Friends Stock - stock.adobe.com
DSGVO: Was man aus aktuellen Datenpannen lernen kann
Die Aufsichtsbehörden für den Datenschutz haben zahlreiche Beispiele für Datenpannen veröffentlicht, die zeigen, wie es in der Praxis zu Datenschutzverletzungen kommt.
Datenschutzverletzungen werden oftmals auch Datenpannen genannt, doch streng genommen sind es keine Pannen, sondern es ist eher „Sand im Getriebe“ der Datenschutz-Organisation des betroffenen Unternehmens oder der betroffenen Behörde. In aller Regel „streut“ aber niemand absichtlich diesen Sand hinein, vielmehr ist Datenschutz durchaus komplex, durch die Vielfalt der eingesetzten Technologien und die hohen Anforderungen von rechtlicher Seite. Nicht zuletzt ist es nicht einfach, den Datenschutz so in die Prozesse einer Organisation einzubringen, dass es wirklich zu Privacy by Design und Privacy by Default kommt.
Es ist deshalb mehr als hilfreich, aus Fehlern im Datenschutz zu lernen, am besten aus solchen, die man (noch) nicht selbst gemacht hat. Die Tätigkeitsberichte der Aufsichtsbehörden für den Datenschutz enthalten eine Vielzahl von Beispielen für Verletzungen des Datenschutzes, aus denen man lernen kann, wie es in der Praxis zu den sogenannten Datenpannen kommt.
Lernen aus Datenpannen
Die Datenschutzaufsichtsbehörden verhängen Sanktionen bei Datenschutzverletzungen, nicht um die bereits geschädigten Unternehmen zu bestrafen, sondern um auf das erkannte Problem aufmerksam zu machen. Soll Schlimmeres vermieden werden, wird eher die weitere Datenverarbeitung untersagt.
Deshalb sollen zum Beispiel Bußgelder und andere Sanktionen „wirksam, verhältnismäßig und abschreckend sein“ (Artikel 84 DSGVO). Abschrecken bedeutet nichts anderes, dass es bei dem betroffenen Unternehmen, aber auch bei Dritten nicht mehr dazu kommen soll.
Unternehmen und auch Behörden sollten deshalb die Chance nicht ungenutzt lassen, sich von sanktionierten Datenpannen „abschrecken“ zu lassen, also daraus zu lernen. Im Folgenden werden deshalb Beispiele von aktuellen Datenschutzverletzungen beschrieben, von denen die Aufsichtsbehörden in letzter Zeit berichtet haben.
Datenschutzverletzungen nehmen weiter zu
Ein Beispiel aus Baden-Württemberg: Die Zahl der Datenpannenmeldungen ist dort in 2024 deutlich gestiegen auf 3.559 (2023: 2.913, +646). Es wurden 243 Bußgeldverfahren eingeleitet (2023: 185, +58). Insgesamt hat der Landesbeauftragte 53 Bußgeldbescheide mit Bußgeldern in Höhe von etwa 626.700 Euro erlassen.
Darunter auch ein Fall, bei dem personenbezogene Daten fehlerhaft entsorgt wurden: Im Rahmen der Auflösung einer Facharztpraxis wurden sensible Patientenunterlagen nicht etwa durch einen zertifizierten Betrieb vernichtet, sondern an den Bruder des Arztes weitergegeben, verbunden mit dem Auftrag, diese zu verbrennen, berichtet die Aufsichtsbehörde. In einer normalen Papiersammeltonne eines öffentlich zugänglichen Mehrfamilienhauses entdeckten Anwohner die ärztlichen Dokumente und alarmierten die Polizei. Durch Zeugenaussagen der behandelten Patienten, deren Identitäten durch die Dokumente offengelegt wurden, konnte auch der ehemals behandelnde Arzt ausfindig gemacht werden, die Datenschutzaufsicht wurde aktiv.
Auch die datenschutzrechtlichen Eingänge beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) haben im Berichtsjahr 2024 mit 4.237 den entsprechenden Vorjahreswert (4.036) deutlich übertroffen. Ob Beschwerden, Beratungen oder Datenpannen – die Anzahl der verschiedenen Vorgangsarten beim Datenschutzbeauftragten markierte 2024 neue Höchstwerte.
Ein Beispiel aus Hamburg, das zeigt, wie riskant der fehlende Schutz für Datenträger und eine unzureichende Zutrittskontrolle sein können: Zwei zum selben Träger gehörende Arztpraxen sind Opfer eines Diebstahls geworden, so die Aufsicht. Ein Täter hat außerhalb der Geschäftszeiten die Praxisräume unberechtigt betreten und gezielt die Festplatten ausgebaut und entwendet, auf denen sich die Daten der Patienten befanden. Der Fall ist mittlerweile aufgeklärt, und die Speichermedien sind zurückgegeben worden. Die Untersuchung der Hintergründe des Vorfalls oblag dabei der Polizei. Ist eine mögliche Datenschutzverletzung zugleich eine Straftat, ist die Strafverfolgung vorrangig zu betreiben, wie die Aufsicht erläutert. Trotzdem bestehen auch in diesen Fällen Meldepflichten gegenüber der zuständigen Datenschutzaufsicht im Rahmen des Artikel 33 DSGVO.
Oftmals reicht die Datensicherheit nicht aus
Noch ein Fall aus Hamburg: Zwei Hinweisgeber machten den HmbBfDI darauf aufmerksam, dass sie im Internet auf umfangreiche Teilnehmerdaten aus Werbeaktionen zugreifen konnten. Die Agentur, die diese Aktionen als Auftragsverarbeiterin ihrer Werbekunden umsetzte, hatte ein selbst entwickeltes Online-Tool eingesetzt, mit dem die Teilnehmenden Fotos ihrer Kassenbons einreichen und persönliche Informationen angeben konnten, um eine Rückerstattung zu erhalten oder an Gewinnspielen teilzunehmen. Zu diesen Informationen gehörten je nach Art der Werbeaktion Name, Postanschrift, Geburtsdatum, Bankverbindung, E-Mail-Adresse und Kundennummer. Betroffen waren auch Kampagnen bekannter Markenhersteller.
