Bußgelder wegen unzureichenden Sicherheitsmaßnahmen

Die DS-GVO verpflichtet Unternehmen in Art. 32 dazu, die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten personenbezogenen Daten mit angemessenen technischen und organisatorischen Maßnahmen (TOMs) zu schützen. Es muss daher mit entsprechenden Schutzmaßnahmen sichergestellt werden, dass das Risiko für Betroffene, das mit der Verarbeitung ihrer personenbezogenen Daten einhergeht, möglichst gering ist (risikobasierter Ansatz). Bei der Beurteilung, ob die TOMs ein ausreichendes Schutzniveau bieten, sind verschiedene Faktoren zu berücksichtigen, die in Art. 32 Abs. 1 1. Hs. DS-GVO aufgelistet sind. Hierzu gehören

  • der Stand der Technik
  • die Implementierungskosten
  • Art, Umfang, Umstände und Zwecke der Verarbeitung
  • die Eintrittswahrscheinlichkeit eines Risikos (Schadens) für Betroffene
  • die Schwere des Risikos für die Rechte und Freiheiten Betroffener

Sowohl die deutschen als auch die Aufsichtsbehörden anderer Länder haben bereits eine Reihe von Bußgeldern verhängt, wenn diese Vorgaben nicht ausreichend umgesetzt worden sind.

Deutschland

Nach einem Hackerangriff im Juli wurden personenbezogene Daten von rd. 330.000 Benutzern, darunter Passwörter und E-Mail-Adressen, bekannt gegeben. Wie sich herausstellte, waren die Passwörter im Klartext, und damit unverschlüsselt und unverfremdet gespeichert. Das betroffene Unternehmen war nach dem Datenschutzverstoß besonders kooperativ, hat seine Melde- und Informationspflichten erfüllt und alles Mögliche getan, um den Schaden für die Betroffenen so gering wie möglich zu halten. Deshalb hat die Aufsichtsbehörde das Bußgeld im Verhältnis zu den Verstößen eher niedrig bemessen.

Gesundheitsdaten wurden versehentlich im Internet veröffentlicht. Weitere Informationen zu der Strafe werden von der zuständigen Datenschutzbehörde aufgrund der Sensibilität der betroffenen Daten nicht veröffentlicht.

Das Authentifizierungsverfahren eines Telekommunikationsdienstleisters bei telefonischen Anfragen war nicht ausreichend, um eine Person eindeutig zu identifizieren. Teilweise waren die Angabe des Namens und des Geburtsdatums ausreichend, um weitere persönliche Informationen zu erhalten. Zwar hatte das Unternehmen rasch reagiert und das Verfahren angepasst, jedoch entschied sich der Bundesdatenschutzbeauftragte trotzdem ein Bußgeld von 9,55 Millionen Euro zu verhängen, da das unzureichende Authentifizierungsverfahren für den gesamten Kundenstamm des Unternehmens eine Verletzung der Vertraulichkeit darstellte.

Ein Widerspruch des Unternehmens gegen das Bußgeld hatte vor Gericht teilweise Erfolg. Die Richter bestätigten den Datenschutzverstoß, legten den Begriff der Angemessenheit aber anders aus. Die Höhe des Bußgelds wurde deshalb auf 900.000 Euro reduziert (LG Bonn, Urteil vom 11.11.2020, Az.: 29 OWi 1/20 LG).

Die Geldbuße wurde gegen ein Krankenhaus verhängt, das strukturelle Defizite im Patientenmanagement aufwies. Grund für das Bußgeld waren mehrere Verstöße gegen die DS-GVO wegen unzureichender Technisch-Organisatorischer Maßnahmen beim Patientenmanagement. Bekannt wurden die Schwächen im Zusammenhang mit einer Patientenverwechslung, die eine falsche Rechnungsstellung zur Folge hatte.

Die Aufsichtsbehörde betonte, dass die Geldbuße auch als Signal gewertet werden soll, dass gerade auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag gelegt werden müssen.

