Die DS-GVO verpflichtet verantwortliche Stellen und Auftragsverarbeiter, personenbezogene Daten ausreichend vor unberechtigtem Zugriff bzw. Offenlegung (Vertraulichkeit), vor unberechtigter Veränderung (Integrität) sowie vor Verlust (Verfügbarkeit) zu schützen. Wird eines dieser Schutzziele nicht erreicht, handelt es sich um eine Datenschutzverletzung – auch Datenpanne genannt. Datenschutz- und Sicherheitsvorfälle können verschiedenste Ursachen haben und sind oft Ausdruck menschlicher Fehler im Arbeitsalltag. In den meisten Fällen sind die Vorfälle nach Art. 33 DS-GVO der zuständigen Aufsichtsbehörde zu melden. Je nach Risiko besteht sogar eine Informationspflicht der betroffenen Personen.

Dieser Artikel gibt einen Überblick über aktuell bekannt gewordene Datenpannen und Ereignisse, relevant für datenschutzrechtliche Fragestellungen sind, wie Änderungen am BGB zur Umsetzung der europäischen Digitale-Güter-Richtlinie, einem sehr interessanten gerichtlichen Vergleich, den Datenschutzvorfällen in Testzentren oder den Versand von E-Mails an offene Verteiler.

Exchange-Server erneut Angriffsziel von Hackern

Anfang August stellte ein Sicherheitsforscher auf einer Konferenz neue Angriffsmöglichkeiten auf Microsoft Exchange Server vor. Wenige Tage nach dem Vortrag wurde von Cyberkriminellen konkret nach der beschriebenen Sicherheitslücke gesucht, wie andere Sicherheitsexperten feststellten. Die Sicherheitslücken wurden von Microsoft zum Großteil vor dem Vortrag entdeckt und mit Sicherheitsupdates im April und Mai behoben. Betreiber von Exchange-Servern sollten die aktuellen Patches zeitnah einspielen, soweit dies noch nicht geschehen ist.

Datenpanne beim Impfzentrum Essen

Ende Juli kam es beim Impfzentrum Essen bei der Information über neue Uhrzeiten für dem Impftermin zu einer Datenpanne. Die rund 700 Adressaten der Rundmail erhielten dadurch Datensätze mit personenbezogenen Daten, darunter Kontaktdaten und Informationen zum Impfstoff. Die betreffenden E-Mails konnten nicht vollständig zurückgerufen werden, die Empfänger wurden gebeten, die Mails zu löschen. Ursache der Datenpanne war wohl ein Fehler eines Mitarbeiters, der versehentlich interne Anhänge mitversendete. Die rund 13.000 betroffenen Personen wurden von der Stadt Essen über den Vorfall informiert und die zuständige Datenschutzaufsicht eingeschaltet, wie die Stadt in ihrer Pressemitteilung bekannt gab.

Die Verantwortlichen haben bereits angekündigt, die Sicherheitsmaßnahmen zu verschärfen, sodass ein versehentlicher Versand von Dokumenten möglichst ausgeschlossen werden kann. Allerdings haben zahlreiche Betroffene bereits angekündigt, Klage gegen die Stadt Essen einzureichen und Schadensersatz geltend zu machen. Einige Unternehmen und Kanzleien werben seit dem Vorfall damit, ihren Kunden/Mandanten schnell und einfach eine Geldentschädigung zu verschaffen. Das Recht auf Schadensersatz erlangt dadurch bei Betroffenen einiges an Popularität. Für Unternehmen ist der zivilrechtliche Schadensersatzanspruch eine Sanktion, die sie bei Datenschutzverstößen oft übersehen oder unterschätzen. Dies zeigt auch der nachfolgende Vergleich einer Klinik zeigt.

Vergleich über 8.000 Euro Schmerzensgeld nach Datenpanne in Klinik

Bei einer Klinik kam es durch einen Fehler beim Sperren einer Patientenakte zu einem Datenschutzverstoß, da das Patientendeckblatt nicht mit gesperrt wurde und damit über mehrere Wochen hinweg für einige Mitarbeiter einsehbar war. Das Deckblatt enthielt neben allgemeinen Daten wie Name und Krankenkasse auch das Kürzel „HIV“ als Diagnose des betreffenden Patienten. Zwar waren keine detaillierten Gesundheitsdaten einsehbar, dennoch erfuhren die Mitarbeiter von der HIV-Infektion. Diese unbefugte Offenlegung von besonders sensiblen Gesundheitsdaten stellt einen Datenschutzverstoß dar. Dabei ist unerheblich, dass die Ärzte und das Krankenhauspersonal zur Verschwiegenheit verpflichtet sind. Besonders problematisch war, dass der Betroffene später von der Klinik angestellt wurde und durch den Fehler Arbeitskollegen unberechtigter Weise von der Infektion wussten.

