[datensicherheit.de, 29.09.2025] Die 74. Generalversammlung der Vereinten Nationen hat im Jahr 2019 den 28. September zum jährlich wiederkehrenden „Tag für den universellen Zugang zu Informationen“ erklärt. Aus Anlass des diesjährigen „Internationalen Tages der Informationsfreiheit“ am 28. September 2025 hat die „Konferenz der Informationsfreiheitsbeauftragten in Deutschland“ (IFK) an die Entscheidungsträger in Parlamenten und Regierungen appelliert, die Regeln für Transparenz und Informationsfreiheit fortzuentwickeln und auszubauen. Mittels belastbarer Transparenzrechte für jeden erhielten sowohl Bürger als auch gesellschaftliche Initiativen objektive Informationen. Diese könnten auf diese Weise Entscheidungen der Verwaltungen nachvollziehen und auf Augenhöhe politisch mitgestalten.

Foto: Volker Hielscher

Tino Melzer betont: Die Informationsfreiheit ist ein etablierter Teil demokratischer Teilhabe und wird auch international als zentrales Element freiheitlich demokratischer Staatsformen angesehen!

Noch nicht alle Bundesländer mit eigenem Informationsfreiheitsgesetz

Die offene Gesellschaft und der transparente, bürgernahe Staat gerieten durch Desinformationskampagnen zunehmend unter Druck. Die Stärkung der Transparenz sei eine geeignete Strategie, um dieser Entwicklung entgegenzuwirken und demokratische Institutionen zu fördern.

• Die jüngste Entwicklung der Informationsfreiheit in Deutschland gehe indes in die falsche Richtung. In Thüringen und Baden-Württemberg fehle der politische Wille, die Ergebnisse von Evaluationen bestehender Gesetze umzusetzen oder überhaupt zu veröffentlichen. In Sachsen solle mit der Verschiebung der Transparenzplattform sogar in den „Rückwärtsgang“ geschaltet werden.

In Bayern und in Niedersachsen gebe es noch immer kein Informationsfreiheitsgesetz. „Mit Rückschritten ist jedoch niemandem geholfen – weder den Bürgerinnen und Bürgern noch den Verwaltungen selbst.“ Die Politik sollte sich stattdessen an gut funktionierenden Transparenzgesetzen anderer Länder orientieren.

IFK bemüht sich um einheitlichen Standpunkt zu aktuellen Themen der Informationsfreiheit

Es werde Zeit, auch in Deutschland Transparenz über das Verwaltungshandeln auf einheitlich hohem Niveau zu schaffen. „Die Informationsfreiheit ist ein etablierter Teil demokratischer Teilhabe und wird auch international als zentrales Element freiheitlich demokratischer Staatsformen angesehen. Das hat die ,Internationale Konferenz der Informationsfreiheitsbeauftragten’ (ICIC) im Juni 2025 in Berlin eindrucksvoll gezeigt“, so der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Tino Melzer, für 2025 Vorsitzender der IFK. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hatte die jüngste ICIC vom 23. bis 25. Juni 2025 in Berlin ausgerichtet.

• Die IFK ist demnach ein Gremium, welches aus den Informationsfreiheitsbeauftragten des Bundes und der Länder besteht, die in ihrem jeweiligen Zuständigkeitsbereich über ein entsprechendes Informationsfreiheits- oder Transparenzgesetz verfügen – indes sind Bayern und Niedersachsen in diesem Gremium noch nicht vertreten.

Die IFK beschäftige sich mit aktuellen Themen und Fragen rund um die Informationsfreiheit und fasse hierzu Entschließungen, welche einen einheitlichen Standpunkt zu aktuellen Themen der Informationsfreiheit aufzeigen sollen. Die IFK tage zweimal jährlich öffentlich unter wechselndem Vorsitz. Auf der Website des Thüringer Landesbeauftragten sind die Entschließungen, Positionspapiere und Protokolle der IFK veröffentlicht.

Weitere Informationen zum Thema:

unesco
International Day for Universal Access to Information: 28 September

BfDI Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Konferenz der Informationsfreiheitsbeauftragten / Die Konferenz der Informationsfreiheitsbeauftragten in Deutschland (IFK) ist ein Gremium, das sich mit aktuellen Fragen der Informationsfreiheit beschäftigt, dass heißt mit dem Zugang zu amtlichen Informationen bei öffentlichen Stellen.

BfDI Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Internationale Konferenz der Informationsfreiheitsbeauftragten / Die „International Conference of Information Commissioners“ – ICIC ist ein ständiges Netzwerk von Informationsfreiheitsbeauftragten auf internationaler Ebene. Hauptziele der ICIC sind Schutz und Förderung des Zugangs zu öffentlichen Informationen als einer fundamentalen Säule für soziale, ökonomische und demokratische Regierungsführung.

TLfDI Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Die Dienststelle des TLfDI

TLfDI Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Entschließungen

datensicherheit.de, 26.06.2025
BfDI meldet erfolgreichen Abschluss der „ICIC 2025“ / Europäisches Transparenz-Netzwerk ENTRI in Berlin gegründet — BfDI übernimmt Vorsitz

[datensicherheit.de, 10.07.2025] Der Branchenverband Bitkom e.V. hat laut einer Stellungnahme vom 9. Juli 2025 als erster großer Wirtschaftsverband einen umfassenden Transparenzbericht veröffentlicht: Dieser enthält demnach unter anderem detaillierte Angaben zur internen Organisation, Entscheidungsprozessen, Mitgliederstrukturen, Finanzen und Beschäftigten, Kommunikation und den politischen Aktivitäten.

Foto: Bitkom

Dr. Ralf Wintergerst: Indem wir unsere Arbeit nachvollziehbar machen, wollen wir auch das Vertrauen in die Digitale Transformation insgesamt stärken

Der Bitkom-Transparenzbericht soll deutlich über gesetzlichen Vorgaben hinausgehen

Mit seinem Transparenzbericht möchte der Bitkom deutlich über die gesetzlichen Vorgaben hinausgehen.