Belgien

Ein Telekommunikationsdienstleister hatte die Telefonnummer des Betroffenen einem unberechtigten Dritten zugewiesen. Dadurch verlor der Betroffene den Zugriff auf seine Daten, die der Dritte zeitgleich hätte einsehen können. Betroffenen waren unter anderem die Anrufhistorie, der Datenverkehr sowie Accounts, die mit der Rufnummer verknüpft waren. Das Unternehmen informierte weder die Aufsichtsbehörde noch die betroffene Person über den Vorfall.

Bulgarien

Die DSK Bank hatte keine angemessenen Technisch-Organisatorischen Maßnahmen getroffen, um bei den eingesetzten Systemen und Diensten ein ausreichendes Schutzniveau sicherzustellen.

Kriminellen ist es dadurch gelungen vertrauliche Daten von rund 33.500 Bankkunden zu ergattern. Sie erhielten über Privatpersonen folgende Informationen: Name, Staatsbürgerschaft, persönliche Identifikationsnummer, aktuelle Anschrift, Kopie des Personalausweises und der darin enthaltenen biometrischen Daten sowie das Einkommen und den Gesundheitszustand der Kreditnehmer und Dritter.

Dänemark

Der Stadtverwaltung Gladsaxe wurde ein Computer mit Daten von 20.620 Einwohnern gestohlen. Der Rechner war nicht verschlüsselt, obwohl darauf vertrauliche Informationen der Bewohner der Stadt inklusive deren persönlicher Identifikationsnummer gespeichert waren.

England

Sicherheitslücken beim Firmennetzwerk der britischen Fluggesellschaft British Airways ermöglichten es Hackern, sich über ein Administratorkonto Zugang zu mehreren Servern zu verschaffen. Dadurch erhielten sie Zugriff auf Daten von 108.000 Kreditkarten sowie Daten von 429.612 Kunden und Mitarbeitern sowie eventuell weitere Zugangsdaten wie Benutzernamen und Passwörter. Zudem manipulierten die Hacker die Website des Unternehmens, sodass die Userdaten über mehrere Wochen hinweg auf den Webserver der Angreifer weitergeleitet wurden. Ursprünglich betrug der Bußgeld 204,6 Millionen Euro, es wurde aufgrund der Corona bedingten Umsatzeinbußen der Fluggesellschaft deutlich reduziert.

Die Hotelgruppe Marriott International ist mit einem Bußgeld von über 110 Mio. Euro belangt worden. Der Grund hierfür liegt in einem jahrelang offenen System, über das Hacker Zugriff auf Kundendaten hatten. Es waren Daten von rund 339 Millionen Gästen der Hotelgruppe weltweit betroffen. Da die Hotelbranche besonders stark unter den Auswirkungen der Corona-Pandemie und den damit verbundenen Einschränkungen zu leiden hat, senkte die Behörde das Bußgeld im Oktober 2020 auf gut 20 Mio. Euro.

Unzureichende Schutzmaßnahmen auf der Zahlungswebsite eines Ticketverkaufs- und Vertriebsunternehmens ermöglichten es Hackern, Kreditkartendaten von potenziell 9,4 Millionen Karteninhabern abzugreifen. Obwohl IT-Spezialisten beauftragt wurden, wurde der Schadcode erst circa 3 Monate nach Bekanntwerden des Vorfalls entdeckt. Wie bekannt wurde, befand dieser sich in einem Chat-Bot und wertete sämtliche Eingaben in das Webformular aus.

Frankreich

Die französische Aufsichtsbehörde verhängte gegen einen Lieferdienst ein Bußgeld wegen verschiedener Verstöße gegen die DS-GVO, unter anderem wegen fehlender Einwilligungen, unzureichender Datenschutzinformationen und unvollständiger Beantwortung von Auskunftsersuchen. Darüber hinaus bemängelte die Behörde, dass Kunden beim Anlegen eines Benutzerkontos auf der Website oder in der App nicht gezwungen waren, ein sicheres Passwort zu wählen.

