Urteile zur Sicherheit der Datenverarbeitung

Gemäß Art. 32 DS-GVO sind datenverarbeitende Stellen verpflichtet, personenbezogene Daten ausreichend zu schützen, insbesondere vor unbefugtem Zugriff (Vertraulichkeit), unbefugter Veränderung (Integrität) sowie vor Verlust (Verfügbarkeit). Sie müssen unter Berücksichtigung festgelegter Faktoren wie dem Stand der Technik oder dem bestehenden Risiko für Betroffene durch die Datenverarbeitung Vorkehrungen treffen, um ein angemessenes Schutzniveau sicherzustellen. Diese Maßnahmen können sowohl organisatorischer als auch technischer Natur sein. Sie müssen in allen Bereichen, Abläufen, Systemen usw. im Unternehmen umgesetzt werden, um einen ganzheitlichen Schutz personenbezogener Daten zu gewährleisten.

Erfüllen die Technisch-Organisatorischen Maßnahmen (TOMs) die Anforderungen des Art. 32 DS-GVO nicht, handelt es sich um einen bußgeldbewährten Datenschutzverstoß und zwar unabhängig davon, ob die unzureichenden Schutzvorkehrungen weitere Datenpannen wie Hackerangriffe verursacht haben oder nicht. Was aber ist ein „dem Risiko angemessenes Schutzniveau“? Mit dieser Frage mussten sich neben den Aufsichtsbehörden auch die Gerichte beschäftigen:

Die Übermittlung von Dokumenten mit höchstsicherheitsrelevanten und personenbezogenen Daten von Behörden per Fax ist datenschutzrechtlich kritisch zu sehen. Das Schutzniveau ist bei der Übermittlung unzureichend und entspricht nicht den Anforderungen des Art. 32 DS-GVO. Welche Maßnahmen / alternative Übermittlungswege erforderlich sind, hängt auch von den betroffenen Daten ab.

Ein unzureichendes Authentifizierungsverfahren, bei dem Anrufer beim Kundenservice mit der Angabe nur weniger Daten umfangreiche Auskünfte erhalten können, stellt einen Verstoß gegen Art. 32 DS-GVO dar und kann mit einem Bußgeld geahndet werden. Zudem kann ein Unternehmen für Datenschutzverstöße seitens seiner Mitarbeiter haftbar gemacht werden. Mit dieser Entscheidung bestätigt das Gericht die Entschließung der DSK vom 03.04.2019 zur Haftung von Unternehmen für ihre Mitarbeiter.

Ausführliche Hintergrundinformationen zu diesem Urteil

Bei Firmenhomepages muss grundsätzlich immer eine Verschlüsselung vorhanden sein.  Zudem muss eine ausführliche Datenschutzerklärung verwendet werden, die alle Pflichtangaben enthält. Darüber hinaus können Datenschutzverstöße wettbewerbsrechtlich abgemahnt werden.