sollen unverschlüsselt gewesen sein. Und es wirkt, als ob solche Zustände mehr die Regel als die Ausnahme sind: Max Waldmann, Gründer des Hotel-Dienstleisters Conichi und Anbieter der Software „Smarthotel“, will von Sicherheitsexperten erfahren haben, dass „sehr, sehr, sehr viele Hotels enorme Schwachstellen haben“. Als Beispiel nennt Waldmann „schwache Passwörter“ – vielfach würde der Hotelname als Passwort verwandt.
Hotels sind ideale Zielobjekte
Hinzu sollen „Staatliche Akteure“ kommen – in ihrem Bericht schreibt die Swisscom, letztere würden sich nicht auf die Überwachung des Netzverkehrs beschränken, sondern „Zielesysteme“ darüberhinaus infiltrieren und mit Schadsoftware infizieren. Tatsächlich scheinen die Ambitionen der Geheimdienste darüberhinaus zu gehen: Der frühere technische Direktor der CIA Ira Hunt brüstete sich 2013, kurz vor Bekanntmachen des Geheimdienstskandals durch Edward Snowden: „Es liegt in sehr greifbarer Nähe, dass wir in der Lage sind, jede von Menschen verursachte Information zu verarbeiten.“ Der Journalist und Geheimdienstexperte James Bamford behauptet darüberhinaus, die Dienste wollten wissen, „was ‚x‘ über ‚y‘ ‚denkt‘“.
Hotels stellen eine prima Gelegenheit dar, das herauszufinden: Einerseits kommen da Menschen einer gewissen Preislage zusammen. Andererseits lassen sich Positionsdaten von schlauen Telefonen sekunden- und millimetergenau auswerten. Das verschafft interessante Erkenntnisse – nicht nur über Puls, Blutdruck und Langzeit-EKG: Das Zittern von Parkinson-Patienten ist einmalig und unterscheidet sich etwa von Unterzuckerten oder Alkoholikern. Weiter sollen sich unsere Stimmung, unser Stressniveau, unser Persönlichkeitstyp, manisch-depressive Erkrankungen, demografische Daten wie Geschlecht, Ehestand, Beschäftigungsverhältnis, Alter, Rauchgewohnheiten, allgemeines Wohlbefinden, Schlafrhythmen, Zufriedenheit, Häufigkeit körperlicher Bewegung und Arten physischer Aktivität und Bewegung ableiten lassen. Künftig ist mit „verstehenden Telefonen“ zu rechnen, die uns Hinweise darauf geben, wessen Gegenwart wir aus medizinischen Gründen meiden sollten.
Hinzu kommt die Analyse von Text, Audio und Video vor, während und nach dem Besuch des Gasts im Hotel: Nicht nur seine Sprache, sondern auch die damit verbundenen Emotionen lassen sich erkennen und durch die Ergebnisse aus der Analyse von Mimik und Gestik anreichern. Daraus soll sich ein Persönlichkeitsprofil ableiten lassen; in Echtzeit! Das sogenannte fünf Faktoren-Modell gilt Wissenschaftlern als „gut abgesichert“:
1. Die Begeisterungsfähigkeit gibt Aufschluss darüber, ob eine Person lieber „im stillen Kämmerlein“ vor sich hin brütet oder eher gesellig ist und mit anderen ins Gespräch kommt. Die psychologischen Parameter heißen Introversion und Extraversion.
2. Der Neurotizismus spiegelt den Umgang mit emotionalen Belastungen; ist der Neurotizismus schwach ausgeprägt, handelt es sich um eine selbstsichere, ruhige Person – umgekehrt geprägte Menschen sind „emotional“ und verletzlich.
3. Die Verträglichkeit beschreibt, in wie weit eine Person ihren Mitmenschen Verständnis, Wohlwollen und Mitgefühl entgegenbringt. Personen mit niedrigen Verträglichkeitswerten beschreiben sich im Gegensatz dazu als widerstreitend, egozentrisch und misstrauisch.
4. Die Gewissenhaftigkeit beschäftigt sich mit dem Grad an Selbstkontrolle, Genauigkeit und Zielstrebigkeit, über die eine Person verfügt. Personen mit hohen Gewissenhaftigkeitswerten handeln organisiert, sorgfältig und überlegt. Personen mit niedrigen Gewissenhaftigkeitswerten handeln spontan und sind unzuverlässig.