Das Verfahren zwischen dem betroffenen Mitarbeiter und der Klinik vor dem Arbeitsgericht Ulm endete mit einem Vergleich. Darin einigten sich die Parteien auf die Zahlung eines Schmerzenzgeldes gem. Art. 82 DS-GVO in Höhe von 8.000 Euro an den Betroffenen. Diese Summe stellt eine der höchsten Schadensersatzbeträge für immaterielle Schäden nach der DS-GVO dar, die bis jetzt in einem Gerichtsverfahren durchgesetzt werden konnten.

Gesetzesänderung: Betriebsrat keine eigene verantwortliche Stelle nach der DS-GVO

Für die Einhaltung der Datenschutzvorgaben ist grundsätzlich die verantwortliche Stelle i. S. v. Art. 4 Nr. 7 DS-GVO, das heißt, in der Regel das Unternehmen als juristische Person oder Gesellschaft, verantwortlich. Die datenverarbeitende Stelle hat dafür Sorge zu tragen, dass die Vorgaben des Datenschutzrechts eingehalten werden (Verantwortlichkeit). In der Literatur sowie unter den Datenschutz-Aufsichtsbehörden war allerdings stark umstritten, ob der Betriebsrat Teil des Unternehmens als Verantwortlicher für die Datenverarbeitung ist, oder eine eigene verantwortliche Stelle i. S. d. DS-GVO darstellt. Im zweiten Fall ist der Betriebsrat für die Einhaltung der DS-GVO verantwortlich und haftet bei Datenschutzverstößen selbst.

Seit dem 16. Juli 2021 sorgt eine Gesetzesänderung für Klarheit: § 79a S. 2 BetrVG (Betriebsverfassungsgesetz) regelt nun eindeutig, dass der Betriebsrat keine eigene verantwortliche Stelle i. S. v. Art. 4 Nr. 7 DS-GVO ist. Folglich liegt die Verantwortung für die Einhaltung der Datenschutzvorgaben beim Arbeitgeber, soweit „der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet“. Daran anschließend stellt sich nun allerdings die Frage, wer für mögliche Datenschutzverstöße seitens des Betriebsrates haftet, da der Arbeitgeber dem Betriebsrat aufgrund von dessen Unabhängigkeit keine Vorschriften im Hinblick auf den Datenschutz machen kann (Bundesarbeitsgericht (BAG), Beschluss v. 9.4.2019, Az. 1 ABR 51/17). In diesem Punkt wäre eine Klarstellung im Gesetzestext ebenfalls wünschenswert, § 79a S. 3 BetrVG sieht allerdings zumindest ein Kooperationsgebot vor.

HmbBfDI verbietet WhatsApp Datenweitergabe an Facebook

Die Änderungen der Nutzungs- und Privatsphäre bei dem Messenger-Dienst WhatsApp stieß bei Datenschützern und Nutzern auf starke Kritik. Mit den neuen Bedingungen wurden unter anderem die Befugnis ergänzt, dass die Nutzerdaten an Drittunternehmen wie Facebook, welches ausdrücklich benannt wurde, übermittelt werden dürfen. Zudem sollen die Daten zur Verbindung mit Produkten von Facebook-Unternehmen genutzt werden. Dies gilt künftig pauschal auch gegenüber Minderjährigen.

Eine Auswertung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) kommt nach einer Anhörung der Facebook Ireland Ltd. aber zu dem Schluss, dass es für die Verarbeitung durch Facebook für eigene Zwecke auch mit der Änderung der Bestimmungen an einer Rechtsgrundlage fehlt. Die Anforderungen an eine wirksame Einwilligung seien nicht erfüllt und ein überwiegendes berechtigtes Interesse komme hier nicht in Betracht. Deshalb hat der HmbBfDI im Rahmen eines Dringlichkeitsverfahrens eine Anordnung gegen Facebook erlassen, welche die Verarbeitung personenbezogener Daten von WhatsApp zu eigenen Zwecken untersagt. Da die Anordnung auf drei Monate beschränkt ist, hat der HmbBfDI außerdem eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) beantragt.

Datenübermittlung in Drittländer – Informationsoffensive in Rheinland-Pfalz

Vor rund einem Jahr hat der Europäische Gerichtshof (EuGH) das EU-US-Privacy-Shield für ungültig erklärt. Damit waren alle Datenübermittlungen in die USA, die sich auf das Abkommen gestützt haben, unzulässig und es musste eine neue Rechtsgrundlage nach Art. 44 ff. DS-GVO sichergestellt werden. Die Anwendung der Standardvertragsklauseln allein ist hierbei allerdings nicht ausreichend, sondern in der Regel müssen weitere geeignete Garantien ergänzt werden. Um diese Anforderungen erfüllen zu können, müssen datenverarbeitende Stellen in der EU/ dem EWR zunächst prüfen, welche Daten auf welcher Grundlage in die USA übermittelt werden. Anschließend kann ermittelt werden, welche weiteren Schritte erforderlich sind.