• Transparenz sei eine zentrale Voraussetzung für Vertrauen – in die digitale Wirtschaft, in neue Technologien und in die Arbeit unseres Verbands.

„Mit unserem ersten Transparenzbericht wollen wir einen Einblick in unsere Aktivitäten und in die Strukturen und Entscheidungsprozesse dahinter geben“, erläutert hierzu der Bitkom-Präsident, Dr. Ralf Wintergerst.

Bitkom hat Selbstverpflichtung der Initiative Transparente Zivilgesellschaft unterzeichnet

Wintergerst betont: „Unser Ziel ist es, eine faktenbasierte und offene Debatte über die Digitalisierung zu fördern. Indem wir unsere Arbeit nachvollziehbar machen, wollen wir auch das Vertrauen in die Digitale Transformation insgesamt stärken.“

• Der Bitkom-Transparenzbericht solle regelmäßig aktualisiert werden. Zugleich habe der Bitkom die Selbstverpflichtung der Initiative Transparente Zivilgesellschaft (ITZ) unterzeichnet und sei von dieser Organisation entsprechend anerkannt worden.

Mit der Unterzeichnung der ITZ-Selbstverpflichtung reihe sich der Bitkom in einen Kreis von Organisationen ein, welche sich „für nachvollziehbare Strukturen, klare Entscheidungsprozesse und eine offene Kommunikation gegenüber der Öffentlichkeit einsetzen“.

Weitere Informationen zum Thema:

bitkom, 2025
Bitkom Transparenzbericht 2025

Initiative Transparente Zivilgesellschaft
Transparenz schafft Vertrauen

datensicherheit.de, 07.06.2024
BfDI-Forderung nach Transparenzgesetz auf Bundesebene als Update des bestehenden Informationsfreiheitsgesetzes / Deutschland als Gastgeber der „ICIC 2025“ in Berlin sollte dann sein neues Transparenzgesetz präsentieren können

datensicherheit.de, 13.09.2020
bitkom begrüßt geplantes Lobby-Transparenzregister / bitkom-Hauptgeschäftsführer Dr. Rohleder betont, dass für geheime Wahlen Lobbyismus transparent sein muss

[datensicherheit.de, 16.01.2025] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ist in seiner Stellungnahme vom 13. Februar 2025 auf die Vorreiterrolle Hamburg in Fragen der Transparenz auf politischer Ebene eingegangen. Demnach gilt Hamburg mit seinem Transparenzgesetz als Vorbild für andere Länder in Deutschland. Nachholbedarf habe indes noch bei der Transparenz der Lobby-Kontakte der Senats- und Bürgerschaftsmitglieder bestanden. Diese Lücke werde nun geschlossen, denn am 12. Februar 2025 habe die Hamburger Bürgerschaft ein Lobby-Registergesetz beschlossen.

Neues Hamburger Lobby-Registergesetz mit legislativ-exekutivem „Fußabdruck“

Künftig müsse sich jeder Interessenvertreter, der sich regelmäßig an Senat oder Bürgerschaft bzw. an hochrangige Entscheidungsträger in den Behörden wendet, in ein Lobby-Register eintragen. Das neue Lobby-Registergesetz sehe auch einen legislativ-exekutiven „Fußabdruck“ vor: Stellungnahmen, mit denen Einfluss auf konkrete Gesetzesvorhaben genommen werden soll, müssten nun zusammen mit den übrigen Gesetzesmaterialien veröffentlicht werden.

So werde besser nachvollziehbar, „welche Gruppen oder Personen sich mit ihren Positionen eingebracht und gegebenenfalls durchgesetzt haben“. Zudem müssten sich die Lobbyisten einem Verhaltenskodex für integre Lobby-Arbeit unterwerfen – bei Verstößen gegen die Gesetzespflichten drohten Bußgelder.

Hamburger Lobby-Register soll Versuche einer verdeckten politischen Einflussnahme erschweren

Der HmbBfDI wirbt nach eigenen Angaben „bereits seit Jahren für mehr Transparenz bei Lobby-Kontakten“. Ein Lobby-Register könne Versuche einer verdeckten politischen Einflussnahme erschweren und Verflechtungen zwischen Lobby-Gruppen und Entscheidungsträgern sichtbar machen. Dadurch sichere es langfristig auch das Vertrauen in die Integrität der Mandats- und Amtsträger.

Das vorliegende Gesetz biete dafür eine gute Basis. Wie schon das Transparenzgesetz sei es aus einer Volksinitiative hervorgegangen. Die Reichweite der Transparenzpflichten und die Sanktionsmöglichkeiten orientierten sich an vergleichbaren Regelungen in Bund und Ländern – mit einer Besonderheit: „Wer der Meinung ist, dass im Register Informationen fehlen, die eintragungspflichtig sind, kann in einem Vermittlungsverfahren den HmbBfDI anrufen.“ Der HmbBfDI sei damit der erste Informationsfreiheitsbeauftragte, der auch im Zusammenhang mit einem Lobbyregister Aufgaben übernehme.

Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit als unabhängige Beschwerdestelle

Der HmbBfDI, Thomas Fuchs, kommentiert: „Es ist sehr erfreulich, dass es noch in dieser Legislaturperiode gelungen ist, ein Lobby-Registergesetz zu verabschieden, dass sich auch im bundesweiten Vergleich sehen lassen kann – mit klaren Transparenzpflichten, legislativem ,Fußabdruck’ und einer unabhängigen Beschwerdestelle.“

Lobbyismus sei nicht grundsätzlich fragwürdig, er dürfe aber nicht im Verborgenen stattfinden. „Das neue Lobby-Register kann einen Beitrag dazu leisten, das ,Hinterzimmer’ abzuschaffen und Versuche der Einflussnahme in die Öffentlichkeit zu bringen“, so Fuchs abschließend.