5. Die Offenheit erfasst das Interesse an neuen Erfahrungen, Erlebnissen und Eindrücken. Personen mit hohen Offenheitswerten verfügen häufig über eine rege Fantasie, nehmen ihre positiven und negativen Gefühle deutlich wahr und sind vielseitig interessiert. Personen mit niedrigen Offenheitswerten neigen demgegenüber eher zu konventionellem Verhalten und vertrauen auf Bewährtes und Bekanntes anstatt zu experimentieren. Wer ein Psychogramm eines Menschen erstellen will, hat unterschiedliche Möglichkeiten: Er kann den Ehepartner der Zielperson befragen – oder 250 „Facebook-Likes“ auswerten. Wobei nach Meinung von Wissenschaftlern die Facebook-Likes genauere Werte liefern.
Verräterische Angewohnheiten
Aus dem Gebrauch der Informationstechnik läßt sich unsere Psyche ableiten: Viele Tippfehler könnten auf einen Mangel an Genauigkeit, viele Mails auf eine extravertierte Persönlichkeit schließen lassen. Häuft sich der Befehlston in den Mails, könnte dies auf eine aggressive Natur schließen lassen – damit wiederum könnten eine erhöhte Extraversion und eine reduzierte Verträglichkeit verbunden sein. Interessant ist außerdem: Das Tippen eines Menschen auf einer Tastatur ist einmalig – eine Person tippt mit zwei, eine andere mit zehn Fingern, eine langsamer, eine andere schneller, genauso variieren Tastendruck und die Verweildauer des Fingers auf der Tastatur. Sollte der Tastendruck und die Geschwindigkeit beim Tippen einer Mail besonders groß sein, könnte dies ebenfalls wieder ein Hinweis auf eine aggressive Natur sein, – die sich im Moment wahlweise mit einem Thema oder dem Empfänger der Mail besonders engagiert auseinandersetzt.
Im Januar 2017 hat die Marriott-Marke Westin angekündigt, auch noch den Schlaf ihrer Gäste anhand ihrer „Mikro-Bewegungen“ mit Hilfe eines Armbands überwachen zu wollen. Vor dem Hintergrund der erwähnten Datenpanne wirkt das wie eine Drohung.
Seit 25. Mai 2018 gilt die Datenschutzgrundverordnung (DSGVO): Der, der „über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ „ist für die Einhaltung“ von Artikel 5, Absatz 1 „verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“)“. Dieser Absatz 1 verlangt zunächst nach Definition des Zweck der Datenverarbeitung – und diese Definition ist dann auch bindend! Nicht notwendige Daten dürfen gar nicht erst erhoben werden und die erhobenen Daten müssen nicht nur korrekt sein, sondern auch wieder gelöscht werden, sobald der Zweck erfüllt ist. Und der Verantwortliche muss eine „angemessene Sicherheit“ der personenbezogenen Daten gewährleisten. „Angemessen“ gilt das Schutzniveau, wenn der Verantwortliche „Art“, „Umfang“, „Umstände“, die „Zwecke der Verarbeitung“ sowie die unterschiedliche „Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ berücksichtigt. Denn die Risiken, die mit einer Offenlegung personenbezogener Daten – egal „ob unbeabsichtigt oder unrechtmäßig“ verbunden sind, können der Verordnung zufolge zu einem „physischen, materiellen oder immateriellen Schaden“ führen. Dieser wiederum kann in einer „Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust“ oder einer „Rufschädigung“ enden.
SdT und TOM
Deshalb ist der „Stand der Technik“ (SdT) in die Überlegungen zum angemessenen Schutzniveau einzubeziehen. Das Justizministerium definiert den Begriff so: „Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt. Verfahren, Einrichtungen und Betriebsweisen […] müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein“. Der Regierung ist also das Beste grade gut genug, was der Markt an ‚technischen und organisatorischen Maßnahmen‘ (TOM) hergibt. Dieses Angebot ändert sich – genauso wie die Risiken! – ständig; und der Verantwortliche muss ein System nachweisen, mit dessen Hilfe er die Sicherheit seine Datenverarbeitung ständig auf diesem Niveau hält.
