Hessens Datenschutzbeauftragter Alexander Roßnagel zeigt sich angesichts einer wachsenden Zahl von Cyberangriffen beunruhigt. 2023 habe es im Bundesland 502 derartige gemeldete Attacken gegeben - etwa gegen die IT-Systeme von Kommunen, sagte er bei der Vorstellung seines jüngsten Berichtes am Dienstag in Wiesbaden. 2022 seien es noch 475 Fälle gewesen. Hinzu komme sicherlich eine Dunkelziffer.

«Cyberangriffe werden qualitativ immer raffinierter und professioneller. Sie richten sich zunehmend gegen Auftragsverarbeiter, die für viele Unternehmen und Behörden arbeiten, und verstärken damit das Schadenspotenzial», erklärte Roßnagel. «Besonders gravierend war im vergangenen Jahr ein Cyberangriff auf eine hessische Kommune, der ihre Verwaltung lahmlegte und für längere Zeit beeinträchtigte.» Ohne Nennung des Städtenamens bezog sich der Juraprofessor damit auf Rodgau im Kreis Offenbach.

Für Ermittlungen in solchen Fällen seien generell Staatsanwaltschaften und Polizei zuständig. «Wir kümmern uns nur um Drittbetroffene», erläuterte Roßnagel. Also beispielsweise um Bürger, deren Kontonummern womöglich im Darknet, einem anonym nutzbaren Bereich des Internets, gelandet seien. Auch um die Schließung von möglichen IT-Sicherheitslücken in Rathäusern gehe es dann.

Mehr Cyberkriminalität

Hessens Innenminister Roman Poseck (CDU) hatte kürzlich betont: «Die Gefährdungslage im Cyberraum ist nicht zuletzt aufgrund des russischen Angriffs auf die Ukraine und der verstärkten Aktivitäten von Cyberkriminellen sehr angespannt.» Kommunen können im Schadensfall beim CyberCompetenceCenter (Hessen3C) des Innenministeriums Unterstützung von Rund-um-die Uhr-Beratung bis hin zu neuer Notfalltechnik bekommen.

Hacker sitzen oft weit weg im Ausland. In Hessen selbst sind schwere Verstöße gegen den Datenschutz 2023 laut der Jahresbilanz des Datenschutzbeauftragten Roßnagel ausgeblieben. Datenschutz werde im Bundesland akzeptiert und nicht grundsätzlich infrage gestellt. Er habe 2023 keine schwerwiegenden Verstöße registriert.

In einigen lebensnahen Fällen sei nach Beschwerden der Schutz persönlicher Daten besser geworden. Unter anderem musste eine Fitnessstudiokette ihre bisherigen Identifizierungsverfahren für Kunden mit Fingerabdrucksensoren und Daten-Chips aufgeben.

Und der Zustelldienst eines Möbelhauses fotografiere nun nicht mehr alle zugestellten Lieferungen in der Wohnung der Empfänger, teilte Roßnagel mit. Auch in einzelnen Arztpraxen und Apotheken habe dafür gesorgt werden müssen, dass mit den Gesundheitsdaten der Patienten sorgsamer umgegangen werde.

Fünfstellige Bußgelder

Der Datenschutzbeauftragte geht unter anderem Beschwerden von Bürgerinnen und Bürgern nach, die ihre Grundrechte beim Datenschutz verletzt sehen. In berechtigten Fällen würden die Verstöße abgestellt, erläuterte Roßnagel. «Die meisten Verantwortlichen beseitigen datenschutzwidrige Zustände umgehend.»

Ansonsten hätten förmliche Anordnungen und Sanktionen geholfen. Die Zahl der Verfahren zur Verhängung von Geldbußen stieg den Angaben zufolge von 113 im Jahr 2022 auf 124 im Jahr 2023. Roßnagel sprach dabei von einzelnen Bußgeldern wie beispielsweise 10.000, 20.000 oder 30.000 Euro.

In den Fokus nahm der oberste hessische Datenschützer auch internationale Digitalkonzerne, für die in Europa oft die irische Datenschutzbehörde zuständig sei. Häufig seien die Konzerne «nicht in der Lage oder nicht willens, die europäischen Datenschutzanforderungen zu erfüllen».

Sie wehren sich laut Roßnagel dagegen, «aus ihrer Sicht regionale Rechtsregelungen zu befolgen, weil dies ein weltweit einheitliches Dienstangebot erschwert». Im Blick der Aufsichtsbehörden seien gegenwärtig Facebook und Microsoft 365.

Zugleich empfahl der hessische Datenschutzbeauftragte, auch abseits von Weltkonzernen Hardware, Software, Dienste und Plattformen anderer Anbieter zu nutzen «und dadurch digitale Souveränität zu erlangen».