:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Strafen für Datenschutzverstöße Bußgelder und die DSGVO
Die DSGVO wird häufig mit den im Vergleich zur vorherigen Rechtslage deutlich erhöhten Bußgeldern bei Datenschutzverstößen in Verbindung gebracht. Bußgelder nach der DSGVO können für Verstöße bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen. Aktuelle Beispiele zeigen, dass DSGVO-Bußgelder bereits verhängt wurden.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Noch halten sich die Behörden in Deutschland bzgl. der Bußgeldhöhe zurück. Aber Beispiele aus anderen Ländern zeigen, dass durchaus auch andere Maßstäbe an die Bußgeldhöhe gesetzt werden können. Die konkrete Bußgeldhöhe kann jedoch durch entsprechende Schutzmaßnahmen der Unternehmen gesenkt oder sogar vermieden werden.
In Deutschland hat vor allem der Fall Knuddels große Aufmerksamkeit erregt. Das soziale Netzwerk hatte Passwörter der Nutzer unverschlüsselt gespeichert. Nach einem Hackerangriff wurden die entsprechenden Daten im Netz veröffentlicht. Die Baden-Württembergische Datenschutzbehörde hatte daraufhin ein Bußgeld in Höhe von 20.000 Euro gegen Knuddels verhängt. Dabei stellte sich die Frage, welcher DSGVO-Verstoß Kunddels überhaupt vorgeworfen werden konnte. Der Verstoß von Kunddels bestand v.a. in der unzulässigen unverschlüsselten Speicherung von Passwörtern. Allerdings fiel das Bußgeld für Knuddels verhältnismäßig gering aus. Knuddels hatte von Anfang an eng mit der Aufsichtsbehörde zusammengearbeitet und an der Aufklärung des Falles gearbeitet. Zudem setzte das Unternehmen in kurzer Zeit weitreichende Maßnahmen zur Verbesserung der IT-Strukturen um. Diese Vorgehensweise sollten alle Unternehmen im Geltungsbereich der DSGVO unbedingt beherzigen. Eine enge Zusammenarbeit mit den Behörden und die interne Förderung der Aufklärung eines Vorfalles sind unerlässlich.
:quality(80)/images.vogel.de/vogelonline/bdb/1495800/1495847/original.jpg "Es geht bei der DSGVO nicht nur um die Einhaltung von Eckpunkten, sondern um die Beachtung sehr konkreter Vorgaben. (Stockwerk-Fotodesign - stock.adobe.com)")
Entwicklungen zur DSGVO im Dezember
Erste Bußgelder und konkrete Prüfungen nach DSGVO
Insgesamt sind aktuell über 40 Fälle von verhängten Bußgeldern in Deutschland bekannt, dabei handelt es sich v.a. um fahrlässige Verstöße wie das zufällige Einblenden von Kundendaten anderer Nutzer beim Online-Banking oder innerhalb eines Webshops. Dabei stehen keinesfalls nur große Unternehmen im Fokus der Aufsichtsbehörden, sondern auch solche von mittlerer Größe. Allerdings sind die Aufsichtsbehörden zugleich stark darum bemüht die Umsetzung der DSGVO innerhalb der Unternehmen voranzutreiben und versuchen daher teils noch zu unterstützen und vorerst Verwarnungen und Hinweise auszusprechen, bevor Bußgelder verhängt werden. So führt Niedersachsen gerade eine Überprüfung von 50 Unternehmen durch, um etwaige Hinweise auf Probleme bei der Umsetzung der DSGVO zu erhalten. Im Rahmen dieser sog. „Querschnittsprüfung“ könnten allerdings auch erkannte Verstöße sanktioniert werden.
Die meisten Bußgeldverfahren wurden infolge von Beschwerden von Betroffenen in der Regel im Zusammenhang mit technisch-organisatorischen Mängeln eingeleitet. (v.a. fehlende Kontrolle von DSGVO-relevanten Vorgängen oder klassische Datenpannen, wie die versehentliche Weitergabe von Daten an Dritte, das Speichern von Daten auf öffentlich zugänglichen Servern oder Hackerangriffe). Auch unzulässige Werbemails und offene E-Mail-Verteiler lösten bereits Bußgeldverfahren aus.
:quality(80)/images.vogel.de/vogelonline/bdb/1539100/1539185/original.jpg "Bisher ist nicht erkennbar, dass DSGVO-Verstöße zu Abmahnungen nach dem UWG führen können, Unternehmen sollten aber trotzdem jeden Einzelfall durch eine Rechtsberatung abklären. (fovito - stock.adobe.com)")
UWG und Datenschutz-Grundverordnung
DSGVO und Abmahnungen – Viel Lärm um Nichts
Bußgelder in Europa
Der Fall Google: Wesentliches Merkmal der DSGVO war von Anfang an der Transparenzgrundsatz. Dieser Grundsatz scheint vielen Unternehmen nur eine Art vage Vorschrift zu sein, mittels derer nur grob erläutert werden sollte, welchem Zweck die DSGVO dient. Tatsächlich ist dieser Grundsatz aber mehr als das. In Frankreich verhängte die zuständige Aufsichtsbehörde (CNIL) ein Bußgeld von 50 Millionen Euro gegen Google. Als Begründung wurde u.a. ein Verstoß gegen den Transparenzgrundsatz der DSGVO genannt. In der Pressemitteilung der CNIL heißt es dazu „Wesentliche Informationen, wie die Zwecke der Datenverarbeitung, die Aufbewahrungsfristen oder die Kategorien von personenbezogenen Daten, die für die Personalisierung der Anzeigen verwendet werden, sind zu sehr auf mehrere Dokumente verteilt, mit Buttons und Links, auf die geklickt werden muss, um auf zusätzliche Informationen zuzugreifen.“ Der Betroffene wisse also nach Ansicht der Datenschützer nicht was mit seinen Daten geschieht, die Informationen seien schwer zugänglich, teils unklar, vage und schwer verständlich.
Doch damit nicht genug. Der bereits für sich bußgeldbewehrte Verstoß gegen das Datenschutzrecht ist Ausgangspunkt für eine weitere von den französischen Datenschützern konstatierte DSGVO-Verletzung: Aufgrund der intransparenten Informationspolitik von Google seien auch keine wirksamen Einwilligungen durch die Nutzer erteilt worden, um die Verwendung ihrer Daten für Werbezwecke zu legitimieren. Die Betroffenen können nicht beurteilen, welche Google-Dienste (z.B. Youtube oder Google-Maps) ihre persönlichen Daten ebenfalls auswerten.
Und auch eine weitere Folge des Transparenzgrundsatzes greifen die französischen Datenschützer auf. Durch die verborgene und nicht sofort erkennbare Gestaltung der Einstellungen zur Anzeige von personalisierter Werbung und das bereits automatisch angekreuzte entsprechende Kästchen für eine solche Werbeansprache verletze Google ebenfalls die DSGVO. Damit spricht die CNIL (wenn auch nicht ausdrücklich) die Prinzipien des Privacy by Design-Grundsatzes der DSGVO an. Zudem stellte die CNIL eine Verletzung von Betroffenenrechten fest, weil keine Widerspruchsmöglichkeit für Betroffene erkennbar sei.
Die Entscheidung der französischen Datenschützer zeigt, dass es beim Transparenzgebot um weit mehr als ein abstraktes übergeordnetes Dogma im Rahmen der DSGVO geht. Unternehmen sollten dringend darauf achten das Transparenzgebot und seine Folgen umzusetzen, um hohe Bußgelder zu vermeiden. Nach dem bisher erkennbaren Vorgehen der Aufsichtsbehörden wird die Einhaltung des Transparenzgrundsatzes besonders gründlich geprüft.
Die polnische Datenschutzbehörde UODO verhängte kürzlich ein Bußgeld in Höhe von 220.000 Euro gegen das polnische Unternehmen Bisnode Polska, das u.a. personenbezogene Daten aus staatlichen Registern verarbeitete, ohne Betroffene ausreichend darüber zu informieren. Lediglich auf seiner Website klärte das Unternehmen allgemein darüber auf, nicht jedoch jeden Betroffenen individuell, da dies als zu unwirtschaftlich empfunden wurde. Die polnische Datenschutzbehörde sah darin einen Verstoß gegen Artikel 14 DSGVO.
In Dänemark wurden aktuell Bußgelder wegen Verstoßes gegen Grundsätze der Anonymisierung und Datensparsamkeit verhängt. Ein Taxiunternehmen hatte Löschfristen von Kundendaten erheblich überschritten.
:quality(80)/images.vogel.de/vogelonline/bdb/1564000/1564062/original.jpg "Trotz der DSGVO wird der Datenschutz von vielen Unternehmen weiterhin vor allem als Hindernis gesehen. (Bernulius - stock.adobe.com)")
Neues eBook „DSGVO – ein Jahr danach“
Bilanz und Evaluierung der Datenschutz-Grundverordnung
Hintergrund: Kriterien für die Verhängung von Bußgeldern
Die Verhängung von Bußgeldern ist in der DSGVO vor allem in Art. 83 DSGVO geregelt. Art. 83 Abs. 2 DSGVO legt als Kriterien für die Bemessung von Bußgeldern Art, Schwere und Folgen des Verstoßes fest. Die Differenzierung nach der Art des Verstoßes erfolgt vor allem durch Art. 83 Abs. 4 und 5 DSGVO. Grundsätzlich weniger schwerwiegende Verstöße sind in Absatz 4 geregelt, schwerere Verstöße finden sich in Absatz 5. Bei Verstößen etwa gegen die Vorgaben zu datenschutzfreundlichen technischen Voreinstellungen (Privacy by Design) drohen Bußgelder bis zu 10 Millionen Euro oder bei Unternehmen bis zu 2% des weltweiten Jahresumsatzes. Dagegen sind Verstöße gegen Vorschriften zum Umgang mit besonders sensiblen personenbezogenen Daten (etwa Gesundheitsdaten) mit Bußgeldern bis 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes belegt. Liegen Verstöße gegen mehrere Vorschriften vor, so legt der Europäische Datenschutzausschuss (ehemals Artikel-29-Datenschutzgruppe) nahe, die Geldbuße nach dem schwersten Verstoß (also etwa die Verletzung der Vorgaben zum Umgang mit Gesundheitsdaten) zu bemessen.
Bezüglich der Schwere und der Folgen des Verstoßes ist zudem die Anzahl der betroffenen Personen und der Zweck der Datenverarbeitung zu berücksichtigen. So können Verstöße, die sich im gesamten Konzern auswirken mit erheblich höheren Bußgeldern belegt werden als Verstöße, die sich nur gegenüber den Kunden einer Tochtergesellschaft ausgewirkt haben. Zudem sind die Dauer des Verstoßes und mögliche erlittene materielle oder immaterielle Schäden auf Seiten der Betroffenen zu berücksichtigen. Ebenfalls zu gewichten ist die Art der betroffenen Daten (Ist eine Identifizierung des Betroffenen möglich? Handelt es sich um besonders sensible Daten?).
Weiterhin einzubeziehen ist, ob der Verantwortliche vorsätzlich (Wurde die Verarbeitung von höchster Geschäftsebene, eventuell sogar der Konzernführung, angeordnet?) oder fahrlässig gehandelt hat.
Ebenfalls entscheidende Kriterien sind, wie die Vorgaben zu datenschutzfreundlichen technischen Voreinstellungen und die sonstigen technischen und organisatorischen Maßnahmen umgesetzt worden sind. Außerdem fallen frühere Verstöße gegen das Datenschutzrecht, der Umgang mit diesen und mit anerkannten Verhaltensregeln für Unternehmen ins Gewicht. Die Einzelfallprüfung impliziert, dass auch alle sonstigen erschwerenden und mildernden Umstände berücksichtigt werden. Die Bußgeldhöhe hängt jedoch nicht nur von der Art des Verstoßes ab. Maßgeblich ist auch, ob Abhilfemaßnahmen nach Bekanntwerden des Verstoßes (etwa Benachrichtigung der Betroffenen, Notfallmaßnahmen bei Datenpannen) ergriffen wurden und wie mit der Aufsichtsbehörde kooperiert wurde. Nach Bekanntwerden des Verstoßes ist daher die freiwillige Kooperation mit Aufsichtsbehörden und Datenschutzbeauftragten dringend angeraten. Weist die Aufsichtsbehörde die Vorlage von Informationen an, sollte dieser Aufforderung vollständig nachgekommen werden.
Der Europäische Datenschutzausschuss (ehemals Artikel-29-Datenschutzgruppe) betont zudem ausdrücklich, dass Unternehmen Strukturen einrichten müssen, die der Komplexität ihrer Geschäftstätigkeit gerecht werden, um dem Vorwurf der Fahrlässigkeit zu entgehen. Unternehmen können sich daher nicht darauf berufen, dass zu wenig Ressourcen zur Vermeidung datenschutzrechtlicher Verstöße vorhanden sind. Demgemäß ist Unternehmen dringend zu raten Schulungen für Mitarbeiter durchzuführen, um diese in einem ersten Schritt für datenschutzrechtlich relevante Vorgänge zu sensibilisieren und in einem zweiten Schritt mit Kenntnissen und Ablaufprotokollen bei Datenschutzverstößen und Betroffenenanfragen auszustatten. Innerhalb eines Konzerns kann es sich zudem empfehlen Vorgänge, die eine Verarbeitung personenbezogener Daten beinhalten, regelmäßig und in Kooperation mit den Aufsichtsbehörden einer Gefährdungsanalyse zu unterziehen, um die unter Umständen hohen Bußgelder zu vermeiden.
:quality(80)/images.vogel.de/vogelonline/bdb/1560600/1560615/original.jpg "Seit einem Jahr muss in Deutschland die EU-Datenschutz-Grundverordnung (DSGVO) angewendet werden. (Noerr LLP)")
HSP Summit 2019
Ein Jahr DSGVO!
Fazit
Bußgelder können grundsätzlich für alle DSGVO-Verstöße verhängt werden. Die konkrete Höhe hängt jedoch immer davon ab, inwiefern ein Unternehmen im Vorfeld um ein DSGVO-konformes Verhalten bemüht war, inwiefern dieses Bemühen nachweisbar ist (z.B. durch Schulungen der Mitarbeiter) und inwiefern ein Unternehmen mit den Aufsichtsbehörden kooperiert.
Über die Autorin: Simone Rosenthal ist Partnerin bei Schürmann Rosenthal Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts. Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet. Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learninganbieter für Digitalisierung & Recht.
(ID:45947926)
:quality(80)/p7i.vogel.de/wcms/ad/7b/ad7b5861d2c5330840721a4d6a917d38/0112820620.jpeg "Der beste Weg, um hohe Bußgelder nach DSGVO zu minimieren oder gar zu vermeiden, sind wirksame Datenschutzmaßnahmen. (Bild: vladischern - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/70/9070c7ffec6d8486c7bdeaff8c6ce0f6/0106072922.jpeg "Wer Google Analytics einsetzen will, muss genau prüfen, welche der getroffenen Zusatzmaßnahmen zur Absicherung des Datenverkehrs wirksam dafür sorgen, dass die Datenübermittlung in die USA zulässig wird. (Bild: DIgilife - stock.adobe.com)")