Datenschutzverletzungen nach DSGVO 2021 Datenpannen jenseits der Schlagzeilen

Die Medien berichten laufend über Datenschutzverletzungen. Doch es sind nicht nur die medienwirksamen Vorfälle, die die Aufsichtsbehörden als Datenpanne einstufen. Es lohnt sich, auch die weniger prominenten Datenpannen zu kennen und aus ihnen zu lernen, denn auch diese können zu Bußgeldern und anderen Sanktionen der Datenschutzaufsicht führen. Wir nennen wichtige Beispiele.

Firmen zum Thema

Bekanntlich kann man aus Fehlern besonders gut lernen, nicht nur aus den eigenen. Es lohnt sich also, auch die Datenpannen anderer Unternehmen genau in den Blick zu nehmen, und zwar nicht nur solche, die es in die Abendnachrichten geschafft haben.
Bekanntlich kann man aus Fehlern besonders gut lernen, nicht nur aus den eigenen. Es lohnt sich also, auch die Datenpannen anderer Unternehmen genau in den Blick zu nehmen, und zwar nicht nur solche, die es in die Abendnachrichten geschafft haben.
(© magele-picture - stock.adobe.com)

Eigentlich muss man nicht lange suchen, wenn man wissen will, wie eine Datenschutzverletzung nach DSGVO (Datenschutz-Grundverordnung) in der Praxis aussieht. Es vergeht kaum eine Woche, in der es keine Meldung zu einer Datenpanne in den Abendnachrichten gibt. Die Schlagzeilen sind voll von Vorfällen, bei denen es zu einem Verstoß gegen die Vorgaben der DSGVO gekommen ist.

Allerdings gibt es noch weitaus mehr Beispiele für Datenpannen, es passiert noch deutlich mehr, als in den Nachrichten zu sehen, zu lesen und zu hören ist. Aber die meisten Schlagzeilen machen eben jene Datenpannen, die mit großen, bekannten Unternehmen verbunden sind.

Leider hat dies zur Folge, dass man als Unternehmensentscheider den Eindruck bekommen könnte, es passiere hauptsächlich den bekannten Markenunternehmen etwas. Als kleines oder mittleres Unternehmen oder als Firma, die nicht so bekannt ist, könnte man dann denken, Datenschutzverletzungen gibt es nur bei den anderen, zumindest werden nur die bekannt. Entsprechend könnte man auch glauben, Sanktionen durch die Aufsichtsbehörden können zwar sehr umfangreich und folgenreich sein, aber das eigene Unternehmen wird es schon nicht treffen.

Das stimmt aber nicht, es gibt jenseits der Schlagzeilen viele Datenpannen, die die Aufsichtsbehörden für den Datenschutz untersucht und oftmals auch sanktioniert haben.

Aus Fehlern lernen, das gilt auch im Datenschutz

Bekanntlich kann man aus Fehlern besonders gut lernen, nicht nur aus den eigenen. Es lohnt sich also, auch die Datenpannen anderer Unternehmen genau in den Blick zu nehmen, und zwar nicht nur solche, die es in die Abendnachrichten geschafft haben.

Die Aufsichtsbehörden haben sehr viele Fälle in den letzten Monaten und Jahren untersucht. So zog Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, im Frühjahr 2021 für das Jahr 2020 das Fazit: „Wieder mehr Beschwerden, wieder mehr Datenpannen, und vor allem mehr Angriffe auf den Datenschutz.“

Sie berichtet von Fällen, in denen die datenschutzrechtlichen Anforderungen nicht eingehalten wurden, beispielsweise zu Datenpannen oder absichtlichem Fehlverhalten im Homeoffice oder bei der Kontaktdatenverwendung. Auch Bereiche wie der „Dauerbrenner“ Videoüberwachung, der Schutz des Patientengeheimnisses oder der Beschäftigtendatenschutz waren und sind immer ein Thema im Datenschutz. Alleine in Schleswig-Holstein gab es 406 Meldungen zu Datenpannen, eine Zunahme um 16 Prozent im Vergleich zum Vorjahr.

Ein Beispiel dafür: In einem Fall installierte ein Mitarbeiter ein Programm zur Fernnutzung auf Dienstcomputern einer Filiale, um von außen darauf zugreifen zu können. Er hatte sich ohne Wissen seines Arbeitgebers selbst ins Homeoffice versetzt. Kunden-E-Mails leitete er an seine private E-Mail-Adresse weiter. Einerseits verließen also Kundendaten den abgesicherten Bereich des Unternehmens, andererseits durften keine eigenmächtigen Fernzugriffsmöglichkeiten geschaffen werden, die möglicherweise auch von Dritten ausgenutzt werden könnten.

Auch die per Corona-Bekämpfungsverordnung eingeführte Verpflichtung für etwa Gastronomen und Veranstalter, Kontaktdaten ihrer Gäste zu sammeln, führte zu vielen Fragen und Problemen, denn nicht alle hatten verstanden, dass diese Daten nur dem Zweck der Kontaktnachverfolgung dienten und auf Anfrage des Gesundheitsamts herauszugeben waren, aber ansonsten gegen unberechtigte Zugriffe zu schützen waren. Zu den typischen Datenschutzverstößen und Schludrigkeiten gehörten ausgelegte Listen, bei denen jeder Gast die Daten der vorherigen Besucherinnen und Besucher sehen konnte, ein Sammeln von zusätzlichen Informationen und die Nutzung zu ganz anderen Zwecken als vorgesehen: für Marketing-Aktionen, für die persönliche Kontaktaufnahme bei einer Beschwerde und sogar für Flirtversuche per Messenger.

Aber es gibt noch viele weitere Beispiele aus anderen Bundesländern, die zeigen, wie eine Datenpanne aussehen kann, die die Aufsicht auf den Plan ruft.

Aufsichtsbehörden nennen Mängelschwerpunkte

Der Sächsische Datenschutzbeauftragte konnte ebenfalls von einer hohen Zahl an Datenpannen berichten: „Im Jahr 2020 sind in meiner Dienststelle 635 Meldungen von Datenschutzverletzungen eingegangen. Im Vergleich zum Vorjahr entspricht dies einer Steigerung um über 40 Prozent.“

Dabei beschrieb diese Aufsichtsbehörde mehrere Schwerpunkte unter den Datenschutzverletzungen, die sich durchaus eignen, einmal im eigenen Unternehmen nach entsprechenden Problemen zu suchen und diese umgehend abzustellen:

  • Unzureichender Schutz gegen Cyberkriminalität: Typische Handlungsfelder waren die Verschlüsselung und das Abgreifen von personenbezogenen Daten aus E-Mail-Postfächern, von Servern oder anderweitigen Datenträgern.
  • Kein Schutz vor Fehlversand: Auf diese Fallgruppe entfallen die meisten Meldungen. Typische Fälle: Unterlagen mit falscher Zuordnung, fehlerhafter Kuvertierung oder Verwechslung der Empfängerperson. Vielfach waren Gesundheitsdaten betroffen, die aufgrund ihrer hohen Sensibilität und Vertraulichkeit ein besonders hohes Maß an Sorgfalt von der verantwortlichen Stelle fordern.
  • Offene E-Mail-Verteiler stellen nach wie vor einen Klassiker der Datenschutzverletzung dar. Obgleich hierbei in der Regel das Risiko für die Betroffenen als durchaus gering eingeschätzt werden kann, ist eine solche Datenschutzverletzung gemäß Datenschutz-Grundverordnung in den meisten Fällen meldepflichtig.
  • Der Verlust von Unterlagen auf dem Postweg trat häufig auf. Bei Bekanntwerden einer solchen Problematik ist eine kritische Bewertung des Versanddienstleisters geboten, so die Aufsichtsbehörde.

Auch der Blick auf Einzelfälle lohnt sich

Beispielhaft seien auch einige Einzelfälle genannt, die sich als Lehrstück eignen können, wobei zwar jeder einzelne Fall individuell zu prüfen und zu bewerten ist, aber doch einiges abgeleitet werden kann:

  • Biometrie: Aufgrund verschiedener Anfragen und Beschwerden wurde der Hessische Datenschutzbeauftragte mit der Rechtmäßigkeit der Verarbeitung biometrischer Daten im Beschäftigtenverhältnis befasst. Die Beschwerdeführer fragten beispielsweise an, ob der Einsatz von Arbeitserfassungssystemen mittels Fingerabdruck ohne ihre Einwilligung zulässig ist. Grund für den Einsatz war in einem Fall, dass es beim Einsatz des vorherigen Systems wiederholt zu Missbrauch und Manipulation gekommen war. Die Prüfung der Ausgestaltung des Systems ergab, dass dieses nicht mit der DSGVO im Einklang war. Aufgrund der Intervention der Aufsichtsbehörde wurde die biometrische Arbeitszeiterfassung durch ein ausweisbasiertes Zeiterfassungssystem ersetzt.
  • CMS: Dass es nicht genügt, die internen Rechnersysteme zu schützen, zeigte der Fall einer überregional tätigen Hilfs- und Wohlfahrtsorganisation, deren Website sich als Einfallstor in deren Datenbanken herausstellte, so die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. Der Grund für die Datenpanne lag in einer Sicherheitslücke im Content-Management-System, die den unbefugten Zugriff ermöglichte. Die Datenbank beinhaltete personenbezogene Daten, die über ein Anmeldeformular des Internetangebots erfasst worden waren. Die Zahl der von dem unerlaubten Zugriff betroffenen personenbezogenen Daten ging in die Hunderttausende, teilweise enthielten sie auch Angaben zum Gesundheitszustand.
  • Videoüberwachung: In einer Pilotphase wollte die Deutsche Bahn an ihrem Testbahnhof Berlin Südkreuz Kamerasysteme zur automatisierten Erkennung von Gefahrensituationen testen. Die Systeme von drei unterschiedlichen Anbietern sollten typische Gefahrensituationen, wie am Boden liegende Personen, abgestellte Gegenstände oder das Betreten bestimmter Zonen am Bahnsteig, erkennen und dem Personal in der Videoleitstelle melden. Tatsächlich wurden dabei so viele Fehlalarme erzeugt oder Situationen nicht erkannt, dass die Ergebnisse des Testbetriebs erhebliche Zweifel an der datenschutzrechtlichen Zulässigkeit ihres Einsatzes aufkommen lassen, so die Berliner Beauftragten für Datenschutz und Informationsfreiheit.
  • Newsletter: Kundinnen und Kunden eines Unternehmens beschwerten sich bei der Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen darüber, dass sie trotz Abmeldung vom Newsletter des Unternehmens und der eingegangenen Bestätigung der Deaktivierung weiterhin Werbung erhielten. Es zeigte sich, dass die Deaktivierung fälschlicherweise nicht richtig abgespeichert worden sei. Das Unternehmen änderte aufgrund der Beschwerde den entsprechenden Arbeitsprozess und führte ein Vier-Augen-Prinzip bei der Löschung aus dem E-Mail-Verteiler ein, sodass sich dieser Fehler bei diesem Unternehmen hoffentlich nicht wiederholen wird.

Es zeigt sich bereits an diesen Beispielen: Nicht nur die Datenpannen aus den Schlagzeilen sollten Anlass sein, die eigenen Datenschutzmaßnahmen zu überprüfen, auch scheinbar unscheinbare Vorfälle können eine Datenschutzverletzung darstellen, mit deutlichen Folgen für die Betroffenen und die Unternehmen als Verantwortliche.

(ID:47904316)