Die Messlatte SdT ist in vielen Details von Bedeutung:
1. Der eco Verband der Deutschen Internetwirtschaft warnt davor, die Gefahr der Profilbildung zu unterschätzen. In der Tat: Grade die Hotellerie könnte ein Interesse an den Gedanken haben, die dem Gast so (nicht) durch den Kopf gehen, um ihm dann „vorausschauende“ Angebote zu machen, von denen er selbst noch garnicht weiß, dass er sie benötigt. Der Austausch der Daten zwischen dem Gebäudemanagement und der Verkaufsabteilung würde jedoch der Zweckbindung widersprechen. Die Verwendung von Profilen ist nur unter Umständen erlaubt. Und: Wer Daten (mit Dritten) tauschen will, muss diese erst „anonymisieren“.
Dazu reicht es jedoch nicht, auf das Nennen von Name, Geburtsdatum und Wohnort zu verzichten – die Firma Datarella behauptet: „Eine Anonymisierung, z.B. dadurch dass man die Userkennung oder die IP-Adresse löscht, ist nicht möglich. Wie ein Fingerabdruck können wir über die Spur identifiziert werden, die wir in den Daten hinterlassen.“ Datenschützer empfehlen daher, „keine eindeutigen Merkmale“ zu speichern. Wer beim Anonymisieren schlampt und seine ihm vertrauenden Mitmenschen verpetzt, hat 72 Stunden Zeit, die Datenschutzverletzung seiner Aufsichtsbehörde zu beichten. Reicht diese Frist nicht, ist das zu begründen. Beim erfolgreichen Anonymisieren könnte womöglich eines dieser Werkzeuge behilflich sein.
2. Die DSGVO setzt die „Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters“ voraus: Diese beiden und jede „Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten.“ Der Chef sollte also definieren, wer elektronische Zimmerschlüssel für Gäste sowie (externe) Mitarbeiter und Lieferanten ausgeben darf, welche (Zutritts-)Berechtigungen zu Räumen und technischen Geräten damit verbunden sind und zu welchen Tages- und Jahreszeiten diese beansprucht werden dürfen. So könnte der Verantwortliche in Rechtfertigungszwang geraten, wenn der Hausmeister während des Urlaubs an seinen Arbeitsplatz gelangen könnte. Oder in dieser Zeit per Handy Zugriff auf die vernetzte Klimaanlage in den Gästezimmern hätte. Wenn Kriminelle dem Hausmeister diesen Zugang – virtuell – „aus der Hand“ nehmen könnten, könnten sie dem Gast personalisiert die Heizung an- oder ausdrehen. Oder den Hotelier damit erpressen.
3. Der Gesetzgeber verlangt die TOM, um „Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Praktiker kritisieren das als zu schwammig und empfehlen, die ISO 27002 als Hilfe bei der Umsetzung heranzuziehen. Der Rechtsanwalt Roland Schellwald zählt eine ganze Batterie von Kontrollpflichten auf, die damit verbunden sind.
4. Absoluten Schutz kann es jedoch nicht geben – daher muss jeder Unternehmer mit Hilfe des Risikomanagements das „angemessene“ Schutzniveau ermitteln; das hängt „insbesondere“ mit Risiken zusammen, die mit der Verarbeitung verbunden sind. Ausdrücklich betont der Gesetzgeber die Möglichkeit von „Vernichtung, Verlust oder Veränderung“, egal, „ob unbeabsichtigt oder unrechtmäßig“: Der Verantwortliche ist verantwortlich für die „unbefugte Offenlegung von [...] personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden“. Wer also der Versuchung erliegt, seine Gäste mit Hilfe ihres Fingerabdrucks anmelden zu lassen, muss das Risiko in Betracht ziehen, dass dieser Fingerabdruck in falsche Hände geraten könnte. Dabei ist der Wert zu berücksichtigen, den dieser Fingerabdruck für Kriminelle darstellt. Dieser Wert wird für die Gäste eines Fünf-Sterne-Hotels anders zu beurteilen sein als in einem Haus mit nur einem Stern.
5. „Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit“ der TOM soll darüberhinaus „zur Gewährleistung der Sicherheit der Verarbeitung“ beitragen.
Der Verantwortliche muss systematisch die Risiken erfassen und bewerten, die sich aus der Evolution auf Angreiferseite ergeben – etwa dass künstliche Intelligenz (kI) genutzt wird, um menschliche und technische Schwächen automatisiert zu mißbrauchen. Dass Kriminelle sich gegenseitig Fortbildung anbieten.
