Das Datenschutz-Jahr 2021 Die größten Datenpannen des Jahres 2021

Nicht alleine die Höhe des verhängten Bußgeldes macht deutlich, dass es sich um eine schwerwiegende Verletzung des Datenschutzes nach DSGVO (Datenschutz-Grundverordnung) handeln kann. Ein Blick auf die Datenschutzverletzungen, die im Jahr 2021 bekannt geworden sind, machen dies deutlich. Unternehmen sollten diese Vorfälle nutzen, um die eigenen Datenschutz-Prozesse zu hinterfragen.

Anbieter zum Thema

Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden.
Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden.
(© Ar_TH - stock.adobe.com)

Blickt man auf das Datenschutz-Jahr 2021 zurück, stellt sich zu Recht die Frage, welche Datenpannen zu beklagen waren, welche davon besonders schwerwiegend waren. Dabei geht es weniger um Sensationen als vielmehr darum, aus den Vorfällen zu lernen.

Zum einen sollte man sich als Unternehmen immer fragen, ob dies auch im eigenen Betrieb passieren könnte. Man sollte die Datenpannen Dritter zum Anlass nehmen, die eigenen Datenschutzkonzepte zu hinterfragen. Nicht zuletzt sollte man die Berichte über Datenschutzverletzungen nutzen, um die Unterweisungen für die eigenen Beschäftigten möglichst anschaulich zu machen.

Doch wann ist eine Datenschutzverletzung schwerwiegend und groß? Die DSGVO definiert eine „Verletzung des Schutzes personenbezogener Daten“ als eine „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Wie folgenreich eine Datenpanne ist, kann dann von vielen Faktoren abhängen, wie die Zahl der Betroffenen, die Menge und Kategorie der betroffenen Datensätze, die Art der Verletzung, ob also die Daten zerstört wurden, ob die Daten missbraucht wurden und zu welchem kriminellen Zweck.

Es zeigt sich bereits, dass man nicht nur auf die Höhe eines möglichen Bußgeldes schauen sollte, auch wenn die zuständige Aufsichtsbehörde natürlich auch die zuvor genannten Faktoren prüft, wenn es um die Bemessung des Bußgeldes oder um andere Sanktionen geht.

In den Medien oder „nur“ im Fokus der Aufsichtsbehörden

Wer nun an die zahlreichen Schlagzeilen im Jahr 2021 denkt, die sich um Datenpannen drehten, könnte eine Vielzahl von Datenschutzverletzungen übersehen, die die Medien nicht ausführlich erwähnt haben, die aber im Fokus der Aufsichtsbehörden standen.

Nimmt man die Vorfälle, über die die Aufsichtsbehörden selbst ausführlicher berichtet haben, sind darunter auch die Fälle, die zu Schlagzeilen geführt haben, das versteht sich. Als Beispiele seien genannt:

Fall 1: Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hatte eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag, so die Aufsicht. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche. „Wir haben es hier mit einem schwerwiegenden Fall der Videoüberwachung im Betrieb zu tun“, sagte die LfD Niedersachsen, Barbara Thiel. „Unternehmen müssen verstehen, dass sie mit einer solch intensiven Videoüberwachung massiv gegen die Rechte ihrer Mitarbeiterinnen und Mitarbeiter verstoßen“.

Fall 2:Die Vattenfall Europe Sales GmbH (Vattenfall) hat zwischen August 2018 und Dezember 2019 bei Vertragsanfragen für Sonderverträge, die mit besonderen Bonuszahlungen verbunden waren, routinemäßig überprüft, ob die Kundinnen und Kunden ein „wechselauffälliges Verhalten“ zeigten, so der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI). Diese Überprüfung sollte verhindern, dass die Kundinnen und Kunden solche Bonus-Verträge nicht so regelmäßig abschließen, dass sich dieses Angebot zur Neukundenwerbung für das Unternehmen nicht mehr rentiert.

Um dies zu überprüfen, nutzte Vattenfall Rechnungen aus früheren Vertragsbeziehungen mit diesen Kundinnen und Kunden, die nach steuer- und handelsrechtlichen Vorgaben ohnehin für bis zu zehn Jahre aufbewahrt werden müssen. Für die Kundinnen und Kunden war aber nicht erkennbar, dass ein solcher Datenabgleich stattfand.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) kam nach einer Prüfung des Vorgangs zu dem Ergebnis, dass Vattenfall durch dieses Vorgehen gegen die datenschutzrechtlichen Transparenzpflichten (Art. 12, 13 DSGVO) verstieß, da die Kundinnen und Kunden über den Datenabgleich nicht ausreichend informiert wurden. Betroffen waren insgesamt rund 500.000 Personen. Der HmbBfDI hat daraufhin im September 2021 gegen Vattenfall ein Bußgeld von über 900.000 Euro verhängt.

