Geburtsdatum als alleiniges Authentifizierungsmittel ungeeignet

Wie wichtig es ist, die datenschutzrechtlichen Vorgaben in alle Prozesse eines Unternehmens zu integrieren und betriebliche Abläufe entsprechend datenschutzkonform zu gestalten, zeigt das Bußgeld gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte gegen das Unternehmen Anfang Dezember 2019 ein Bußgeld in Höhe von 9,55 Millionen Euro wegen der mangelnden Sicherheit beim Authentifizierungsverfahren des telefonischen Kundenservices. Das eingesetzte Verfahren sei aufgrund unzureichender technischer und organisatorischer Maßnahmen nicht geeignet, um die Weitergabe von Kundendaten an Unberechtigte zu vermeiden. Nachdem die 1&1 Telecom GmbH Einspruch gegen die Geldbuße erhoben hatte, wurde Anfang Oktober 2020 vor dem Landgericht (LG) Bonn das erste Verfahren gegen ein Millionenbußgeld nach der DS-GVO in Deutschland eröffnet (Az.: 29 OWi 1/20 LG). Hintergrund des Bußgelds [...]

Schwere Missachtung des Beschäftigten-Datenschutzes: 35 Millionen € Bußgeld

Ende Januar 2020 eröffnete der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gegen die bekannte Modekette H&M ein Bußgeldverfahren wegen Verstöße gegen den Beschäftigtendatenschutz. Nach umfangreichen Ermittlungen verhängte er nun gegen das Modehaus wegen der jahrelangen schwerwiegenden strukturellen Missachtung des Beschäftigtendatenschutzes das bisher höchste deutsche Bußgeld in Höhe von über 35 Millionen Euro. Das Wichtigste in Kürze Mitarbeiter des Unternehmens am Standort Nürnberg sammelten bei Gesprächen mit ihren Angestellten in großem Umfang private Informationen über diese. Die umfangreichen Datensätze mit detaillierten Informationen zum Gesundheitszustand und Beziehungsleben der Mitarbeiter existierten spätestens seit 2014 und waren bis zu deren Entdeckung im Oktober 2019 bis zu 50 Führungskräften zugänglich. Die betroffenen Mitarbeiter hatten keine Kenntnis davon, dass diese Daten gesammelt wurden. Durch einen Konfigurationsfehler war der Ordner im [...]

Frankreich: Bußgeld wegen unangemessener Informationen im CRM-System

Systeme zum Customer-Relationship-Management (CRM) sind für die meisten Unternehmen heute gar nicht mehr wegzudenken. Das Angebot an CRM-Software ist vielfältig und die Funktionen der Systeme werden stets verbessert und ausgebaut. Was bei vielen Produkten und bei der Arbeit mit CRM-Systemen allerdings nur wenig oder gar nicht beachtet wird, ist der Datenschutz. Die datenschutzrechtlichen Vorgaben sind nämlich nicht nur mit einem gewissen technischen und arbeitsintensiven Aufwand verbunden, sie widersprechen zum Teil auch den Zielen der Unternehmen. Aus Sicht der Unternehmen sollen nämlich möglichst viele Informationen über die eigenen Kunden und die Kundenhistorie an einer Stelle gesammelt werden und bei Bedarf abrufbar sein. Das gilt nicht nur für Kontaktdaten oder Angaben mit Bezug auf die Geschäftsbeziehung. In vielen Fällen werden auch über die Dauer des Geschäftsverhältnisses [...]

Konfigurationsfehler bei Back-up-Server – Millionen Kundendaten im Netz

Die DS-GVO enthält vier Schutzziele, die bei der Verarbeitung personenbezogener Daten beachtet werden müssen – Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Um diese Ziele zu erreichen, müssen eine Reihe von Maßnahmen zum Schutz personenbezogener Daten getroffen werden, die sogenannten Technisch-Organisatorischen Maßnahmen (TOMs). Dass diese Schutzziele zusammenspielen und bei der Umsetzung in Form von TOMs nicht getrennt voneinander betrachtet werden sollten, zeigt eine Datenpanne bei einem der größten Autovermieter in Deutschland. Um die Verfügbarkeit zu gewährleisten, erstellte das Unternehmen täglich ein Back-up der Daten. Die Back-up-Dateien wurden auf einem angemieteten Cloud-Rechner gesichert. Das Problem dabei war, dass aufgrund eines Konfigurationsfehlers des Servers die Dateien offen im Internet für jedermann abrufbar waren. Die personenbezogenen Daten konnten über mehrere Wochen hinweg von Internetusern ohne großen Aufwand heruntergeladen werden, [...]

Nach oben