Einen (sogar kostenlosen!) „Web Server Security Test“ bietet die „High Tech Bridge“, eine – so das Selbstverständnis – „Web Security Company“ an: Da kann man eine Internetseite angeben und die Maschine spuckt anschließend einen detaillierten Bericht zur Sicherheit der Seite aus. Die Kunden scheinen mit dem Dienst zufrieden zu sein: Beim Marktforscher Gartner erhielt der Test von 15 Kunden 4,7 von 5,0 möglichen Sternen. Die Israelische Cronus Cyber Technologies hat von der nicht-kommerziellen Organisation CREST ein Zertifikat für seine automatisierten und kontinuierlichen Penetrations-Dienstleistungen erhalten. Und ein Werkzeug namens X-VIGIL soll „kritische Konversationen“ in sozialen Medien und dem Dunklen Netz verfolgen und die Bedrohung einschätzen, die sich daraus für die Systeme des Kunden ergibt.
Anwender müssen lernen, ein Gespür für die Plausibilität und Vertrauenswürdigkeit elektronischer Nachrichten zu bekommen – merke: Nicht Jeder, der Dir schreibt, ist auch Dein Freund! Die kI ist offenbar Stand der Technik – somit kann vom Gebäudedienstleister – unter Berücksichtigung des Schutzbedarfs – der Nachweis verlangt werden, dass er seine Systeme mit kI geprüft hat; denn kI soll auch Wege finden, die dem Menschen auf den „ersten Blick“ verborgen bleiben.
6. Weiterhin ist es nach DSGVO erforderlich „die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen“. Auch dafür gibt's eine Menge Hilfe.
In einem „Verzeichnis von Verarbeitungstätigkeiten“ sind die Datenverarbeitungen zusammenzufassen. „Dieses Verzeichnis enthält sämtliche folgenden Angaben“:
- „den Namen und die Kontaktdaten des Verantwortlichen [...]“
- „die Zwecke der Verarbeitung“;
- eine Beschreibung der Kategorien betroffener Personen und Daten;
- „die Kategorien von Empfängern [...]“
- „gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation [...]“;
- „die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien“;
- eine allgemeine Beschreibung der TOM zum Schutz der Daten.
Hohes Risiko bei „smart“ oder „4.0“
Einen besonderen Leckerbissen stellt die Datenschutzfolgenabschätzung (DSFA) dar: „Voraussichtlich“ „hohe“ Risiken verpflichten zu dieser Maßnahme, die „zumindest Folgendes“ enthält:
- eine „systematische Beschreibung“ der Verarbeitungsvorgänge und der Verarbeitungszwecke
- „eine Bewertung“ von Notwendigkeit und Verhältnismäßigkeit „in Bezug auf den Zweck“
- „eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1“ und
- „die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird“.
Die Datenschutzkonferenz – eine Institution der Aufsichtsbehörden in Bund und Ländern – hat eine Liste von Datenverarbeitungen vorgelegt die das Kriterium „hohe Risiken“ erfüllt; demnach verpflichtet auch die „umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen“ zur Durchführung einer solchen DSFA. Abschließend ist diese Liste jedoch nicht – allgemein lässt sich feststellen, dass eine DSFA umso notwendiger wird
- je mehr Daten über eine Person gesammelt werden
- je mehr Personen davon betroffen sind und
- je größer der technische Aufwand dazu ist. Begriffe wie „smart“, „tele-“ oder „4.0“ könnten Hinweise auf ein hohes Risiko sein.
Das gilt umso mehr bei der „Verarbeitung besonderer Kategorien personenbezogener Daten“: Darunter fallen Daten, die Aufschluss über „die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit […], genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung“ geben können. Häufig könnten sich solche Erkenntnisse aus den Essenswünschen der Gäste ableiten lassen. Da stellt sich dann die Frage, ob es nicht besser ist, auf die Erfassung dieser Informationen ganz zu verzichten – wenn sie denn überhaupt erlaubt ist. Wenn das der Fall ist, empfiehlt der Gesetzgeber „angemessene Garantien“ abzugeben.
Geht aus der DSFA hervor, dass die Datenverarbeitung ein hohes Risiko nach sich zöge, wenn der Verantwortliche keine Maßnahmen zur Eindämmung trifft, konsultiert der Verantwortliche seine Aufsichtsbehörde. Diese kann schriftliche Empfehlungen erteilen oder ein „Verbot“ verhängen.
Für Verstöße gegen die Verordnung drohen Geldbußen, die „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sind. Sprich: Bis zu 20 Millionen Euro oder 4 Prozent vom Jahresumsatzes – „je nachdem, welcher der Beträge höher ist“. Bei deren Verhängung berücksichtigt die Aufsichtsbehörde „Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“.