Weitere Informationen zum Thema:

BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG, 02.01.2025
Drucksache 22/17395 / Ein weiterer Meilenstein für mehr Transparenz und Vertrauen in die Politik: Nach dem Transparenzportal bekommt Hamburg nun auch ein Lobbyregister

[datensicherheit.de, 21.06.2024] Dies sind laut einer aktuellen Stellungnahme von Cohesity direkte Folgen der jüngsten Ransomware-Attacken der vergangenen 15 Tage: „800 verschobene Operationen, geschlossene Rathäuser, ausgefallene Video-Dienste“ – die Ransomware-„Pandemie“ wüte ungebremst und die Politik diskutiere strengere Regeln. So werde in Großbritannien diskutiert, ob Firmen gezwungen werden sollten, Ransomware-Attacken und Lösegeld-Zahlungen zu melden. Die EU habe mit NIS-2 und DORA bereits strenge Meldepflichten definiert.

Ransomware-Angriff gegen britisches Labor zwang Krankenhäuser zur Verschiebung von rund 800 Operationen

„Der Fall von Synnovis legt offen, wie selbst Kritische Infrastrukturen anfällig bleiben und wie komplex Firmen heute miteinander verwoben sind. Dadurch entstehen ungewisse Ausfallrisiken.“ Synnovis sei als Pathologie-Labor in Großbritannien mit seinen Dienstleistungen wie Bluttests eng mit einigen Krankenhäusern verzahnt.

Ein Ransomware-Angriff gegen dieses Labor habe nun betroffene Krankenhäuser gezwungen, insgesamt rund 800 Operationen zu verschieben. Mark Dollar, „CEO“ des demnach am 4. Juni 2024 gehackten Gesundheitsdienstleisters Synnovis, kommentiert: „Angriffe dieser Art können jederzeit jedem passieren und die dahinter stehenden Personen haben beunruhigenderweise keinerlei Skrupel, wen ihre Aktionen treffen könnten.“

Weitere Ransomware-Angriffe gegen kommunale Einrichtungen in den USA

Zeitungen hätten weitere Ransomware-Angriffe gegen kommunale Einrichtungen wie Michigan’s Traverse City und New York’s Newburgh in den USA gemeldet, der Video-Dienstleister Niconico sei ebenfalls offline. Dies seien vier Beispiele für erfolgreiche Ransomware-Angriffe aus den vergangenen 15 Tagen – die Dunkelziffer sei wahrscheinlich x-fach höher. „Und hier wollen Politiker aus Großbritannien ansetzen und Firmen zu mehr Transparenz zwingen.“

„Diskutiert werden erste Ideen, ob man alle Opfer verpflichten soll, Vorfälle der Regierung zu melden.“ Opfer sollten sich auch vor erpressten Lösegeldzahlungen eine Lizenz besorgen müssen – ebenfalls vorgeschlagen werden solle sogar ein vollständiges Verbot von Lösegeldzahlungen für an nationaler Kritischer Infrastruktur beteiligte Organisationen. Dieses Verbot solle Hackern den Anreiz nehmen, diese Kritischen Dienste zu stören, indem es sie daran hindere, Angriffe zu monetarisieren.

Meldepflicht von 72 Stunden als globaler Standard auch nach Ransomware-Vorfällen

Die US-Regierung habe bereits im März 2022 mit ihrem Gesetz „Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)“ klar geregelt, dass Betreiber Kritischer Infrastruktur einen Cyber-Vorfall innerhalb von 72 Stunden melden müssten. Ransomware-Zahlungen müssten sogar 24 Stunden nach der Zahlung kommuniziert werden.

Die Vorschriften und Gesetze, mit denen Regierungen mehr Licht in Cyber-Gefahren und -Risiken bringen möchten, orientierten sich zusehends an strengen zeitlichen Vorgaben bei der Meldepflicht: „72 Stunden sind hier der globale Standard, der sich nun zu etablieren scheint.“ Auch bei dem „Digital Operational Resilience Act“ (DORA), auf die Finanzindustrie fokussiert, und der NIS-2-Direktive seien 72 Stunden das Maß der Dinge. Mit beiden Regelwerken möchte die EU Firmen in Europa zu mehr operativer Cyber-Resilienz drängen.

Obligatorische Meldepflichten bei Datenschutzverletzungen

Die obligatorischen Meldepflichten bei Datenschutzverletzungen hätten es in sich und stellten klare Anforderungen:

• Innerhalb von 24 Stunden müsse die Organisation eine Frühwarnung geben, „wenn der Verdacht besteht, dass ein schwerwiegender Vorfall durch rechtswidrige oder böswillige Handlungen verursacht wurde oder grenzüberschreitende Auswirkungen haben könnte“.
• Innerhalb von 72 Stunden nach Bekanntwerden eines schwerwiegenden Vorfalls müsse die Frühwarnung mit einer ersten Bewertung, einschließlich seiner Schwere und Auswirkungen, aktualisiert werden. Die Organisation sollte dem nationalen CERT auch alle Indikatoren für eine Gefährdung im Zusammenhang mit dem Angriff mitteilen.
• Auf Anfrage eines nationalen CERT oder einer Aufsichtsbehörde müsse die Organisation Zwischenstatus-Aktualisierungen bereitstellen.
• Innerhalb eines Monats nach Einreichung der Vorfallmeldung müsse die Organisation einen Abschlussbericht vorlegen.