Die Datenschutzaufsicht erklärte: Die Sicherheitsarchitektur, die dem Tool zugrunde lag, erwies sich als zu schwach. Unbefugte konnten ohne jede Überwindung besonderer technischer Hürden Teilnehmerdaten herunterladen. Es kam erschwerend hinzu, dass einige Datensätze teils Monate nach der Abwicklung einer Werbeaktion nicht gelöscht waren. Zudem wurden 270 Backups eines Servers fortlaufend gespeichert, obwohl ausreichend aktuellere Backups vorhanden waren. Auf diese Weise erhöhte sich die Zahl der Personen, die von dem Datenleck betroffen waren. Der HmbBfDI konnte nachweisen, dass ein Zugriff auf mindestens 56.635 Datensätze zeitweise möglich war.
Ein Blick nach Schleswig-Holstein zeigt erneut, wie wichtig der richtige und angemessene Schutz personenbezogener Daten ist: Ein Unternehmen gab an, dass es grundsätzlich ein verschlüsseltes Lohnportal gebe, worüber die Beschäftigten normalerweise ihre Lohnabrechnungen abrufen würden. Laut dem ehemaligen Arbeitgeber habe aber die Beschwerdeführerin freiwillig die Kommunikation und den Versand von Lohnabrechnungen per E-Mail gestattet. Ohnehin sei der Versand einer Lohnabrechnung per E-Mail legitim, da nach § 108 Abs. 1 Satz 1 Gewerbeordnung (GewO) dem Arbeitnehmer bei Zahlung des Arbeitsentgelts eine Abrechnung in Textform zu erteilen sei. Die Lohnabrechnung per E-Mail erfülle das Textformerfordernis.
Dazu erklärte die Datenschutzaufsicht: Auch wenn es richtig ist, dass § 108 Abs. 1 Satz 1 GewO der Erteilung einer Lohnabrechnung per E-Mail nicht entgegensteht, ist zu beachten, dass der Verantwortliche dabei ein angemessenes Schutzniveau für die von ihm verarbeiteten personenbezogenen Daten zu gewährleisten hat. Die Übermittlung von Lohnabrechnungen per E‑Mail hat daher grundsätzlich verschlüsselt zu erfolgen (z. B. passwortgeschütztes Dokument).
In Ausnahmefällen kann es zwar möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet. Grundsätzlich beruhen die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen aber auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen, so die Aufsicht (PDF).
Ein Beschäftigter eines anderen Unternehmens beschwerte sich darüber, dass ihm an seine private E-Mail-Adresse die Zugangsdaten (Benutzername und Passwort) für ein neues im Unternehmen eingesetztes System zugesandt worden waren. Dies sei ohne Rücksprache mit den Beschäftigten erfolgt. Er habe der Nutzung seiner privaten E-Mail-Adresse zudem nie zugestimmt.
Im Rahmen des durchgeführten Verfahrens teilte das verantwortliche Unternehmen der zuständigen Datenschutzaufsicht mit, dass die Einführung des neuen Systems notwendig gewesen sei, um bestimmte Abläufe zu gewährleisten. Dafür mussten für jeden Beschäftigten Nutzungszugänge angelegt werden. Die Übersendung der Zugänge von 59 Beschäftigten an deren private E-Mail-Adressen sei im Rahmen des Beschäftigungsverhältnisses zur ordnungsgemäßen Durchführung der beruflichen Tätigkeit erforderlich gewesen.
Statt der Zusendung der Zugangsdaten unter Verwendung der privaten E-Mail-Adresse hätte es jedoch ein milderes, gleich geeignetes Mittel gegeben: Die Beschäftigten hätten die Zugangsdaten auch in Papierform durch Ablage in das persönliche Fach erhalten können. Die Verwendung der privaten E-Mail-Adressen war somit schon allein deshalb nicht erforderlich und erfolgte ohne rechtliche Grundlage, wie die Aufsicht betonte.
Erfolgreiches Phishing bedeutet unzureichender Datenschutz
Im Laufe des Jahres 2024 meldeten im Vergleich der vergangenen Jahre überdurchschnittlich viele Unternehmen zudem erfolgreiche Phishing-Angriffe auf die E-Mail-Konten mit anschließender Manipulation des E-Mail-Verkehrs. Durch hinterlegte Regeln im kompromittierten Mail-Postfach konnten so Angriffe über längere Zeiträume verschleiert werden, indem zum Beispiel eingehende E-Mails bestimmter Absender direkt gelöscht oder in Unterordner verschoben wurden. In manchen Fällen wurde ein ähnliches Vorgehen mit dem Abfangen und Abändern von Rechnungen umgesetzt. Mangelnde E-Mail-Sicherheit war und ist also gleich mehrfach ein Datenschutz-Thema.
Es zeigt sich: Auch wenn in vielen Diskussionen der Datenschutz häufig als eher lästig und zu aufwendig bezeichnet wird, es gibt in der Praxis zahlreiche Probleme, die den Schutz der personenbezogenen Daten gefährden, ob Festplatten nicht richtig geschützt werden, Papierdokumente im Müll landen, vertrauliche E-Mails unverschlüsselt verschickt werden oder der Anti-Phishing-Schutz nicht stimmt. Datenschutz hat eine hohe, praktische Relevanz, wie die Beispiele der Aufsichtsbehörden immer wieder belegen.