DSGVO-konforme Lieferkette
Hinzu kommen mögliche Schadenersatzforderungen – das Schlupfloch: „Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung [...] befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“ „Auftragsverarbeiter“ – eine wichtige Vokabel: Spannt der Verantwortliche einen externen Dienstleister – etwa ein Systemhaus zur Einrichtung von Informationstechnik – ein, muss er den zur Implementierung der Forderungen gemäß DSGVO vergattern. Ähnlich wie das mit den Arbeitsverträgen seiner Mitarbeiter ist. Darüberhinaus haftet der Verantwortliche für Lücken in Hard- und Software, die er bei Dritten einkauft. Der Bundesbeauftragte für den Datenschutz empfiehlt insbesondere den Anwendern proprietärer Software (etwa von Microsoft), sich bei Ihren Lieferanten um entsprechende Dokumentationen zu bemühen, um ihrer Rechenschaftspflicht zu genügen. Die Anwender von Freier Software (etwa GNU/Linux) tun sich hier leichter, weil sie durch den freien Zugang zum Quellcode die notwendigen Dokumentationen theoretisch sogar selbst erstellen können.
Zusätzlich drohen Abmahnungen – unklar ist jedoch, ob tatsächlich nur Verbraucher- und Datenschutzverbände abmahnberechtigt sind oder auch Wettbewerber. Die könnten einen „unlauteren Wettbewerb“ geltend machen.
In jedem Fall sollte sich der Verantwortliche darüber im Klaren sein: Seine Lieferkette muss er verpflichten, wenn er nicht in Mithaftung genommen werden möchte. Und es ist darüber hinaus sicher eine gute Idee, auch bei den Kunden für das Einhalten der DSGVO zu sorgen – der Verantwortliche (Unternehmer) gehört nämlich gegenüber seinen Kunden zu den „nachrangigen Insolvenzgläubigern“, wenn diese in Zahlungsschwierigkeiten geraten und muss in einem etwaigen Insolvenzverfahren mit den übrigen Angehörigen dieser Spezies um die Aufteilung der „Insolvenzmasse“ streiten. Darüber sollten insbesondere die Hoteliers nachdenken, bei denen Rahmenverträge mit der Industrie nennenswert zum Geschäft beitragen.
Geldbußen und Schadenersatz
Sollte sich die Domino-Kette in Bewegung setzen, könnte sich das auch auf das Verhalten derer niederschlagen, die Eigen-/Fremdkapital, Versicherungen oder Warenkredite anbieten, Geld anlegen oder in anderer Weise am Finanzmarkt tätig sind: Jeder muss sich fragen, ob er sein Geld wieder sieht. Jeder Schuldner ist im Verdacht, seine Forderungen nicht mehr bedienen zu können. Wer das Risiko reduzieren will, vom Kapitalmarkt verschmäht zu werden, kann sich Gedanken darüber machen, ob er sein Unternehmen einer Datenschutz-Zertifizierung unterziehen möchte. Außerdem kann er sich sein Sicherheitsniveau von Dienstleistern wie BitSight Technologies bescheinigen lassen – das Unternehmen sammelt eigenen Angaben zufolge „Terabytes“ von (nicht-)öffentlichen Sicherheitsinformationen aus tausenden (kompromittierten) Unternehmen und seiner Kunden weltweit und erstellt daraus einen Bericht, der dem Kunden Aufschluss darüber gibt, wie das eigene Sicherheitsniveau im Vergleich zu seiner Branche dasteht. Dabei wird auch das Nutzerverhalten und die Sorgfalt berücksichtigt, mit der sich das zu prüfende Unternehmen mit seinen öffentlich sichtbaren Geräten und Angeboten präsentiert. Diese Sicht von „außen“ ist wichtig: Milliarden Menschen können sich die Präsentation des Unternehmens ansehen – und einige unfreundliche Akteure suchen mit Hilfe von künstlich intelligenten „Schwachstellen-Scannern“ nach Löchern.
Innerhalb von einem Jahr haben die Aufsichtsbehörden Geldbußen in Höhe von lediglich einer halben Million Euro verhängt. Im September 2019 hat der Bundesdatenschutzbeauftragte jedoch angekündigt, die Möglichkeiten des Bußgeldrahmens künftig ausschöpfen zu wollen. In Berlin wird eine Geldbuße in zweistelliger Millionenhöhe vorbereitet. British Airways musste bereits 204 Millionen Euro zahlen. Selbst wenn nur eine Frühstücksliste mit 46 Personen fotografiert und ins Netz gestellt wird, kann das 15.000 Euro kosten.