Nicht nur nach Ransomware-Angriffen selbst mehr Transparenz schaffen

Das Risiko erfolgreicher Cyber-Attacken auf das Wohl und Leben der Bürger werde die Politik weiter antreiben, neue Regeln und Vorschriften zu erlassen – mit dem Ziel, das Sicherheitsniveau und die Cyber-Resilienz zu stärken. „Da wird also wahrscheinlich noch mehr kommen.“ Firmen sollten entsprechend reagieren und intern mehr Transparenz und Kontrolle über ihre Daten und Dienste schaffen. Dazu seien folgende Schritte elementar:

1. Daten genau verstehen!
Firmen müssten genau wissen, welche Daten sie besitzen und welchen Wert sie haben. Nur dann könnten sie in den Behörden berichten, welche Daten bei einer erfolgreichen Attacke korrumpiert wurden. Auf diesem Gebiet könnten KI-Lösungen (wie z.B. „Cohesity Gaia“) massiv helfen und eine der komplexesten Probleme entschärfen, „indem sie die Daten von Firmen automatisiert klassifizieren“. Sogenannte Business Owner könnten beispielsweise direkte Fragen zu bestimmten Daten stellen und bekämen automatisch eine entsprechende Antwort mit einer Liste aller betroffenen Dokumente.

2. Zugriffe reglementieren!
„Wer seine Daten richtig eingestuft und klassifiziert hat, kann automatisch Regeln und Rechte durchsetzen, die den Zugriff darauf regeln.“ Daten-Management-Plattformen (wie etwa jene von Cohesity) wickelten das automatisiert ab und reduzierten die Risiken für menschliche Fehler. Eine Firma könne durchsetzen, dass bestimmte Daten niemals an externe Speicherorte oder KI-Module weitergegeben werden dürften.

3. Angriffe überstehen!
„Damit eine Firma die Berichte für die Behörden überhaupt erstellen kann, muss sie handlungsfähig bleiben!“ Bei Ransomware oder einem Wiper-Angriff (Attacke per Schadsoftware mit Löschfunktion) aber funktioniere im „Worst Case“ nichts mehr. Die IT-Teams der „CIOs“ und „CISOs“ würden auf diese Attacke nicht einmal reagieren können, da alle Sicherheitstools offline, Beweise in Logs und auf den Systemen verschlüsselt seien. Firmen sollten daher unbedingt sogenannte Clean-Room-Konzepte implementieren, „wo ein Notfallset an Tools und System- und Produktionsdaten liegt, um einmal einen Notbetrieb der Gesamt-IT zu schaffen“. Darin lägen alle erforderlichen Tools für die Security-Teams, „damit diese mit dem essenziellen Incident-Response-Prozess beginnen können“. Dieser Prozess sei fundameltal, um richtige und aussagekräftige Berichte für NIS-2-, DORA- und DSGVO-Verstöße zu generieren.

„Die Regeln für IT werden strenger, denn unsere Abhängigkeiten von der IT werden größer und damit der Schaden für die Wirtschaft und Gesellschaft, wenn wichtige Dienste ausfallen“, unterstreicht Mark Molyneux, „EMEA CTO“ bei Cohesity. Abschließend gibt er zu bedenken: „Wer die Vorgaben von 72 Stunden bei den Berichten einhalten will, muss all jene Prozesse und Workflows gegenchecken, die mit Daten hantieren.“ Cohesity etwa könne diese Aufgabe mit einer zentral KI-getriebenen Plattform für Datenmanagement mit Kernfunktionen massiv abdecken, um möglichst große operative Cyber-Resilienz zu schaffen.

Weitere Informationen zum Thema:

CISA CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY
Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA)

The Digital Operational Resilience Act (DORA)
Regulation (EU) 2022/2554

The NIS 2 Directive
What is the NIS 2 Directive?

datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung

datensicherheit.de, 14.05.2024
NIS-2-Anforderungen: Konkrete Bedeutung der verschärften EU-Richtlinie / NIS-2 baut auf Grundlage der Vorgängerrichtlinie von 2016 auf und ist eine Reaktion u.a. auf zunehmende Angriffe auf Lieferketten

datensicherheit.de, 11.05.2024
NIS-2 sollte als Chance für starke Cyber-Sicherheit angenommen werden / Strenge Cyber-Sicherheitsanforderungen für Betreiber Kritischer Infrastrukturen als Herausforderung und Booster

datensicherheit.de, 25.04.2024
DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher / Viele Finanzorganisationen müssen in neue Lösungen investieren – insbesondere für den Wiederanlauf nach einem Notfall

datensicherheit.de, 20.11.2023
DORA und NIS2 – Cyber-Sicherheit im Finanzsektor der EU / Auditverfahren der Regularien harmonisieren und Zuständigkeiten zusammenzuführen

[datensicherheit.de, 18.03.2021] In die aktuelle Debatte um das sogenannte Lobbyregister hat sich jetzt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP), Prof. Dieter Kugelmann, eingeschaltet und Stellung bezogen: „Verpflichtendes Register stärkt Vertrauen in parlamentarische Demokratie.“

Masken-Beschaffung hat Debatte um Lobbyregister auf Bundesebene angefacht

Nach den jüngsten Vorgängen um die Beschaffung von Masken, die einzelne Abgeordnete des Deutschen Bundestages beträfen, habe in den vergangenen Wochen die Debatte um ein Lobbyregister auf Bundesebene Fahrt aufgenommen. „Rheinland-Pfalz war Vorreiter in Sachen Informationsfreiheit: Hier wurde beim Landtag frühzeitig ein Lobbyistenregister eingeführt und eine weitgehende Transparenz-Plattform etabliert; seit Anfang dieses Jahres steht sie in vollem Umfang zur Verfügung“, berichtet Kugelmann.
Diese veröffentlichten Informationen festigten das Vertrauen in staatliches Handeln. Eine entsprechende Transparenz sei auch mit Blick auf den Einfluss von Dritten auf politische Entscheidungen und Gesetzesvorhaben sinnvoll. „Denn ein verpflichtendes Register, in dem Informationen zu Interessenvertreterinnen und Interessenvertretern aufgeführt werden, kann dazu führen, dass die Bürgerinnen und Bürger das Handeln der Exekutive besser nachvollziehen können. Ein verpflichtendes Register kann so das Vertrauen in die parlamentarische Demokratie stärken.“