Mitte Mai 2021 startete nun der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dieter Kugelmann, eine Informationsoffensive zur Rechtmäßigkeit der Datenübermittlung in Drittländer. Hierbei hat der Landesbeauftragte Dutzende Unternehmen, Verbände und staatliche Stellen angeschrieben, um Verstößen vorzubeugen. Anhand des bereitgestellten Prüfschemas sollen Datenflüsse in die USA geprüft, etwaig erforderliche Maßnahmen identifiziert und Datenschutzverstöße abgestellt werden. Der Landesbeauftragte kündigte weitere Prüfungen im Laufe dieses Jahres an, ob Datenübermittlungen gegebenenfalls unzulässig sind und die Behörde Sanktionen verhängen muss.

Nach Abstimmung in der Datenschutzkonferenz haben zudem weitere Aufsichtsbehörden der Länder Kontrollen angekündigt und über einen gemeinsamen Fragekatalog ausgewählte Unternehmen befragt. Darunter waren neben Rheinland-Pfalz auch Berlin, Hamburg, Brandenburg, Bremen, Niedersachsen, Baden-Württemberg, Bayern und Saarland. Die Themen umfassten Themen wie E-Mail-Versand, Hosting von Internetseiten, Webtracking, Verwaltung von Bewerberdaten und konzerninterner Austausch von Kunden- und Beschäftigtendaten.

Cyberattacken auf Adobe Acrobat und Reader

Cyberkriminelle fanden Sicherheitslücken in Adobe Acrobat und Reader, wobei sechs der zehn Schwachstellen mit dem Bedrohungsgrad „kritisch“ eingestuft wurden. Mitte Mai 2021 veröffentlichte der Anbieter für verschiedene Anwendungen Sicherheitsupdates, die von den Anwendern zeitnah installiert werden sollten. Je nach Berechtigungsstufe des Opfers können die Angreifer Speicherfehler auslösen, um Schadcodes ausführen oder sogar das Endgerät vollständig kompromittieren. Abhängig von der ausgenutzten Schwachstelle können die Kriminellen sich zudem höhere Nutzerrechte einräumen, Informationen abgreifen oder Sicherheitsmechanismen umgehen.

Sicherheitslücke in Niedersachsens Corona-Impfportal

Ein „Friendly Hacker“ entdeckte eine Sicherheitslücke in Niedersachsens Corona-Impfportal und wies das Gesundheitsministerium Anfang Mai auf die Schwachstelle hin. Ihm war es gelungen, Zugriff auf Namen und Adressen von Personen zu erlangen, die sich für die Impfung registriert haben. Nach eigenen Angaben habe er die Daten allerdings nicht ausgespäht, sondern wolle eine schnelle Schließung der Sicherheitslücke.

Nach Informationen des Ministeriums stellte der Betreiber des Portals fest, dass Daten von insgesamt 1.258 Personen abgerufen oder angezeigt wurden. Da dies ausschließlich kurz vor dem Hinweis des „Friendly Hackers“ geschehen war, wird davon ausgegangen, dass keine weiteren unbefugten Zugriffe stattgefunden haben. Eine Information der betroffenen Personen soll in Kürze erfolgen.

Unzureichende Datensicherheit im Gesundheitssektor

Die Zahl von Cyberangriffen nimmt immer mehr zu, auch auf Krankenhäuser, Biotech- und Pharmaunternehmen. Dies birgt ein besonders hohes Risiko für die betroffenen Personen, da in diesem Sektor neben Forschungsergebnissen häufig auch hoch sensiblen Gesundheitsdaten nach Art. 9 DS-GVO betroffen sind. Dass eine Vielzahl dieser Angriffe auf Gesundheitsdienstleister erfolgreich sind, liegt auch an mangelhaften Schutzmaßnahmen. Ein Datenrisiko-Report des amerikanischen IT-Sicherheitsanbieters Varonis Systems, bei dem unter anderem auch Unternehmen aus dem Gesundheitssektor in Deutschland analysiert wurden, zeigt enorme Lücken bei der Datensicherheit.