Festplattenhersteller glauben jedoch, dass sich die Datenmenge bis 2025 auf 175 Zettabytes gegenüber 2018 verfünffachen wird. Diese Entwicklung wird katalysiert durch die flächendeckende Einführung von Sensoren, deren Daten breitbandig vernetzt in der realen Welt erfasst und mit künstlicher Intelligenz in Echtzeit ausgewertet und am Ende die Voraussetzung dafür schaffen, die „Dinge“ mit Hilfe von Aktoren zu manipulieren. Damit ist die Aussicht auf zusätzliche Datenpannen, Lösegeldforderungen, Gerichts-, Anwalts-, Sachverständigen- und Dienstleisterkosten sowie Geldbußen und Schadenersatz verbunden.
Das schränkt die finanziellen Mittel und den Firmenwert ein: 2015 fürchtete die Rating Agentur Moodys, dass Unternehmen nach einer Datenpanne in Zahlungsschwierigkeiten geraten könnten. Im Mai 2018 behauptete der IT-Hersteller Cisco, 60 Prozent der Mittelständler müssten innerhalb von sechs Monaten nach einem Angriff den Geschäftsbetrieb einstellen. Aktienkurse sollen zwar „nur“ um ein Prozent sinken, sie sollen jedoch drei Jahre nach dem Vorfall nur um 15,58 Prozent und nicht wie der NASDAQ-Index um 28,71 Prozent gewachsen sein, so die Beobachtung des Analysten Paul Bischoff von der Verbraucherschutzorganisation Comparitech. Zum Jahresende 2018 hat Moodys damit begonnen, die Cyberrisiken in seine Bonitätsbewertungen mit aufzunehmen.
Kein Datenschutz, kein Kredit
Das ruft die Bundesanstalt für Finanzdienstleistungen (BaFin) auf den Plan: in einem „Rundschreiben“ vom September 2017 mit dem Titel: „Mindestanforderungen an das Risikomanagement – MaRisk“ verlangt die Behörde von der Kreditwirtschaft: „Ungeachtet der Gesamtverantwortung der Geschäftsleitung für die ordnungsgemäße Geschäftsorganisation und insbesondere für ein angemessenes und wirksames Risikomanagement ist jeder Geschäftsleiter für die Einrichtung angemessener Kontroll- und Überwachungsprozesse in seinem jeweiligen Zuständigkeitsbereich verantwortlich.“
Zur Gesamtverantwortung der Geschäftsleitungen von Banken und Sparkassen gehört auch das Kreditgeschäft. Auch dem widmet sich die BaFin in ihrem Rundschreiben mit Liebe zum Detail: So verlangt die Behörde in diesem Bereich nach „Funktionen, die der Überwachung und Kommunikation der Risiken (Risikocontrolling) dienen“. Dazu gehören „Prozesse für die Kreditbearbeitung (Kreditgewährung und Kreditweiterbearbeitung), die Kreditbearbeitungskontrolle, die Intensivbetreuung, die Problemkreditbearbeitung und die Risikovorsorge [...] Die Verantwortung für deren Entwicklung und Qualität muss außerhalb des Bereichs Markt angesiedelt sein.“ Neben der wirtschaftlichen Betrachtung müssen dabei „insbesondere auch die technische Machbarkeit und Entwicklung sowie die mit dem Objekt/Projekt verbundenen rechtlichen Risiken in die Beurteilung einbezogen werden“.
Wenn also ein Hotelier die Bedürfnisse seiner Gäste „vorausschauend analysieren“ sowie diese „ununterbrochen unterstützen“ möchte und deshalb zur Finanzierung von Hard- und Software einen Unternehmerkredit benötigt, sollte er sich auf dezidierte Fragen zu seinem Datenschutz- und Risikomanagementsystem, sowie der Datenschutzfolgenabschätzung gefasst machen. Ähnliche Gespräche drohen mit denen, die Versicherungen oder Eigenkapital zu vergeben haben.
Der Autor hat 2015 das Fachbuch „Vernetzte Gesellschaft. Vernetzte Bedrohungen: Wie uns die künstliche Intelligenz herausfordert“ im Cividale Verlag veröffentlicht und ist Mitgründer der Xing-Gruppe „Schlaues Deutschland 4.0“
