Stand: 08.09.2023

Werden personenbezogene Daten unbefugt offengelegt, verändert oder gehen verloren, kann dies für betroffene Personen je nach Sensibilität der Informationen teilweise enorme negative Auswirkungen haben. Ein wichtiger Bestandteil des Datenschutzes ist deshalb die Sicherheit der Datenverarbeitung nach Art. 24 Abs. 1, 32 DS-GVO. Danach sind sowohl Verantwortliche als auch Auftragsverarbeiter verpflichtet, personenbezogene Daten ausreichend zu schützen, insbesondere im Hinblick auf die Vertraulichkeit, die Integrität sowie die Verfügbarkeit und die Belastbarkeit der Systeme. Sie müssen unter Berücksichtigung bestimmter Faktoren Vorkehrungen treffen, um ein angemessenes Schutzniveau sicherzustellen. Die Schutzmaßnahmen können technischer Natur (z. B. Vergabe von Benutzerrechten, Verschlüsselung von Notebooks/Tablets) oder organisatorischer Natur (z. B. Empfang/Rezeption, Mitarbeiterschulung und Verpflichtung zur Vertraulichkeit) sein.

Werden keine i. S. v. Art. 32 DS-GVO ausreichenden Maßnahmen getroffen, stellt dies allein bereits einen Verstoß gegen die DS-GVO dar, der nach Art. 83 DS-GVO mit einem Bußgeld geahndet werden kann. Nach einer Statistik von enforcementtracker.com sind mangelhafte TOMs nicht nur eine der Hauptgründe für die Verhängung eines Bußgeldes, sondern einer der Arten von Verstößen, für die die Gesamtsumme der verhängten Geldbußen mit am höchsten ist. Gleichzeitig erhöht sich bei datenverarbeitenden Stellen das Risiko von weiteren Datenschutzverstößen, beispielsweise wenn unbefugte Dritte aufgrund mangelhafter Maßnahmen zur Vertraulichkeit Daten abgreifen. Die Umsetzung ausreichender Sicherheitsmaßnahmen dient dabei nicht nur dem Schutz der betroffenen Personen, sondern trägt auch erheblich zur Risikominimierung bei der verantwortlichen Stelle bei. Dies zeigt sich in letzter Zeit insbesondere durch vermehrt auftretende Hackerangriffe, bei denen Daten und Systeme häufig verschlüsselt werden. In einem solchen Fall kann unter anderem ein mangelhaftes Backupkonzept enorme Auswirkungen haben, wenn die Daten nicht wiederhergestellt werden können.

Faktoren zur Gewährleistung eines angemessenen Schutzniveaus

Die Summe aller Vorkehrungen, die datenverarbeitende Stellen getroffen haben, um personenbezogene Daten zu schützen, werden als technische und organisatorische oder auch technisch-organisatorischen Maßnahmen (TOMs) bezeichnet. Über die Maßnahmen soll sichergestellt werden, dass das Risiko für betroffene Personen, das mit der Verarbeitung ihrer personenbezogenen Daten einhergeht, möglichst gering ist (risikobasierter Ansatz). Bei der Beurteilung, ob die TOMs ein ausreichendes Schutzniveau bieten und den Anforderungen der DS-GVO genügen, müssen gem. Art. 32 Abs. 1 1. Hs. DS-GVO verschiedene Faktoren berücksichtigt werden:

Die Datensicherheit ist dynamisch, technische Entwicklungen und aktuelle Bedrohungslagen können Anpassungen bei bestehenden Maßnahmen oder zusätzliche Maßnahmen erforderlich machen. Bei dem Stand der Technik handelt es sich kurz gesagt um bewährte und allgemein anerkannte Maßgaben. Nach dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) sind sowohl einschlägige internationale, europäische und nationale Normen und Standards u.a. als auch ggf. vorliegende Herstellerempfehlungen und aktuelle Einsatzempfehlungen heranzuziehen, um den Stand der Technik zu bestimmen.