Im Schnitt hat jeder Mitarbeiter Zugriff auf 11 Millionen Dateien, was rund 20 Prozent des gesamten Datenbestandes entspricht. Besonders kritisch ist dabei, dass jeder Mitarbeiter durchschnittlich Zugriff auf 12 Prozent der sensiblen Daten hat, in kleineren Gesundheitsdienstleistern (bis zu 500 Mitarbeiter) sind es sogar 22 Prozent. Die Analyse zeigte verschiedene Problemfelder, insbesondere bei den Zugriffsrechten, Passwörtern und veralteten Nutzerkonten. Die Zugriffsrechte sind häufig zu weit gefasst, sodass jeder Mitarbeiter im Schnitt auf 31.000 sensible Daten zugreifen kann. Zudem verfügen 77 Prozent der Krankenhäuser über mehr als 500 unbefristete Nutzer-Passwörter. Durchschnittlich werden 69 Prozent der Dateien nicht mehr genutzt, sind aber für Kriminelle noch interessant. Ein weiteres Problem sind nicht mehr genutzte, aber aktive Nutzerkonten, über die sich Cyberkriminelle unbemerkt im System bewegen können. Von den analysierten Unternehmen haben 79 Prozent mehr als 1.000 veraltete Nutzerkonten.

Umsetzung der europäischen Digitale-Inhalte-RL im BGB

Mitte 2019 ist die EU-Richtlinie 2019/770 „Digitale-Inhalte-Richtlinie“ in Kraft getreten, die einen einheitlichen Rechtsrahmen für Verträge über digitale Inhalte und Dienstleistungen schaffen soll. Da Richtlinien nicht direkt europaweit gelten, müssen die Regelungen von den Mitgliedssaaten in das nationale Recht übernommen werden, wofür diese Richtlinie eine Frist bis zum 01.07.2021 vorsah. Zur Umsetzung im deutschen Recht sind Änderungen im Bürgerlichen Gesetzbuch (BGB) notwendig, zu denen das Bundesministerium für Justiz und Verbraucherschutz (BMJV) Ende 2020 einen Referentenentwurf vorgelegt hat.

Der Entwurf enthält in § 327q BGB-E unter anderem auch eine Regelung zu den vertragsrechtlichen Folgen datenschutzrechtlicher Erklärungen des Verbrauchers. Es wird insbesondere klargestellt, dass die Ausübung von Betroffenenrechten oder die Abgabe datenschutzrechtlicher Erklärungen nach Vertragsschluss keine Auswirkung auf die Wirksamkeit des Vertrages haben (§ 327q Abs. 1 BGB-E) und keine Ersatzansprüche des Unternehmers auslösen (§ 327q Abs. 3 BGB-E). Allerdings steht dem Unternehmer ein außerordentliches Kündigungsrecht zu, wenn durch die Geltendmachung bestimmter Betroffenenrechte die zulässige Datenverarbeitung derart eingeschränkt wird, dass eine Fortsetzung des Vertrages wirtschaftlich nicht mehr zumutbar ist (§ 327q Abs. 2 BGB-E). Die neuen Regeln gelten ab 01.01.2022.

Scraping-Angriff auf Clubhouse und LinkedIn

Nachdem Anfang April bekannt wurde, dass Daten von 553 Millionen Facebook-Usern in einem Hackerforum veröffentlicht wurden, fanden sich dort wenige Tage später auch Daten von Usern der Clubhouse-App sowie von LinkedIn. In beiden Fällen sammelten die Hacker massenhaft öffentlich verfügbare Nutzerdaten und fügten diese zusammen („Scraping“). Im Falle von LinkedIn waren 500 Millionen Datensätze betroffen, bei Clubhouse „nur“ 1,3 Millionen. Passwörter sollen laut Angaben der jeweiligen Anbieter allerdings nicht betroffen sein.

Zwar handelt es sich bei diesem Cyberangriff nicht um einen klassischen Hack, die Anbieter haben augenscheinlich aber keine Sicherheits- oder Warnvorkehrungen getroffen, um den Abfluss von Daten durch Scraping zu verhindern. Diese sind jedoch elementar wichtig, da mithilfe der gesammelten Daten umfangreiche Profile der Betroffenen erstellt und beispielsweise für Phishing- und Social-Engineering-Angriffe oder Identitätsdiebstahl genutzt werden können.

Datenpanne bei Urteil zu DS-GVO-Verstoß

Das auch Gerichte im Arbeitsalltag nicht von Datenpannen gefeit sind, zeigt ein Vorfall beim Landgericht (LG) Lüneburg. Bei einem Urteil, das als PDF online einsehbar war, wurden die Namen und Adressen von Kläger, Beklagter und Prozessbevollmächtigten nicht ordnungsgemäß geschwärzt. Die entsprechenden Stellen wurden in dem Dokument lediglich schwarz markiert, weshalb die Schwärzung von jedermann leicht umgangen und die Daten eingesehen werden konnten. Besonders interessant ist der Vorfall, da es sich bei dem betreffenden Urteil um eine Entscheidung zur einem Datenschutzverstoß handelte. Die technisch nicht korrekt geschwärzte PDF-Datei war zwei Tage online verfügbar, bis ein Angestellter des Gerichts über einen Privatkontakt auf die Panne hingewiesen wurde. Danach wurde das Urteil korrekt geschwärzt.