Bußgelder wegen Fehler bei der Behandlung von Datenpannen

Eine Datenpanne ist ein Verstoß gegen den Datenschutz und die Datensicherheit, bei dem unbefugte Personen Zugang zu personenbezogenen Daten erhalten. Es gibt viele Möglichkeiten, dass personenbezogene Daten in unbefugte Hände gelangen, ob verloren, bestohlen oder gehackt – es kann jedem Unternehmen passieren. Egal ob bewusst oder unbewusst, eine Datenpanne ist gravierend und deshalb sieht die DS-GVO ganz bestimmte Regelungen für einen solchen Fall vor. In Art. 33 und 34 DS-GVO wird beschrieben, wie Verantwortliche im Falle einer Datenpanne vorzugehen haben.

  1. Meldung an die Aufsichtsbehörde: Eine Datenpanne muss immer innerhalb von 72 Stunden gemeldet werden, außer diese stellt voraussichtlich kein Risiko für den Betroffenen dar
  2. Benachrichtigung der betroffenen Person: Besteht ein hohes Risiko für die Rechte und Freiheiten des Betroffenen muss dieser informiert werden.
  3. Technisch-organisatorische Maßnahmen zur Beseitigung des Vorfalls
  4. Dokumentation der Datenschutzverletzung

Die Meldung bei der Aufsichtsbehörde ist unangenehm und hat in vielen Fällen Nachfragen oder gar konkrete Überprüfungen der Datenschutzsituation im Unternehmen zur Folge. Gerade weil die Versuchung bei Unternehmen groß ist, der Meldepflicht nicht nachzukommen, um keine schlafenden Hunde zu wecken, ist auch diese Pflicht bußgeldbewährt. Bußgelder wurden dabei schon für gänzlich fehlende Meldungen aber auch für zu spät erfolgte Meldungen verhängt. Die

Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.

Deutschland

Der Hamburger Verkehrsbund führte ein Update auf der eigenen Website durch. Dadurch kam es zu einer Datenpanne, bei der Kunden im Kundenportal nicht nur ihre eigenen hinterlegten Daten abrufen konnten, sondern auch Daten anderer Kunden. Nach Bekanntwerden der Datenpanne wurde die Website zwar in den Wartungsmodus gesetzt, der Datenschutzverstoß wurde aber nicht innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet. Auch die Kunden wurden nicht über die Datenpanne informiert.

Belgien

Bei einem Telekommunikationsdienstleister kam es durch die falsche Zuordnung einer Telefonnummer zu einem Datenschutzverstoß. Diesen meldete das Unternehmen allerdings weder der Aufsichtsbehörde noch informierte es die betroffene Person über den Vorfall.

Irland

Durch einen Programmierfehler bei den Privatsphäre-Einstellungen der Social Media Plattform Twitter kam es bei dem Unternehmen zu einer Datenpanne. Die Sichtbarkeitseinstellungen für Posts wurden bei einigen Nutzern verändert wurden, wenn diese ihre hinterlegte E-Mail-Adresse änderten, sodass alle Post öffentlich sichtbar waren. Die Twitter International Company meldete die Datenpanne nicht innerhalb der 72-Stunden-Frist an die Datenschutzbehörde und dokumentierte den Vorfall zudem nur unzureichend.

Niederlande

Der Verband einer politischen Partei versendete eine E-Mail zur Einberufung einer Versammlung versehentlich an einen offenen Verteiler. Damit waren nicht nur die Mail-Adressen für alle Empfänger einsehbar, sondern es wurden auch politische Überzeugungen der Betroffenen offengelegt. Die Partei unterließ es, diesen Vorfall der zuständigen Aufsichtsbehörde zu melden. Die Meldung erfolgte erst nach der Beschwerde eines Betroffenen.

Nachdem das Online-Reisebuchungsportal Booking.com einen Datenschutzverstoß nicht innerhalb der gesetzlichen 72-Stunden Frist gemeldet hat, verhängte die niederländische Aufsichtsbehörde gegen das Unternehmen ein Bußgeld. In dem betreffenden Fall erlangten Kriminelle Zugangsdaten von Hotelmitarbeitern und konnten damit Daten von Hotelgästen abgreifen. Betroffen waren neben Kontaktdaten und Buchungsdetails in 283 Fällen auch Kreditkarteninformationen, in 97 Fällen inklusive Sicherheitsnummer. Die Meldung des Vorfalls erfolgte erst 25 Tage, nachdem das Unternehmen davon erfuhr.

Polen

Nach einem manuellen Serverneustart kam es auf der Website eines Finanzinstituts zu einer Datenpanne, die der Behörde nicht rechtzeitig und nur in unzureichendem Umfang gemeldet wurde. Da die Sicherheitseinstellungen beim Neustart zurückgesetzt wurden, hatten Unbefugte Zugriff auf Daten von 140.699 Kunden, die auf der Website für Kreditvergabe registriert waren. Die Aufsichtsbehörde ahndete neben dem Verstoß gegen die Meldepflicht zudem die unzureichenden Sicherheitsmaßnahmen zum Schutz der teilweise besonders sensiblen Daten.

Spanien

Ein Unternehmen wurde Opfer eines Hackerangriffs, meldete den Vorfall allerdings weder der zuständigen Aufsichtsbehörde noch wurden die Betroffenen Personen informiert. Bekannt wurde die Datenschutzverletzung, nachdem ein Betroffener mehrfach gefälschte E-Mails erhielt. Aufgrund der fristgerechten Zahlung und der Einsicht des Unternehmens wurde das Bußgeld auf 3.600 Euro reduziert.

Schweden

Bei einem Unternehmen, das die Verwaltung der schwedischen Regierungsbehörden koordiniert, trat ein Fehler in dem System für die Gehaltsabrechnung auf. Infolgedessen hatten Unbefugte Zugriff auf Personaldaten des Unternehmens sowie der Behörden. Der Verstoß wurde der Behörde allerdings erst nach 3 Monaten gemeldet und die Betroffenen wurden erst nach 5 Monaten informiert.

Ungarn

Das Bußgeld wurde gegen eine unbekannte ungarische politische Partei verhängt, weil sie die Aufsichtsbehörde und die betroffenen Personen nicht über einen Datenverstoß unterrichtet hatte und den Verstoß nicht ordnungsgemäß dokumentierte. Der Verstoß war das Ergebnis eines Cyberangriffs durch einen anonymen Hacker, der Informationen aus einer Datenbank mit Daten von mehr als 6000 Personen offenlegte.