Lobbyregister – um verdeckte Einflussnahmen zu erschweren und öffentliche Kontrolle zu ermöglichen

Der LfDI RLP weist darauf hin, dass die Konferenz der Informationsfreiheitsbeauftragten (IFK) in Deutschland bereits 2019 gefordert habe, auch auf Bundesebene ein verpflichtendes Lobbyregister einzuführen. Unmissverständlich heiße es in einem Antrag etwa: „Angesichts der Komplexität der sozialen und wirtschaftlichen Realität und der Regelungsmaterien kann es im demokratischen Willensbildungsprozess oftmals hilfreich sein, auf die Expertise von unterschiedlichen Personen, Gruppierungen und Beteiligten aus Gesellschaft und Wirtschaft zurückgreifen zu können. Die Art und Weise einer solchen Einflussnahme muss jedoch transparent sein.“
Bürger sollten wissen, wer im Laufe des Entstehungsprozesses an der Formulierung eines Gesetzentwurfs beteiligt war und wer in wessen Auftrag und mit welchen Mitteln auf politische Entscheidungen einzuwirken versucht. Verflechtungen insbesondere zwischen Politik und Wirtschaft seien erkennbar zu machen, damit verdeckte Einflussnahmen erschwert sowie eine öffentliche Kontrolle ermöglicht werde.

Lobbyregister hilft zu verstehen, auf welcher Informationsbasis Regierungen und Behörden entscheiden

Professor Kugelmann unterstreicht: „Es ist aus gutem Grund Aufgabe des Gesetzgebers zu entscheiden, welche einzelnen Informationen in ein Lobbyregister aufgenommen werden sollen. Die Vorstellungen hierzu gehen weit auseinander – von einer Auflistung der Interessenvertretungen bis hin zu einem ,exekutiven oder legislativen Fußabdruck‘, der angibt, wer in welcher Form an einem Gesetzestext mitgewirkt hat.“
Als Beauftragter für die Informationsfreiheit werde er auch in Zukunft für eine weitgehende Transparenz werben. Die vielen Anfragen von Bürgern an seine Behörde zeigten, „dass immer mehr Menschen genau wissen und verstehen wollen, auf welcher Informationsbasis Regierungen und Behörden Entscheidungen treffen“.

Weitere Informationen zum Thema:

datensicherheit.de, 17.03.2021
Pläne für Energieversorgerpool: DSK warnt vor Rechtswidrigkeit

IFK Konferenz der Informationsfreiheitsbeauftragten in Deutschland, 12.06.2019
Entschließung der 37. Konferenz der Informationsfreiheitsbeauftragten (IFK) in Deutschland am 12. Juni 2019in Saarbrücken / Transparenz im Rahmen politischer Entscheidungsprozesse – Verpflichtendes Lobbyregister einführen

[datensicherheit.de, 10.03.2021] Während vielfach aktuell darauf gepocht werde, die DSGVO abzuschwächen, zeige das Beispiel SCHUFA deutlich, „dass sie nicht weit genug greift“. Aufgrund der bereits bestehenden Ausnahmen wird die DSGVO laut der PSW GROUP Consulting dort nämlich zum „zahnlosen Tiger“ – zumindest, was die Transparenz der SCHUFA angeht.

Foto: PSW GROUP

Patrycja Schrenk: Die SCHUFA weist jeder Person einen Score zu, der sich nur bedingt als praxistauglich erweist…

DSGVO räumt auch SCHUFA sogenanntes berechtigtes Interesse ein

Die SCHUFA weise jeder Person einen „Score“ zu, „in den sehr viele Daten einfließen und der sich nach Ansicht der IT-Sicherheitsexperten der PSW GROUP Consulting nur bedingt als praxistauglich erweist“.
Geschäftsführerin Patrycja Schrenk kommentiert: „Dieser ,Score‘ beeinflusst das Leben vieler Menschen massiv. Wer eine Wohnung mieten möchte, einen Kredit oder auch nur ein neues Smartphone braucht, ist auf eine gute SCHUFA-Bewertung angewiesen. Solche Entscheidungen werden aber über Algorithmen getroffen. Durch das ,berechtigte Interesse‘ und die Einwilligung kraft Vertrag können Verbraucher dem jedoch nicht beikommen und müssen damit leben, dass Entscheidungen über sie durch einen ,Score‘-Wert getroffen werden.“

Score-Berechnung wohlgehütetes Geschäftsgeheimnis der SCHUFA

Wie dieser „Score“ konkret berechnet wird, sei indes ein wohlgehütetes Geschäftsgeheimnis der SCHUFA Holding AG. Allerdings: „Je höher der SCHUFA-Score ausfällt, umso weißer ist die finanzielle Weste einer Person. Werte unter 50 Prozent entsprechen einem ,kritischen Risiko‘, bei dem die Ausfallwahrscheinlichkeit als ,hoch‘ angesehen wird.“
Um diesen „Score“ zu errechnen, verarbeite die SCHUFA zum einen Personendaten, zu denen Name, Vorname, Geburtsdatum, -ort, die aktuelle sowie frühere Anschriften gehörten. Darüber hinaus würden Informationen gespeichert, die bei Aufnahme sowie vertragsgemäßer Durchführung von Geschäften anfielen.

