Bayerns Datenschützer warnen vor Hackerangriffen. "Immer häufiger werden Unternehmen gezielt Opfer von Attacken", sagte Thomas Kranig, Präsident des Landesamts für Datenschutzaufsicht, am Freitag bei einer Pressekonferenz. Die Behörde kontrolliert unter anderem, ob sich Unternehmen an den Datenschutz halten. Wenn nötig, kann sie Firmen zwingen, ihre Sicherheitsstandards zu erhöhen.
Im vergangenen Jahr haben Betriebe 85 Fälle gemeldet, in denen Unbekannte in ihr System eindrangen und sensible Kundendaten kopierten. Dabei wurden sogar Bank- und Gesundheitsdaten geraubt. Die Datensätze würden meist auf dem digitalen Schwarzmarkt "zum Spottpreis angeboten", erläuterte Kranigs Stellvertreter Andreas Sachs. Klassischerweise befänden sich in einem Datensatz Name, E-Mail-Adresse, Passwort, Telefonnummer, Geburtsdatum und Sicherheitsfragen, um die Identität der Nutzer festzustellen. Ziel von Angriffen wurden auch Firmen, die sich selbst für zu klein hielten, um in den Fokus von Hackern zu gelangen. Oft hätten Unternehmen den Datenverlust vermeiden können, so Sachs, wenn sie die Software ihres Webshops auf dem neuesten Stand gehalten hätten.
Betriebe sind verpflichtet, dem Landesamt solche Vorfälle zu melden. Doch Kranig geht davon aus, dass die bekannte Zahl "nur die Spitze eines großen Eisberges ist". Von einigen Fällen erfuhren die Datenschützer nur, weil sich Kunden an die Behörde wandten.
Das Landesamt mit Sitz in Ansbach ist für 700 000 Unternehmen und Organisationen in Bayern zuständig, von der kleinen Arztpraxis bis zu Allianz und BMW. Aber auch Einzelpersonen können wegen Datenschutzverletzungen belangt werden - etwa wenn sie beim Autofahren durch die Windschutzscheibe filmen. Videoüberwachung ist der häufigste Anlass für Beschwerden. Deren Zahl stiegt ebenfalls drastisch: In den Jahren 2015 und 2016 wandten sich insgesamt 2527 Personen Hilfe suchend an das Landesamt. Das waren 650 Menschen mehr als in den beiden Vorjahren.
Die Datenschützer haben in den vergangenen Jahren unter anderem untersucht, ob Immobilienmakler zu viele persönliche Daten verlangen (ja), und ob die Hersteller von Fitnessarmbändern verantwortungsvoll mit den erhobenen Gesundheitsdaten umgehen (eher nein). Wegen Personalmangels kam es aber nur in Ausnahmefällen zu einem Bußgeldverfahren. Denn das Amt ist dünn besetzt. Bisher gab es dort 16 Planstellen, jetzt hat der Freistaat vier weitere genehmigt "und damit die Hälfte, die wir beantragt haben", so Kranig. Das werde für die anstehenden Aufgaben "mit an Sicherheit grenzender Wahrscheinlichkeit" nicht reichen.