Die Umsetzung von Maßnahmen bzw. die Umsetzung festgelegter Strukturen und Prozessabläufe in einem System („Implementierung“) ist in der Regel mit Kosten verbunden. Diese können konkret bezifferbar sein (z. B. Kosten beim Kauf einer neuen Software) oder den Verbrauch interner Ressourcen betreffen (z. B. Personalaufwand).

Bei der Festlegung der erforderlichen Maßnahmen müssen zudem die konkreten Verarbeitungsvorgänge berücksichtigt werden. Je nachdem, auf welche Weise, in welchem Umfang und zu welchen Zwecken eine Datenverarbeitung stattfindet, können sich verschiedene Datenschutzrisiken und Anforderungen ergeben. Zum Beispiel werden in einer reinen Produktionshalle in aller Regel deutlich weniger personenbezogene Daten verarbeitet als in der Personalabteilung des Produktionsunternehmens. Dementsprechend gibt es in den beiden Bereichen auch unterschiedliche Datenschutzanforderungen.

Die Eintrittswahrscheinlichkeit bezeichnet die erwartete oder geschätzte Wahrscheinlichkeit, dass in Zukunft ein Schaden für betroffene Personen entsteht. Dieser „Schaden“ liegt im Allgemeinen in negativen Auswirkungen, die durch eine Verletzung des Schutzes personenbezogener Daten (z. B. Offenlegung gegenüber Unbefugten, Verlust der Daten) verursacht werden.

Das Risiko für betroffene Personen setzt sich aus der Eintrittswahrscheinlichkeit und der Schadensauswirkung zusammen. Verantwortliche Stellen müssen abschätzen, welche Gefahren für Betroffene bestehen, wenn ihre personenbezogenen Daten bei der Übermittlung, Speicherung oder anderweitigen Verarbeitung vernichtet werden oder verloren gehen (Verfügbarkeit), verändert werden (Integrität) oder unbeabsichtigt, unrechtmäßig oder unbefugt offengelegt oder Unbefugten zugänglich gemacht werden (Vertraulichkeit). Je höher das Risiko für die Rechte und Freiheiten des Betroffenen in einem der drei Bereiche ist, desto höher ist der Schutzbedarf. Hier spielt im Hinblick auf die Schadensauswirkung auch der Umfang und die Sensibilität der verarbeiteten Daten eine Rolle.

Einen konkreten Maßnahmenkatalog gibt die DS-GVO nicht vor, vielmehr müssen Verantwortliche – zusammen mit dem/der Datenschutzbeauftragten – anhand einer Risikobeurteilung abschätzen, welche Maßnahmen notwendig und geeignet sind. Das Risiko für Betroffene muss möglichst minimiert werden, ohne dass damit ein unvertretbar hoher Aufwand verbunden ist („Verhältnismäßigkeit“). Das heißt auch, wenn eine Maßnahme zwar nicht dem aktuellen Stand der Technik entspricht, aber das Risiko am besten minimiert, ist sie dennoch geeignet.

Bestandteile der TOMs

Auch wenn die DS-GVO keinen konkreten Maßnahmenkatalog enthält, nennt Art. 32 Abs. 1 DS-GVO einige Beispiele, was die TOMs beinhalten können:

  • Pseudonymisierung und Verschlüsselung
  • Dauerhafte Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
  • Sicherstellen der Verfügbarkeit und Wiederherstellbarkeit
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Bei der Erstellung der TOMs werden zudem häufig die Begrifflichkeiten des § 9 BDSG a. F. (alte Fassung) herangezogen, die vor dem Inkrafttreten relevant waren. Hierzu gehören folgende Bereiche:

  • Zugangskontrolle: Unbefugte Dritte dürfen zudem keinen digitalen Zugriff auf Datenverarbeitungssysteme erhalten. Beispiele hierfür sind On-/Offboarding-Prozesse oder Zwei-Faktor-Authentifizierungen.
  • Zugriffskontrolle: Es muss sichergestellt werden, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert oder verändert werden können. Beispiele hierfür sind Berechtigungskonzepte und Passwortrichtlinien.
  • Weitergabekontrolle: Bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger dürfen personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Zudem musss überprüft und festgestellt werden können, an welchen Stellen die Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Beispiele hierfür sind Verschlüsselungen und die Nutzung von VPN-Verbindungen.
  • Trennungsgebot: Es soll sichergestellt werden, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Beispiele hierfür sind Mandanten- und Netzwerktrennungen.
  • Eingabekontrolle: Eingaben von Daten, deren Veränderung und Entfernung in Datenverarbeitungssystemen müssen nachträglich geprüft und festgestellt werden können, ob und von wem diese getätigt wurden. Beispiele hierfür sind benutzerbezogene Zugriffsrechte und Protokollierung der Zugriffe.
  • Verfügbarkeitskontrolle: Es muss dafür Sorge getragen werden, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeit) und im Verlustfall wiederhergestellt werden können (Wiederherstellbarkeit). Beispiele hierfür sind Backup- & Recoverykonzepte und redundante Datenhaltung.
  • Auftragskontrolle: Durch die Auftragskontrolle soll sichergestellt werden, dass die Datenschutzvorgaben auch bei Auftragsverarbeitern eingehalten werden. Dies erfolgt insbesondere durch den Abschluss von Verträgen über die Auftragsverarbeitung (Art. 28 DS-GVO) und die Kontrolle der Dienstleister.

Folgen bei Verstößen: Bußgelder und Schadensersatzforderungen

Treffen datenverarbeitende Stellen keine ausreichenden Maßnahmen zum Schutz personenbezogener Daten, kann dies für betroffene Personen teils verheerende Folgen haben. Der Schaden ist besonders groß, wenn beispielsweise Zugangsdaten, Konto-/Kreditkartendaten, die für (Cyber-)Kriminelle besonders interessant sind, oder Gesundheitsdaten von Unbefugten eingesehen bzw. abgegriffen werden. Für die datenverarbeitende Stelle selbst sind die Folgen ebenfalls nicht zu unterschätzen. Neben Imageverlusten, Schadensersatzforderungen und Bußgeldern seitens der Datenschutz-Aufsichtsbehörden können weiterführende Datenschutzverletzungen, die durch mangelhafte TOMs verursacht wurden, zum Teil erhebliche wirtschaftliche Schäden durch Datenverluste o. Ä. zur Folge haben.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württembergs (LFDI) verhängte ein Bußgeld in Höhe von 1,24 Millionen Euro gegen eine gesetzliche Krankenkasse. Diese führte mehrmals Online-Gewinnspiele durch und holte von den Teilnehmern eine Einwilligung ein, um die damit gesammelten personenbezogenen Daten für Marketingzwecke nutzen zu können. Durch den Einsatz von TOMs sollte sichergestellt werden, dass nur die Daten derjenigen Personen genutzt werden, die auch ihre Einwilligung erteilt hatten. Allerdings wurden dennoch Daten von 500 Personen genutzt, die keine Einwilligung erteilt hatten. Nach Ansicht der Aufsichtsbehörde fehlte also ein Verfahren zur regelmäßigen Überprüfung und Anpassung der TOMs, das die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer (hier: die Nicht-Verwendung der Daten ohne Einwilligung der Teilnehmer) gewährleistet.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte gegen einen Telekommunikationsdienstleister ein Bußgeld in Höhe von 9,55 Millionen Euro wegen der mangelnden Sicherheit beim Authentifizierungsverfahren des telefonischen Kundenservices. Teilweise war die Angabe des Namens und des Geburtsdatums ausreichend, um weitere persönliche Informationen zu erhalten. Das Unternehmen hatte rasch reagiert und das Verfahren angepasst. Dennoch entschied sich der BfDI ein Bußgeld zu verhängen, da das unzureichende Authentifizierungsverfahren für den gesamten Kundenstamm des Unternehmens eine Verletzung der Vertraulichkeit darstellte.

