Datenschutz, Informationssicherheit und Compliance in Deutschland – Was bringt 2023?

Noch immer gibt es keine Nachfolgeabkommen für das im Jahr 2020 durch den EuGH einkassierte Privacy-Shield, welches Grundlage für das Datenaustausch und damit faktisch für die Nutzung US-amerikanischer IT-Dienste durch europäische Kunden war. Es verbleibt somit eine Rechtsunsicherheit bei der Nutzung von Diensten wie Microsoft 365, wie auch zuletzt die umstrittene Einschätzung der DSK belegt. Andere Partner innerhalb der Europäischen Union bewerten die Situation aus Sicht der Unternehmen und Kunden deutlich entspannter. Wir werden sehen, wie es dieses Jahr mit dem Vorstoß zum Privacy Shield 2.0 weiter geht, nachdem die Biden Administration in den USA im Oktober 2022 den Weg frei für ein neues Abkommen gemacht hat.

Für dieses Jahr stehen weitere Grundsatzdiskussion zum „Wesen des Internets“ an und wie Dienste legal angeboten und betrieben werden dürfen – Stichwort Google Fonts. Auch hier bleibt noch vieles vage. Es geht nicht um weniger als um den Kern des Internets und dessen technische Prinzipien. Werden wir auf Sicht ein europäisches Internet bekommen (müssen), abgeschottet von Angeboten aus nicht-EU Rechtsräumen, um europäisches Recht umzusetzen?

Auch im Bereich von Web3 und Blockchain bleibt es spannend. Es scheint, als würden die Technologien den „Hype-Cycle“ mit riesiger Amplitude durchlaufen. Dass die Technologie ganz wieder verschwindet, wie von mancher Seite geunkt, wird wohl nicht passieren. Auch wenn der Friedhof der Web3 und Blockchain Projekte insbesondere im Bereich der Kryptowährungen und NFT-Projekten sich in Rekordgeschwindigkeit füllt, verbleiben aus Sicht von Datenschutz und Informationssicherheit interessante Fragestellungen. Das Wesen der Blockchain-Technologie mit der Unveränderbarkeit von Blöcken auf der Chain wirft Fragen auf, wie mit falschen oder vertraulichen Daten auf der Chain umgegangen werden kann. Wie werden Rechte der informellen Selbstbestimmung wie das Recht auf Privatsphäre oder auf Korrektur und Löschung von Daten auf einer Blockchain umgesetzt? Hinsichtlich der Integrität und Verfügbarkeit von Daten kann eine Blockchain-Technologie im richtigen Konzept potenziell aus Sicht der Informationssicherheit interessant und vorteilhaft gegenüber etablierten Technologien sein – ein konkreter Beleg steht aber weitestgehend noch immer aus.

Keinen Abschwung hingegen erleben die klassischen Gefahren und Angriffsvektoren im Cyber-Raum wie Ransomware-Attacken oder Phishing Angriffe. „Bad Actors“ wie kriminelle Ransomware-Gruppe oder APT werden dieses Jahr kaum weniger aktiv sein, insbesondere da Staaten wie Russland, Iran oder Nordkorea, in denen viele dieser technisch sehr versierten Gruppen ihren Ursprung haben, weniger Motivation denn je haben, diesen Gruppen irgendwie Einhalt zu bieten. Häufig stehen ohnehin staatliche Akteure direkt hinter den Gruppen. Auch das „as-a-Service“ Modell der Angriffe wird ausgebaut werden, inzwischen kann diverse illegale Methoden und Geschäftsmodelle wie „Ransomware-as-a-Service“ mehr oder weniger als schlüsselfertige Komplettlösung inkl. Zahlungsabwicklung über Kryptowährungen gemietet werden. Die ursprünglichen Gruppen skalieren so ihr Angebot und werden so Technologie-Anbietern, während die eigentlichen Angriffe von anderen Personengruppen ausgeführt werden.

Spannend dürfte weiterhin auch die Diskussion bleiben, ob Lösegeld-Zahlungen an Ransomware-Banden als Finanzierung terroristischer Organisationen oder als Verstoß gegen Sanktionen gewertet werden. Dies ist insbesondere für deutsche und europäische Unternehmen relevant, die Geschäftsbeziehungen in die USA unterhalten. Sei es auch Kundenseite oder hinsichtlich der eigenen Finanzierung in Form einer Zusammenarbeit mit US-Investoren (direkt oder indirekt). Im Fall der Fälle droht also nicht nur Ungemach durch den Angriff selbst, sondern auch bei der Bewältigung der Angriffe für den Fall, dass entgegen den allgemeinen Empfehlungen eine Zahlung von Lösegeld in Betracht gezogen wird. Das beste Strategie wird auch 2023 bleiben, es gar nicht erst so weit kommen zu lassen und das Risiko eines erfolgreichen Angriffs von vornherein zu minimieren. Dies wird nicht immer vollständig gelingen – 100%-ige Sicherheit gibt es in diesem Bereich nicht – womit der zweite wichtige Aspekt bleibt, auf Notfälle entsprechend vorbereitet zu sein.

Last but not least – ganz bestimmt nicht – werden die Fortschritte im Bereich der künstlichen Intelligenz (AI) ein Thema für 2023. Schaut man auf die Fortschritte, die Systeme wie GPT und ChatGPT von Open AI in den vergangenen 12-18 Monaten gemacht haben, scheint kaum vorstellbar, wie leistungsfähig Systeme in den kommenden Jahren sein werden. Schon jetzt sind diese Systeme so mächtig, dass viele sinnvolle Anwendungsszenarien entstehen und diese Einzug in die Geschäftsprozesse finden. Dies gilt ebenfalls für die o.g. „Bad Actors“ – wir können uns sicher auf Phishing-Kampgnen der nächsten Generation gefasst machen. Auch bei den sinnvollen Anwendungen von AI gibt es Fragen aus den Bereichen Datenschutz und Informationssicherheit. Wie werden die Daten verarbeitet und wer hat Zugriff auf Ergebnisse? Füttere ich die AI mit vertraulichen Daten, die bei der nächsten Anwendung Eingang in die Ausgabe für andere User findet? Wie werden persönliche Informationen von der AI-Anwendung verarbeitet und wer hat die Kontrolle über die Verarbeitung?

Es bleibt also spannend. Die Themen Datenschutz und Informationssicherheit werden auch dieses Jahr reichlich Stoff für Diskussionen liefern.