Für Dritte nicht nachvollziehbar wird der SCHUFA-Score-Wert kalkuliert

Dies seien also Daten zu Girokonten, Kreditkarten, Ratenkredite, Telekommunikationskundenkonten, P-Konten sowie Basiskonten. Auch Informationen über Forderungen sowie deren Erledigung, Informationen über etwaig missbräuchliches oder betrügerisches Verhalten, beispielsweise Bonitäts- oder Identitätstäuschungen sowie Informationen aus öffentlichen Verzeichnissen sowie amtlichen Bekanntmachungen würden gespeichert.
„Alle diese Daten werden zur automatisierten Auswertung herangezogen, woraus dann – für Dritte nicht nachvollziehbar, da hier das Geschäftsgeheimnis greift – der ,SCHUFA-Score‘-Wert kalkuliert wird. Das bedeutet, dass Verbraucher einem automatisierten Entscheidungsprozess unterworfen sind und es selbst bei guter Bonität passieren kann, dass eine Kreditvergabe negativ entschieden wird, weil der ,Score‘ nicht passt“, moniert Schrenk und verdeutlicht noch einmal: „Es entsteht also die Gefahr, dass automatisiert unangemessen entschieden, falsch bewertet und dadurch der Betroffene benachteiligt oder diskriminiert wird. Einzelfallprüfungen durch echte Menschen wären hier verlässlicher.“

SCHUFA selbst trifft mit ihren Algorithmen keine Entscheidungen über Menschen

Nun solle das Risiko solcher Fehl-Bewertung durch die DSGVO aufgefangen werden. Gemäß Artikel 22 beispielsweise sollten Algorithmen keine wichtigen Entscheidungen für Betroffene treffen. Zudem verlange Artikel 15, Betroffenen „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen“ von Algorithmen bereitzustellen.
Schrenk erläutert: „Nur, wenn die Funktionsweise von Algorithmen offengelegt wird, kann durch unabhängige Kontrollen gewährleistet werden, dass undurchsichtige Entscheidungen durch Algorithmen über Betroffene nicht gefällt werden. Und trotzdem greift ausgerechnet dieser Passus bei der SCHUFA nicht. Denn die SCHUFA selbst trifft mit ihren Algorithmen keine Entscheidungen über Menschen. Vielmehr entscheiden jene Unternehmen, die sich nach dem ,Score‘-Wert der SCHUFA richten und diesen als Grundlage für eigene Entscheidungen heranziehen.“

Löschen von SCHUFA-Daten gar nicht so einfach

Auch das Löschen von SCHUFA-Daten sei gar nicht so einfach: Zwar verlange die DSGVO zur Datenspeicherung ein „berechtigtes Interesse“ oder die Einwilligung Betroffener. Doch vielen Menschen sei nicht bewusst, dass sie in eben diese Datenspeicherung bereits eingewilligt hätten: „Zum Beispiel, indem sie einen Vertrag mit einem Unternehmen abgeschlossen haben, welches eine Bonitätsauskunft von der SCHUFA einholt. Das genügt zur Einwilligung.“
Gemäß Artikel 17 der DSGVO lasse sich diese Einwilligung zwar widerrufen, allerdings gäben Verbraucher ihre Einwilligung spätestens dann erneut, wenn sie den nächsten Vertrag bei einem SCHUFA-Vertragspartner unterzeichnen.

Keine SCHUFA-Einträge nicht unbedingt besser als negative Einträge

Schrenk warnt: „Keine Einträge in der SCHUFA sind aber nicht unbedingt besser als Negativ-Einträge. Denn ohne Informationen zur Bonität des künftigen Schuldners müssen Unternehmen ein Geschäft gar nicht erst abschließen. Hinzu kommt die Tatsache, dass bei Personen, die der SCHUFA nicht bekannt sind, Geodaten anfallen können. Dann haben jene Personen mehr Glück bei einer Kreditanfrage, die in gehobeneren Gegenden leben.“
Nun bestünde die Möglichkeit, sich darauf zu beziehen, „dass Daten laut DSGVO gelöscht werden dürfen, wenn der Zweck der Datenspeicherung nicht mehr existiert“. In der Praxis sei dieses Recht bei der SCHUFA jedoch schwer durchsetzbar, denn der Betroffene müsse nachweisen, dass der Zweck nicht mehr vorhanden ist. „Die SCHUFA findet meist Gründe, warum die Daten dennoch gespeichert bleiben müssen. Und diese Gründe hatten bislang vor Gericht oft Bestand“, so Schrenk.

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – Blog, 26.01.2021
SCHUFA? Schuft! – Warum die Auskunftei Ihre Daten speichert

[datensicherheit.de, 25.01.2021] Der Digitalcourage e.V. kritisiert in seiner aktuellen Stellungnahme die „mangelhafte Transparenz bei der Entstehung des Gesetzes zur Fingerabdruck-Pflicht in Personalausweisen“. Das im November 2020 vom Deutschen Bundestag beschlossene „Gesetz zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen“ enthalte unter anderem die „generelle anlasslose Fingerabdruck-Speicherpflicht“. Ab 2. August 2021 sind demnach alle Bürger bei der Beantragung von Personalausweisen verpflichtet, die Abdrücke ihrer beiden Zeigefinger elektronisch scannen und auf dem Chip des Personalausweises speichern zu lassen.

Empfehlung, jetzt noch fingerabdruckfreie Dokumente zu beantragen

Die Grundrechteorganisation kritisiert nach eigenen Angaben:

• „Während der Bundesnachrichtendienst früh in die Gesetzgebung eingebunden wurde, wurde Transparenz für Bürgerinnen und Bürger monatelang herausgezögert.“
• „Wenn Geheimdienste in Gesetzgebung eingreifen, hört Transparenz auf, weil die Dienste von Auskunftspflichten nach dem Informationsfreiheitsgesetz (IFG) ausgenommen sind.“
• „Transparenz-Anfragen werden häufig pauschal und ohne ausreichende Begründung abgelehnt.“
• „Die Bearbeitung von Transparenzanfragen dauert oft zu lange.“
• „Dokumente werden erst nach Ende einer Gesetzgebung zugänglich gemacht. Das widerspricht dem Demokratieprinzip.“

Nach dem Motto „#PersoOhneFinger“ wird nun empfohlen, noch – solange es geht – fingerabdruckfreie Dokumente zu beantragen.