Ein Widerspruch des Telekommunikationsanbieters gegen das Bußgeld hatte vor Gericht teilweise Erfolg. Die Richter bestätigten den Datenschutzverstoß, legten den Begriff der Angemessenheit aber anders aus und reduzierten die Höhe des Bußgelds deshalb auf 900.000 Euro (LG Bonn, Urteil vom 11.11.2020, Az.: 29 OWi 1/20 LG).

Das Landgericht (LG) München sprach einem Betroffenen Schadensersatz in Höhe von 2.500 Euro zu, nachdem Unbefugte aufgrund unzureichender Schutzmaßnahmen auf seine Daten zugreifen konnten. Im Vorfeld kam es bei dem betreffenden Unternehmen, einem Online-Broker, zu einer Datenpanne, als sich ein ehemaliger Partner insgesamt drei Mal unbefugt Zugriff auf Kundendaten des Unternehmens verschaffte, die Daten abzog und sie im Darknet zum Verkauf anbot. Begründet hat das LG München seine Entscheidung damit, dass das Unternehmen keine ausreichenden Maßnahmen getroffen hat, um eine sichere Datenverarbeitung zu gewährleisten und die Passwörter der Nutzer angemessen zu schützen. Insbesondere hätten die Zugangsdaten des Partnerunternehmens nach Beendigung der Geschäftsbeziehung geändert werden müssen, was das Unternehmen fahrlässig versäumt hatte. Dass die Daten trotz des Verstoßes gegen Art. 32 DS-GVO nicht weiterverwendet wurden, sei bei der Bemessung der Anspruchshöhe nicht zu berücksichtigen. Zusätzlich entschied das Gericht, dass das Unternehmen alle künftigen materiellen Schäden ersetzen muss, die dem Betroffenen aufgrund des Datenlecks und dem Verlust seiner Daten entstehen (LG München, Urteil v. 09.12.2021, Az.: 31 O 16606/20).

Mehr Informationen zum Urteil finden Sie in unserer Rechtsprechungsübersicht.

Fehlerquellen im Betriebsalltag

Neben den beschriebenen Fällen, in denen mangelhafte Schutzmaßnahmen erhebliche Folgen für Betroffene und datenverarbeitende Stellen hatten, gibt es auch einige Beispiele aus der Praxis, die zwar zunächst einmal geringere Auswirkungen haben, im Betriebsalltag aber typische Fehlerquellen für Datenschutzverstöße darstellen. Diese sollten ebenfalls vermieden werden.

Beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) ging eine Beschwerde wegen des Briefkastens eines Amtsgerichts ein. In bestimmten Situationen (Nachbriefkasten und umfangreiche Postsendungen) ist es möglich, dass sich Sendungen am Behälter verfangen und von Unbefugten entnommen werden können. Nach Aussage des Gerichts trete dieses Problem allerdings nur für wenige Stunden in den frühen Morgenstunden oder bei einem nicht sorgsamen Verhalten des Briefträgers auf. Nach Einschätzung des LfDI BW liegen die Postsendungen ab Einwurf im Verantwortungsbereich des Gerichts und müssen durch ausreichende technische und organisatorische Maßnahmen gegen unbefugten Zugriff geschützt werden (z. B. durch mehrmalige Leerungen, einen ausreichend dimensionierten Briefkasten und/oder durch Maßnahmen erreicht werden, die verhindern, dass sich größere Umschläge im Behältnis verfangen). Dass über den verwendeten Briefkasten regelmäßig die Möglichkeit bestand, dass Postsendungen entnommen werden konnten, ordnete die Aufsichtsbehörde als Verstoß gegen den Grundsatz der Vertraulichkeit und Integrität ein (LfDI BW, 37. Tätigkeitsbericht 2021, S. 79).