Italien

Eine italienische Umweltschutzbehörde meldete der Aufsichtsbehörde den Verlust einer externen Festplatte, auf der unter anderem Ausweiskopien, Steuerunterlagen, Lohnabrechnungen, Rückerstattungsunterlagen und Daten zu Gerichtsverfahren gespeichert waren. Bei ihren Untersuchungen stellte die Behörde fest, dass die Festplatte, die mit einem behördeninternen Server verbunden war, keiner ausreichenden Zugriffskontrolle unterlag. Sie befand sich in einem für alle Mitarbeiter der Umweltschutzbehörde sowie einer zugehörigen Unternehmenssparte offen zugänglichem Raum. Zudem existierte keine Sicherheitskopie, weshalb die Daten größtenteils unwiederbringlich verlorengegangen sind.

Eine Schule hatte eine Liste auf der eigenen Website frei herunterladbar veröffentlicht. Auf dieser Liste waren die Namen der Schüler, die eine Aufnahme an der Schule beantragt hatten. Doch nicht nur die Namen wurden veröffentlicht, sondern auch Gesundheitsvermerke, die Anzahl der Schulwechsel oder -abbrüche, etwaige Einschränkungen sowie Leistungsinformationen.

Der Datenschutzvorfall ereignete sich aufgrund eines Fehlers eines Mitarbeiters der Schule. Zudem wurde kritisiert, dass die Schule mit der Erhebung verschiedenster Daten auch gegen den Grundsatz der Datenminimierung verstoßen hatte.

Da die Schule während des Verfahrens mit der Aufsichtsbehörde gut kooperierte und auch neue technischen- organisatorischen-Maßnahmen einführte, um Fehler dergleichen zukünftig zu vermeiden, fiel das Bußgeld relativ gering aus.

Vodafone Italien erhielt ein Bußgeld, nachdem bei der Aufsichtsbehörde mehrere hundert Beschwerden wegen unerwünschter Telefonwerbung eingingen. Bei den Ermittlungen deckte die Aufsichtsbehörde zudem Verstöße gegen Grundprinzipien der DS-GVO auf. Außerdem waren die Maßnahmen zu Schutz der Kundendaten unzureichend.

Polen

Nach einem manuellen Serverneustart kam es auf der Website eines Finanzinstituts zu einer Datenpanne, da die Sicherheitseinstellungen nicht übernommen, sondern zurückgesetzt wurden. Dadurch hatten Unbefugte Zugriff auf Daten von 140.699 Kunden, die auf der Website für Kreditvergabe registriert waren. Betroffen waren unter anderem auch Informationen zum Gehalt, Familienstand, Sozialversicherungsnummer, Steuernummer, Accountpasswort, Geburtsort sowie die Kontonummer der Personen. Cyberkriminelle griffen die Daten ab, löschten sie von Server und verlangten eine Geldzahlung für die Rückgabe der Informationen. Nach Ansicht der Aufsichtsbehörde hatte das Unternehmen trotz des hohen Risikos für Betroffene nur unzureichende Sicherheitsmaßnahmen umgesetzt, um die Daten angemessen zu schützen. Zudem meldete das Unternehmen den Vorfall der Behörde nicht fristgerecht und nicht im ausreichenden Umfang.

Ein Mitarbeiter der Warschauer Universität speicherte, aufgrund von mangelhaften organisatorischen Maßnahmen und ohne Wissen des Verantwortlichen, Daten von Studierenden über 5 Jahre auf seinem Laptop. Zu den gespeicherten personenbezogenen Daten gehörten u. a. der Name, das Geschlecht, die Nationalität, die Staatsbürgerschaft, die Wohnadresse, Serie und Nummer eines Personalausweises, PESEL-Identifikationsnumer etc. Der Laptop wurde anschließend gestohlen.

Die Datenschutzbehörde bemängelte im vorliegenden Fall vier Punkte:

  1. unzureichende technische-organisatorische Maßnahmen
  2. Versäumnis des Verantwortlichen die Grundsätze der Rechenschaftspflicht bei der Verarbeitung von personenbezogenen Daten zu berücksichtigen
  3. mangelhafte Einbindung des Datenschutzbeauftragten
  4. Fehlende Dokumentation der Verarbeitung von personenbezogenen Daten der Studierenden im Verfahrensverzeichnis (Art. 30 Abs. 1 lit. d) DS-GVO)

Portugal

Die Untersuchung der Beschwerde eines Patienten ergab, dass die Mit-arbeiter des Krankenhauses durch falsche Benutzerrollen Zugang zu Patientendaten hatten, die sie nicht benötigten. Das Profilverwaltungssystem schien nur in der Theorie zu bestehen – das Krankenhaus hatte 985 registrierte Arztprofile, angestellt waren aber nur 296 Ärzte. Darüber hinaus hatten die Ärzte uneingeschränkten Zugang zu allen Patientenakten unabhängig von ihrer Spezialisierung.