Derzeit juristische Optionen gegen Rechtsgrundlagen der Fingerabdruck-Speicherpflicht in der Prüfung

Digitalcourage habe unter anderem mit einer ausführlichen Stellungnahme im Bundestag die Fingerabdruck-Pflicht als „unnötig und unbegründet“ abgelehnt. Kritik habe es u.a. auch vom EU-Datenschutzbeauftragten, der EU-Grundrechteagentur und von Dr. Thilo Weichert gegeben.
Geprüft würden derzeit juristische Optionen gegen die Rechtsgrundlagen der Fingerabdruck-Speicherpflicht in Personalausweisen. Hierzu wurde ein Aufruf zur materiellen und ideellen Unterstützung gestartet.

Weitere Informationen zum Thema:

Remote Chaos Experience (rC3), 29.12.2020
Vortrag „Holt euch Personalausweise ohne Fingerabdrücke solange es geht“

digitalcourage, 22.10.2020
Stellungnahme zum Entwurf eines Gesetzeszur Stärkung der Sicherheit im Pass- und Ausweiswesen

digitalcourage, Friedemann Ebelt, 25.01.2021
#PersoOhneFinger: Geheimdienst ja, Transparenz später

datensicherheit.de, 28.11.2020
Fingerabdrücke im Personalausweis: Digitalcourage prüft rechtliche Schritte / Digitalcourage warnt vor Klassifikation aller Bürger als potenziell Tatverdächtige

[datensicherheit.de, 13.09.2020] „Wahlen sind aus guten Gründen geheim, aus ebenso guten Gründen muss Lobbyismus transparent sein“, betont bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder in seiner aktuellen Stellungnahme zu dem am 11. September 2020 im Bundestag diskutierten Gesetzentwurf für ein Lobby-Transparenzregister.

Abbildung: bitkom e.V.

bitkom-Positionspapier „Transparenz in der Interessenvertretung“

bitkom: Aus guten Gründen muss Interessenvertretung möglichst transparent sein!

„Es ist Kern einer gelebten Demokratie, dass verschiedene Interessen angehört und bei der politischen Entscheidungsfindung bedacht werden. Sachverständige Interessenvertretung ist unabdingbar, um politische Entscheidungsträger in ihrer Arbeit zu unterstützen und ihnen zu helfen, die Folgen ihrer Aktivitäten aus unterschiedlichen Perspektiven einschätzen zu können“, erläutert Dr. Rohleder.
Indes: Transparenz sei dabei ein wichtiges Kriterium, um die Legitimität politischer Entscheidungen bei den Bürgern zu erhöhen und das Vertrauen in politische Institutionen und Vorgänge zu stärken. Wahlen seien aus guten Gründen geheim. „Aus ebenso guten Gründen muss Interessenvertretung möglichst transparent sein.“

bitkom begrüßt Initiative für ein Lobby-Transparenzregister ausdrücklich

Der bitkom-Hauptgeschäftsführer betont: „Die Initiative für ein Lobby-Transparenzregister begrüßen wir ausdrücklich. Dabei sollten unabhängig von der jeweiligen Interessengruppe gleiche Rechte und gleiche Pflichten für alle gelten – von Wirtschaftsverbänden und Gewerkschaften über Religionsgemeinschaften bis hin zu NGOs.“ Quer durch alle Bereiche seien Interessenvertreter gefordert, sich in das Licht der Öffentlichkeit zu begeben und so einen positiven Beitrag zum politischen Kulturwandel zu leisten.
Bei der Ausgestaltung und Umsetzung dieses Gesetzes dürfe man sich nicht „im bürokratischen Klein-Klein und verschiedenen Insellösungen verlieren“. Ziel müsse sein, einen einheitlichen Ansatz zu verfolgen und ein Register für alle zu schaffen.

Bitkom empfiehlt, EU-Regelungen zur Lobby-Transparenz als Beispiel zu nehmen

Orientierung könnten die Regelungen zur Lobby-Transparenz auf EU-Ebene geben. Diese seien etabliert und funktionierten. „Von der europäischen Ebene können wir uns etwa das Format der Online-Konsultationen abschauen, an der nicht nur organisierte Interessengruppen teilnehmen können, sondern auch Einzelunternehmen und jeder Bürger.“
Im Übrigen würde auch der konsequente Einsatz digitaler Technologien Politik transparenter und glaubwürdiger machen – und zugleich auch einfacher und effizienter, unterstreicht Dr. Rohleder.

Weitere Informationen zum Thema:

bitkom, 01.07.2020
Positionspapier: Transparenz in der Interessenvertretung

datensicherheit.de, 13.08.2020
bitkom sieht beschleunigten Breitbandausbau als oberstes Ziel

Ein Kommentar von Matthias Maier, Technical Expert, Splunk

[datensicherheit.de, 22.05.2020] Die EU-Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung (2016/679) der Europäischen Union, die nach einer Übergangsfrist seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten gilt. Mit der DSGVO werden seitdem die Regeln zur Verarbeitung personenbezogener Daten durch die Datenverarbeiter, sowohl private wie öffentliche, EU-weit vereinheitlicht.