Fall 3: In 2021 sind zudem verschiedene Fälle von Datenpannen, von Leaks und Datenschutzverstößen großer internationaler Digitalkonzerne bekannt geworden. Die Folgen stellten sich zum Teil als gravierend dar und reichten von Phishing-Betrugsversuchen über Mobbing bis hin zu einem Fall von Selbsttötung. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz, Professor Dieter Kugelmann, erklärte: „Die aktuellen Fälle zeigen zum Teil auf dramatische Weise, welchen Stellenwert Datenschutz und Datensicherheit in digitalen Zeiten haben müssen. Wenn nicht auf allen Seiten mehr für den Datenschutz getan wird, könnten immer mehr Bürgerinnen und Bürger Opfer von Betrugsversuchen, Cyber-Attacken und Mobbing werden.“

Sicherheitslücken und Datenschutzverletzungen

Datenschutzverletzungen sollten aber nicht nur ernst genommen werden, wenn es zu Bußgeldverfahren gekommen ist. In 2021 gab es auch Fälle von möglichen Datenpannen, die mit prominenten Sicherheitslücken in Verbindung standen und (bislang) zu keinen Sanktionen geführt haben.

Ein Beispiel waren die Sicherheitslücken in der weit verbreiteten Mail-Infrastruktur „Microsoft Exchange Server“. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) bat zum einen darum, die umgehende Installation der verfügbaren Sicherheits-Patches vorzunehmen. Dieser dringliche Hinweis beruhte auf der Verpflichtung zur Gewährleistung der Sicherheit der Verarbeitungstätigkeiten gemäß Artikel 32 DSGVO von den Verantwortlichen gefährdeter Systeme.

Weiterhin sagte Dr. Lutz Hasse, Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit, etwas zu möglichen Datenpannen: „Bitte prüfen Sie auch, ob bereits Schadcodes installiert wurden. Festgestellte Datenschutzverletzungen sind dem TLfDI gemäß Artikel 33 der DSGVO zu melden. Des Weiteren ist zu kontrollieren, ob die betroffenen Personen zu benachrichtigen sind“.

Beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz waren wegen Sicherheitslücken auf Microsoft Exchange-Servern innerhalb kurzer Zeit ein Dutzend Nachfragen sowie Meldungen von Verletzungen des Schutzes personenbezogener Daten (Datenpannen-Meldungen) nach Artikel 33 Datenschutz-Grundverordnung (DSGVO) eingegangen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg erklärte zum gleichen Sachverhalt: „Wird bei der Überprüfung der Systeme die Ausnutzung der Schwachstelle festgestellt, so ist grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen. Nur in atypischen Konstellationen wird kein Risiko für die Rechte und Freiheiten von betroffenen Personen bestehen. Ein Verzicht auf die Meldung sollte begründet und dokumentiert werden.“

Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI) hatte ebenfalls eine signifikante Anzahl entsprechender Meldungen zu Verletzungen des Schutzes personenbezogener Daten erhalten. Sie wies alle Betreiberinnen und Betreiber von Microsoft Exchange Server-Infrastrukturen darauf hin, dass – soweit noch nicht geschehen – umgehend Maßnahmen zum Schließen der Sicherheitslücken und zur Prüfung auf Kompromittierung der Systeme erfolgen müssen.

Zudem wies sie auf die Pflicht der Verantwortlichen (Betreiber) hin, nach Artikel 33 der Datenschutz­grundverordnung (DSGVO) Verletzungen des Schutzes personenbezogener Daten zu melden. Dies gilt bereits dann, wenn eine Kompromittierung erfolgt ist – auch dann, wenn kein Abfluss personenbezogener Daten erfolgt ist oder noch nicht festgestellt werden konnte.

Aktuelles Beispiel: Schwachstelle in Log4j

Ein weiteres Beispiel aus 2021: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) informierte über den akuten Handlungsbedarf bezüglich der Schwachstelle in der Java-Bibliothek Log4j (Log4j). Beim Vorliegen der Schwachstelle in Log4j ist die Sicherheit der Verarbeitung gemäß Art. 32 DSGVO für die betroffenen Systeme und ggf. darüber hinaus nicht mehr in vollem Umfang gewährleistet. Es liegt in der Verantwortung der Verantwortlichen die Sicherheit der Verarbeitung wiederherzustellen, so die Aufsichtsbehörde.

Das Schließen der Schwachstelle sei hierbei nicht ausreichend. Die Verantwortlichen müssten zusätzlich überprüfen, ob es bereits zu erfolgreichen Angriffen gekommen ist. In diesem Fall sind weiterführende Maßnahmen zu ergreifen und zu prüfen, ob eine Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO beim HBDI erfolgen muss.

Das Bayerische Landesamt für Datenschutzaufsicht sagte dazu: Bayerische Verantwortliche müssen aufgrund der erhöhten Gefährdungslage zur Einhaltung datenschutzrechtlicher Verpflichtungen unverzüglich prüfen, ob deren IT- Systeme und Anwendungen von der Java-Sicherheitslücke Log4Shell betroffen sind. Ist bereits eine Sicherheitsverletzung eingetreten, z. B. weil die Sicherheitslücke aktiv ausgenutzt wurde und sind IT-Systeme mit personenbezogene Daten betroffen, besteht nach Art. 33 DSGVO für Verantwortliche regelmäßig eine Meldeverpflichtung bei der zuständigen Datenschutzaufsichtsbehörde.

Es zeigt sich: Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden. Auch bekannt gewordene Sicherheitslücken können zu Datenpannen und Meldepflichten führen, auch wenn es dazu noch keine Bußgeld-Verfahren geben sollte. Unterlässt man die Meldung nach DSGVO, kann dies selbst ein Verstoß nach DSGVO darstellen und zu Sanktionen führen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47949326)