Rumänien

Eine Bank hat aufgrund mangelhafter technischer- und organisatorischer Maßnahmen bei Überweisungen den Empfängern die Identifikationsnummer und Adresse des Auftraggebers offengelegt. Dies verletzte den Grundsatz Data Protection by Design, da die technischen Prozesse bei der Bank nicht so gestaltet waren, dass die Rechte und Freiheiten der Betroffenen angemessen geschützt werden. Betroffen waren hier ca. 337.000 Kunden.

Ein rumänisches Unternehmen aus dem Gesundheitswesen bietet eine Online-Anmeldung für Seminare an. Meldet sich ein Teilnehmer für ein Seminar an, wird automatisch eine E-Mail mit den Anmeldedaten an den jeweiligen Teilnehmer versendet. In dem vorliegenden Fall wurden die Anmeldedaten, aufgrund eines technischen Fehlers, jedoch an andere Teilnehmer versandt. Diese Situation führte zur Offenlegung und zum unbefugten Zugriff Dritter auf die Daten der Teilnehmer des Seminars. Insgesamt wurden rund 1300 Teilnehmerdaten an unbefugte Dritte versandt. Der für die Verarbeitung Verantwortliche bemerkte den technischen Fehler und meldete die Datenpanne selbst der Aufsichtsbehörde. Diese sah in der Datenpanne eine Verletzung des Grundsatzes der Integrität und Vertraulichkeit gem. Art. 5 Abs. 1 lit. f) DS-GVO.

Gegen den Verantwortlichen einer rumänischen Bank wurde aufgrund einer Beschwerde bei der Datenschutzbehörde eine Untersuchung eingeleitet. Es wurde festgestellt, dass eine Sammlung von Kopien von Ausweisdokumenten einzelner Kunden (hauptsächlich Minderjährige und deren gesetzliche Vertreter) über das private Telefon eines Mitarbeiters via WhatsApp versendet wurde. Die Datenschutzbehörde stellte fest, dass die Bank keine angemessenen organisatorischen Maßnahmen getroffen hat, um ein dem Verarbeitungsrisiko angemessenes Sicherheitsniveau zu gewährleisten. Außerdem hat der Verantwortliche keine Schritte unternommen, um sicherzustellen, dass Mitarbeiter nur unter seiner Anweisung arbeiten und personenbezogene Daten auch nur auf seiner Anfrage hin verarbeiten.

Spanien

Ein Kunde von Vodafone Spanien beschwerte sich bei der Aufsichtsbehörde, nachdem er Dienstleistungen im Namen eines Dritten erhielt und auf Nachfrage beim Kundenservice eine Antwort bekam, die sich ebenfalls auf das Anliegen jenes Dritten bezog. Nach Angabe des Telekommunikationsdienstleisters wurden durch einen Systemfehler nach einer Systemmigration die Daten der beiden Kunden verknüpft. Diese fehlerhafte Zuordnung wurde zu spät behoben. Das ursprüngliche Bußgeld in Höhe von 90.000 Euro wurde auf 54.000 Euro gesenkt, da das Unternehmen die Schuld anerkannte und fristgerecht zahlte.

Aufgrund von fehlenden geeigneten Maßnahmen zur telefonischen Authentifizierung, war es einem Unberechtigten gelungen, sich als vertretungsberechtigt auszugeben und den Vertragsnehmer eines Energieversorgungsvertrags zu ändern. Die von dem angeblichen Vertreter des Vertragsnehmers genannten personenbezogenen Daten des Betroffenen wurden daher vom Mitarbeiter der EDP Comercializadora, SA ungeprüft erfasst und zur weiteren Vertragsdurchführung genutzt. Die spanische Aufsichtsbehörde bewertete die Verarbeitung der personenbezogenen Daten des Betroffenen als unrechtmäßig, da kein Vertragsverhältnis zwischen dem Betroffenen und der EDP Comercializadora, SA bestehe. Es wurde ein Bußgeld in Höhe von 75.000 Euro verhängt. Zudem erhielt die EDP Comercializadora, SA die Auflage, eine geeignete Methode zur Identitätsfeststellung zu implementieren und damit die Integrität der verarbeiteten Daten besser zu schützen.

Um den seinen (zugriffsberechtigten) Kollegen den Zugang zu einem Wählerverzeichnis mit personenbezogenen Daten zu erleichtern, stellte ein Mitarbeiter einer Flughafen-Sicherheitsvereinigung die Liste in eine betriebsinterne WhatsApp Gruppe ein. Die Aufsichtsbehörde empfand der Schutzniveau der persönlichen Daten bei der Verbreitung über eine WhatsApp-Gruppe allerdings als unzureichend, da dort keine Kontrolle der Verarbeitung möglich ist. Ursprünglich betrug das Bußgeld 3.000 Euro, der Betrag wurde allerdings zweimal gesenkt.

Ungarn

Daten aus dem Reservierungssystem der Website eines ungarischen Reisevermittlers waren ungeschützt im Internet einsehbar und über Google auffindbar. Betroffen waren 309 Reisebuchungen von 781 Personen, die unter anderem Namen, Kontaktdaten, Kopien von Personenausweisen, Passnummern sowie Reise- und Buchungsdetails enthielten. Das Unternehmen unterließ es, regelmäßige Sicherheitsprüfungen durchzuführen, die Daten waren rund drei Monate ungeschützt abrufbar. Zudem wurden die Betroffenen nicht über die Datenpanne informiert.

Die ungarische Aufsichtsbehörde NAIH verhängte eine Geldbuße gegen eine Bank wegen Nichteinhaltung des Grundsatzes der Richtigkeit der DSGVO. Das Verfahren wurde auf Anfrage einer betroffenen Person eingeleitet, nachdem die Bank fälschlicherweise SMS-Nachrichten über die Kreditkartenschulden der betroffenen Person an die Telefonnummer einer anderen Person gesendet hatte.

Aufgrund von fehlenden geeigneten Maßnahmen zur telefonischen Authentifizierung, war es einem Unberechtigten gelungen, sich als vertretungsberechtigt auszugeben und den Vertragsnehmer eines Energieversorgungsvertrags zu ändern. Die von dem angeblichen Vertreter des Vertragsnehmers genannten personenbezogenen Daten des Betroffenen wurden daher vom Mitarbeiter der EDP Comercializadora, SA ungeprüft erfasst und zur weiteren Vertragsdurchführung genutzt. Die spanische Aufsichtsbehörde bewertete die Verarbeitung der personenbezogenen Daten des Betroffenen als unrechtmäßig, da kein Vertragsverhältnis zw. dem Betroffenen und der EDP Comercializadora, SA bestehe. Es wurde ein Bußgeld in Höhe von EUR 75.000 verhängt. Zudem erhielt die EDP Comercializadora, SA die Auflage, eine geeignete Methode zur Identitätsfeststellung zu implementieren und damit die Integrität der verarbeiteten Daten besser zu schützen.

Um seinem (zugriffsberechtigten) Kollegen den Zugang zu einem Wählerverzeichnis mit personenbezogenen Daten zu erleichtern, stellte ein Mitarbeiter einer Flughafen-Sicherheitsvereinigung die Liste in eine betriebsinterne WhatsApp Gruppe ein. Die Aufsichtsbehörde empfand das Schutzniveau der persönlichen Daten bei der Verbreitung über eine WhatsApp-Gruppe allerdings als unzureichend, da dort keine Kontrolle der Verarbeitung möglich ist. Ursprünglich betrug das Bußgeld 3.000 Euro, der Betrag wurde allerdings zweimal gesenkt.