Matthias Maier, Technical Expert, Splunk, © Splunk

Zu zwei Jahren EU-Datenschutz-Grundverordnung äußert sich Matthias Maier von Splunk wie folgt:

„Die letzten zwei Jahre DSGVO haben eine Reihe von Veränderungen mit sich gebracht, dennoch haben sich deutsche Unternehmen gut daran angepasst. Auch hat sich das Bewusstsein durchgesetzt, dass personenbezogene Daten wertvoll und schützenswert sind. Dies führte dazu, dass Unternehmen zunehmend eine Datenstrategie entwickeln, also die IT zusammen mit den zuständigen Abteilungen wie Datenschutz, Legal, HR und dem Betriebsrat. Außerdem wird inzwischen darauf geschaut, wie die Daten gespeichert und geschützt werden können und der Datenlebenszyklus sichergestellt wird. Die IT-Abteilung muss heutzutage einen umfassenden Überblick haben, um Integrität und Transparenz zu gewährleisten und Compliance-Richtlinien einzuhalten. Allerdings zeigt sich auch eine gewisse Verunsicherung, welche Daten wofür genutzt werden dürfen. Oft werden Datenzugriffe oder Projekte aus Unwissenheit blockiert, auch wenn es gar nicht um personenbezogene Daten geht. Aber so geht das enorme Potential der eigenen Daten für das Unternehmen verloren. Umfragen zeigen, dass eine ausgereifte Datenstrategie nachweislich zu mehr Umsatz, einer höheren Rentabilität, geringeren Betriebskosten, mehr Innovationen, schnelleren Markteinführungen sowie zu besserer Kundenzufriedenheit und -loyalität führt.“

Weitere Informationen zum Thema:

datensicherheit.de, 20.04.2020
DSGVO: Zunehmende Geldbußen rücken „Privacy by Design“ ins Interesse

datensicherheit.de, 21.08.2019
DSGVO vs. CLOUD Act: EU-Unternehmen im Spannungsfeld

datensicherheit.de, 21.08.2019
Datenschutzbeauftragter: Pflicht für Kleinbetriebe umstritten

datensicherheit.de, 24.05.2019
Ein Jahr DSGVO: BfDI sieht Erfolg mit Steigerungspotenzial

[datensicherheit.de, 24.07.2019] Heute finden sich zahlreiche DAX-Unternehmen sowie diverse internationale Großunternehmen in den Schlagzeilen. Verschiedenen Quellen zufolge wurden verschiedenste Organisationen in jüngster Zeit Opfer von Cyberangriffen mit der Winnti-Malware. Nach Meinung von Vectra, Anbieter von Cybersicherheit auf Basis künstlicher Intelligenz, kommen diese Meldungen alles andere als überraschend. Attacken mit Winnti wurden unlängst mehrfach beobachtet und die oft unzureichende Transparenz von Unternehmensnetzwerken macht es Angreifern relativ leicht für lange Zeit unentdeckt zu bleiben.

Andreas Müller, Regional Director DACH bei Vectra, bewertet die aktuellen Schlagzeilen und benennt zentrale Defizite aktueller Sicherheitsarchitekturen: „Die Meldung zur Infektion von Bayer mit Winnti kam vor einigen Monaten. Die Winnti-Malware gibt es bereits seit Jahren und in jüngster Zeit auch in einer Linux-Variante. Bayer behauptete, die Malware Anfang 2018 entdeckt zu haben. Die Aussage „Es gibt keine klaren Beweise für Datendiebstahl“, sorgt dabei nicht für Vertrauen, da dies nicht bedeutet, dass es keinen Verstoß gab, sondern nur, dass Bayer keinen Beweis dafür rückwirkend finden konnte, was konkret passiert ist. Der Angriff wurde chinesischen Akteuren zugeordnet, was aber nicht exakt belegt werden konnte. Daher lässt sich nur spekulieren, dass der Diebstahl geistigen Eigentums hier durchaus eine Motivation gewesen sein könnte.

Angreifer operieren zu leicht und zu lange ungestraft in Netzwerken; im Bericht M-Trends 2019 wurde festgestellt, dass in der EMEA-Region die Verweildauer der Angreifer im Netzwerk bei 177 Tagen im Median liegt. Dies erinnert deutlich daran, dass viele Unternehmen, auch wenn sie über eine robuste Abwehr der äußeren Netzwerkgrenzen verfügen, oft nicht in der Lage sind, die subtilen Signale von Angriffen innerhalb ihrer Unternehmen zu erkennen. Es gibt fast immer mehrere Möglichkeiten, den Angreifer durch sein unveränderliches Verhalten zu finden. Hierzu gehören beispielsweise die ferngesteuerte Orchestrierung der Angriffe (Command-and-Control), interne Auskundschaftung, seitliche Bewegung mit Privilegien-Eskalation und letztlich Datendiebstahl, Datenbeschädigung sowie Störung von Diensten und Denial-of-Service.

Im Gegensatz zu herkömmlichen Sicherheitssystemen erfordert der signaturlose Ansatz keine Vorkenntnisse über die Tools, Exploits oder Malware. Die schiere Menge an Kommunikation, in der Angreifer diese Verhaltensweisen verbergen, macht es jedoch schwierig, sie in Echtzeit zu finden. Das Erkennen solcher, von den Angreifern stammender Signale ist komplex. Diese Aufgabe übernehmen zunehmend automatisierte Lösungen, die von KI unterstützt werden und mit einer Geschwindigkeit und Skalierung arbeiten können, die Menschen allein einfach nicht erreichen können.

Wir müssen unsere Einstellung zur Sicherheit ändern und davon ausgehen, dass Angreifer irgendwann einen Weg hineinfinden werden. Ebenso müssen wir uns von der allzu großen Konzentration auf reine Verteidigungsmaßnahmen verabschieden und eine breitere Vision verfolgen, die Erkennung und Reaktion umfasst. Nur dann können wir die Chance verbessern, einen Angreifer frühzeitig im Lebenszyklus des Angriffs zu finden. Genau dies macht stets den Unterschied zwischen einem isolierten, unter Kontrolle gebrachten Sicherheitsvorfall und der Bewältigung eines gravierenden Ereignisses, wie es Bayer im April berichtet hat.“

Weitere Informationen zum Thema:

datensicherheit.de, 11.03.2019
Cyberangriffe: Sicherheitsteams brauchen besseren Ansatz zur Erkennung und Abwehr

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden