:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/a4/57a4e6276b930350b50582363804c855/0111698941.jpeg "Kim Braunias ist Informationssicherheitsbeauftragte bei der Kölner FLOYT Mobility GmbH und Keynote-Speakerin auf der ISX IT-Security Conference 2023. (Bild: Privat)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/09/b00951f70ae122ab3b6706b07c40503c/0111698906.jpeg "Künstliche Intelligenz (KI) und maschinelles Lernen (ML) bieten enorme Möglichkeiten für die Cybersicherheit. (Bild: sabida - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/0f/e50f3478e3e1d50e6785b5989363af5a/0111527874.jpeg "Nach erfolgreichen Cyber-Angriffen drängt die Zeit. Die Backup-Strategie muss sich deshalb an der Wiederherstellung orientieren – und nicht an der Sicherung. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/be/4a/be4a3ff7421db282ea323adc388b40b8/0111572655.jpeg "Mit der optimierten Integration von Ivanti zielt Check Point darauf ab, Schwachstellen automatisch zu erkennen, zu priorisieren und zu patchen, um Angriffsflächen zu minimieren und die betriebliche Effizienz zu verbessern. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Datenschutzverletzungen nach DSGVO 2021 Datenpannen jenseits der Schlagzeilen
Die Medien berichten laufend über Datenschutzverletzungen. Doch es sind nicht nur die medienwirksamen Vorfälle, die die Aufsichtsbehörden als Datenpanne einstufen. Es lohnt sich, auch die weniger prominenten Datenpannen zu kennen und aus ihnen zu lernen, denn auch diese können zu Bußgeldern und anderen Sanktionen der Datenschutzaufsicht führen. Wir nennen wichtige Beispiele.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Eigentlich muss man nicht lange suchen, wenn man wissen will, wie eine Datenschutzverletzung nach DSGVO (Datenschutz-Grundverordnung) in der Praxis aussieht. Es vergeht kaum eine Woche, in der es keine Meldung zu einer Datenpanne in den Abendnachrichten gibt. Die Schlagzeilen sind voll von Vorfällen, bei denen es zu einem Verstoß gegen die Vorgaben der DSGVO gekommen ist.
Allerdings gibt es noch weitaus mehr Beispiele für Datenpannen, es passiert noch deutlich mehr, als in den Nachrichten zu sehen, zu lesen und zu hören ist. Aber die meisten Schlagzeilen machen eben jene Datenpannen, die mit großen, bekannten Unternehmen verbunden sind.
Leider hat dies zur Folge, dass man als Unternehmensentscheider den Eindruck bekommen könnte, es passiere hauptsächlich den bekannten Markenunternehmen etwas. Als kleines oder mittleres Unternehmen oder als Firma, die nicht so bekannt ist, könnte man dann denken, Datenschutzverletzungen gibt es nur bei den anderen, zumindest werden nur die bekannt. Entsprechend könnte man auch glauben, Sanktionen durch die Aufsichtsbehörden können zwar sehr umfangreich und folgenreich sein, aber das eigene Unternehmen wird es schon nicht treffen.
Das stimmt aber nicht, es gibt jenseits der Schlagzeilen viele Datenpannen, die die Aufsichtsbehörden für den Datenschutz untersucht und oftmals auch sanktioniert haben.
Aus Fehlern lernen, das gilt auch im Datenschutz
Bekanntlich kann man aus Fehlern besonders gut lernen, nicht nur aus den eigenen. Es lohnt sich also, auch die Datenpannen anderer Unternehmen genau in den Blick zu nehmen, und zwar nicht nur solche, die es in die Abendnachrichten geschafft haben.
Die Aufsichtsbehörden haben sehr viele Fälle in den letzten Monaten und Jahren untersucht. So zog Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, im Frühjahr 2021 für das Jahr 2020 das Fazit: „Wieder mehr Beschwerden, wieder mehr Datenpannen, und vor allem mehr Angriffe auf den Datenschutz.“
Sie berichtet von Fällen, in denen die datenschutzrechtlichen Anforderungen nicht eingehalten wurden, beispielsweise zu Datenpannen oder absichtlichem Fehlverhalten im Homeoffice oder bei der Kontaktdatenverwendung. Auch Bereiche wie der „Dauerbrenner“ Videoüberwachung, der Schutz des Patientengeheimnisses oder der Beschäftigtendatenschutz waren und sind immer ein Thema im Datenschutz. Alleine in Schleswig-Holstein gab es 406 Meldungen zu Datenpannen, eine Zunahme um 16 Prozent im Vergleich zum Vorjahr.
Ein Beispiel dafür: In einem Fall installierte ein Mitarbeiter ein Programm zur Fernnutzung auf Dienstcomputern einer Filiale, um von außen darauf zugreifen zu können. Er hatte sich ohne Wissen seines Arbeitgebers selbst ins Homeoffice versetzt. Kunden-E-Mails leitete er an seine private E-Mail-Adresse weiter. Einerseits verließen also Kundendaten den abgesicherten Bereich des Unternehmens, andererseits durften keine eigenmächtigen Fernzugriffsmöglichkeiten geschaffen werden, die möglicherweise auch von Dritten ausgenutzt werden könnten.
Auch die per Corona-Bekämpfungsverordnung eingeführte Verpflichtung für etwa Gastronomen und Veranstalter, Kontaktdaten ihrer Gäste zu sammeln, führte zu vielen Fragen und Problemen, denn nicht alle hatten verstanden, dass diese Daten nur dem Zweck der Kontaktnachverfolgung dienten und auf Anfrage des Gesundheitsamts herauszugeben waren, aber ansonsten gegen unberechtigte Zugriffe zu schützen waren. Zu den typischen Datenschutzverstößen und Schludrigkeiten gehörten ausgelegte Listen, bei denen jeder Gast die Daten der vorherigen Besucherinnen und Besucher sehen konnte, ein Sammeln von zusätzlichen Informationen und die Nutzung zu ganz anderen Zwecken als vorgesehen: für Marketing-Aktionen, für die persönliche Kontaktaufnahme bei einer Beschwerde und sogar für Flirtversuche per Messenger.
Aber es gibt noch viele weitere Beispiele aus anderen Bundesländern, die zeigen, wie eine Datenpanne aussehen kann, die die Aufsicht auf den Plan ruft.
Aufsichtsbehörden nennen Mängelschwerpunkte
Der Sächsische Datenschutzbeauftragte konnte ebenfalls von einer hohen Zahl an Datenpannen berichten: „Im Jahr 2020 sind in meiner Dienststelle 635 Meldungen von Datenschutzverletzungen eingegangen. Im Vergleich zum Vorjahr entspricht dies einer Steigerung um über 40 Prozent.“
Dabei beschrieb diese Aufsichtsbehörde mehrere Schwerpunkte unter den Datenschutzverletzungen, die sich durchaus eignen, einmal im eigenen Unternehmen nach entsprechenden Problemen zu suchen und diese umgehend abzustellen:
- Unzureichender Schutz gegen Cyberkriminalität: Typische Handlungsfelder waren die Verschlüsselung und das Abgreifen von personenbezogenen Daten aus E-Mail-Postfächern, von Servern oder anderweitigen Datenträgern.
- Kein Schutz vor Fehlversand: Auf diese Fallgruppe entfallen die meisten Meldungen. Typische Fälle: Unterlagen mit falscher Zuordnung, fehlerhafter Kuvertierung oder Verwechslung der Empfängerperson. Vielfach waren Gesundheitsdaten betroffen, die aufgrund ihrer hohen Sensibilität und Vertraulichkeit ein besonders hohes Maß an Sorgfalt von der verantwortlichen Stelle fordern.
- Offene E-Mail-Verteiler stellen nach wie vor einen Klassiker der Datenschutzverletzung dar. Obgleich hierbei in der Regel das Risiko für die Betroffenen als durchaus gering eingeschätzt werden kann, ist eine solche Datenschutzverletzung gemäß Datenschutz-Grundverordnung in den meisten Fällen meldepflichtig.
- Der Verlust von Unterlagen auf dem Postweg trat häufig auf. Bei Bekanntwerden einer solchen Problematik ist eine kritische Bewertung des Versanddienstleisters geboten, so die Aufsichtsbehörde.
Auch der Blick auf Einzelfälle lohnt sich
Beispielhaft seien auch einige Einzelfälle genannt, die sich als Lehrstück eignen können, wobei zwar jeder einzelne Fall individuell zu prüfen und zu bewerten ist, aber doch einiges abgeleitet werden kann:
- Biometrie: Aufgrund verschiedener Anfragen und Beschwerden wurde der Hessische Datenschutzbeauftragte mit der Rechtmäßigkeit der Verarbeitung biometrischer Daten im Beschäftigtenverhältnis befasst. Die Beschwerdeführer fragten beispielsweise an, ob der Einsatz von Arbeitserfassungssystemen mittels Fingerabdruck ohne ihre Einwilligung zulässig ist. Grund für den Einsatz war in einem Fall, dass es beim Einsatz des vorherigen Systems wiederholt zu Missbrauch und Manipulation gekommen war. Die Prüfung der Ausgestaltung des Systems ergab, dass dieses nicht mit der DSGVO im Einklang war. Aufgrund der Intervention der Aufsichtsbehörde wurde die biometrische Arbeitszeiterfassung durch ein ausweisbasiertes Zeiterfassungssystem ersetzt.
- CMS: Dass es nicht genügt, die internen Rechnersysteme zu schützen, zeigte der Fall einer überregional tätigen Hilfs- und Wohlfahrtsorganisation, deren Website sich als Einfallstor in deren Datenbanken herausstellte, so die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. Der Grund für die Datenpanne lag in einer Sicherheitslücke im Content-Management-System, die den unbefugten Zugriff ermöglichte. Die Datenbank beinhaltete personenbezogene Daten, die über ein Anmeldeformular des Internetangebots erfasst worden waren. Die Zahl der von dem unerlaubten Zugriff betroffenen personenbezogenen Daten ging in die Hunderttausende, teilweise enthielten sie auch Angaben zum Gesundheitszustand.
- Videoüberwachung: In einer Pilotphase wollte die Deutsche Bahn an ihrem Testbahnhof Berlin Südkreuz Kamerasysteme zur automatisierten Erkennung von Gefahrensituationen testen. Die Systeme von drei unterschiedlichen Anbietern sollten typische Gefahrensituationen, wie am Boden liegende Personen, abgestellte Gegenstände oder das Betreten bestimmter Zonen am Bahnsteig, erkennen und dem Personal in der Videoleitstelle melden. Tatsächlich wurden dabei so viele Fehlalarme erzeugt oder Situationen nicht erkannt, dass die Ergebnisse des Testbetriebs erhebliche Zweifel an der datenschutzrechtlichen Zulässigkeit ihres Einsatzes aufkommen lassen, so die Berliner Beauftragten für Datenschutz und Informationsfreiheit.
- Newsletter: Kundinnen und Kunden eines Unternehmens beschwerten sich bei der Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen darüber, dass sie trotz Abmeldung vom Newsletter des Unternehmens und der eingegangenen Bestätigung der Deaktivierung weiterhin Werbung erhielten. Es zeigte sich, dass die Deaktivierung fälschlicherweise nicht richtig abgespeichert worden sei. Das Unternehmen änderte aufgrund der Beschwerde den entsprechenden Arbeitsprozess und führte ein Vier-Augen-Prinzip bei der Löschung aus dem E-Mail-Verteiler ein, sodass sich dieser Fehler bei diesem Unternehmen hoffentlich nicht wiederholen wird.
Es zeigt sich bereits an diesen Beispielen: Nicht nur die Datenpannen aus den Schlagzeilen sollten Anlass sein, die eigenen Datenschutzmaßnahmen zu überprüfen, auch scheinbar unscheinbare Vorfälle können eine Datenschutzverletzung darstellen, mit deutlichen Folgen für die Betroffenen und die Unternehmen als Verantwortliche.
(ID:47904316)
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923655/original.jpg "Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden. (Ar_TH - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923698/original.jpg "Berichte von IT-Sicherheitsbehörden wie ENISA liefern Beispiele für schwerwiegende Security-Vorfälle und Bedrohungen, die in Kundengesprächen den Security-Bedarf unterstreichen können. (Thomas - stock.adobe.com)")