Eine direkte Pflicht zur Schulung und Verpflichtung der Mitarbeiter(innen) ergibt sich für Verantwortliche aus der DS-GVO nicht. Im Betriebsalltag werden die meisten Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden und Datenschutzpflichten verletzt werden könnten, allerdings von Mitarbeitern durchgeführt. Eine der größten Gefahrenquellen für Datenschutzverletzungen ist der Mensch, denn bereits eine kleine Unachtsamkeit kann zu einer Datenpanne führen. Aus diesem Grund ist es unerlässlich, Beschäftigten klare Vorgaben zum Umgang mit Daten im Arbeitsalltag zu geben sowie sie regelmäßig zu schulen und zu sensibilisieren. Die Schulung und Sensibilisierung von Mitarbeiter(inne)n ist eine der wichtigsten organisatorischen Maßnahmen nach Art. 32 DS-GVO für die Gewährleistung eines angemessenen Schutzniveaus.

Dies zeigt auch die Bußgeldpraxis der Aufsichtsbehörden sowie deren Stellungnahmen in den jährlichen Tätigkeitsberichten. Werden die Mitarbeiter(innen) nicht für den Datenschutz sensibilisiert, führt dies allein noch nicht zu einem Bußgeld. Kommt es allerdings zu einem Datenschutzvorfall, der auf die (unbeabsichtigte) Missachtung von Datenschutzvorgaben durch Beschäftigte zurückzuführen ist, wirkt sich bei der Untersuchung der Aufsichtsbehörde und ggf. im Bußgeldverfahren eine fehlende Schulung und Verpflichtung negativ aus. Verantwortliche Stellen müssen Maßnahmen treffen, um die Umsetzung des Datenschutzes in ihrem Unternehmen zu gewährleisten, das heißt, auch bei ihren Beschäftigten.

Das auch Gerichte im Arbeitsalltag nicht von Datenpannen gefeit sind, zeigt ein Vorfall beim Landgericht (LG) Lüneburg. Bei einem Urteil, das als PDF online einsehbar war, wurden die Namen und Adressen von Kläger, Beklagter und Prozessbevollmächtigten nicht ordnungsgemäß geschwärzt. Die entsprechenden Stellen wurden in dem Dokument lediglich schwarz markiert, weshalb die Schwärzung von jedermann leicht umgangen und die Daten eingesehen werden konnten. Besonders interessant ist der Vorfall, da es sich bei dem betreffenden Urteil um eine Entscheidung zu einem Datenschutzverstoß handelte. Die technisch nicht korrekt geschwärzte PDF-Datei war zwei Tage online verfügbar, bis ein Angestellter des Gerichts über einen Privatkontakt auf die Panne hingewiesen wurde. Danach wurde das Urteil korrekt geschwärzt.

Zu Zeiten der Coronapandemie hat das Gesundheitsamt Bremen täglich Daten zu Coronafällen von Patienten und Beschäftigten angefordert. Die entsprechenden Listen mussten unverschlüsselt per Mail übermittelt werden. Einen anderen Übertragungsweg stellte das Gesundheitsamt nicht zur Verfügung. Das Gesundheitsamt bestätigte, dass die Listen notwendig waren, um das Ausbruchsgeschehen der Infektionen im stationären Bereich nachzuvollziehen und einzugrenzen. Diese wichtigen und nachvollziehbaren Ziele sorgen aber nicht dafür, dass die Datensicherheit keine Rolle mehr spielt. Die zuständige Aufsichtsbehörde in Bremen stellte explizit klar, dass nicht nur diejenigen Stellen für die Sicherheit der Daten verantwortlich sind, die diese übermitteln, sondern auch diejenigen Stellen, die sie erheben. Das Gesundheitsamt hätte deswegen einen sicheren Übertragungsweg zur Verfügung stellen müssen. Gesundheitsdaten dürfen nur dann per Mail übermittelt werden, wenn die Daten durch geeignete Maßnahmen wie z.B. eine ausreichende Verschlüsselung, vor unbefugten Zugriffen geschützt werden (Landesdatenschutzbeauftragte Bremen, 4. Jahresbericht 2022, S. 40f.).