:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Beispiele für Datenschutz-Vorfälle Lernen aus Datenpannen
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
Aus Fehlern lernen, das sollte man auch im Datenschutz noch mehr beherzigen. Es sind nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern führen, die Probleme im Datenschutz offenlegen. Es lohnt sich, weitere Fälle anzusehen, von denen die Aufsichtsbehörden berichten. Wir nennen konkrete Beispiele, aus denen man seine Lehren für den eigenen Datenschutz ziehen kann.
Die Aufsichtsbehörden für den Datenschutz berichten regelmäßige über Vorfälle, in denen die Datenschutz-Grundverordnung (DSGVO) nicht eingehalten wurde. Darunter sind mitunter wirklich erstaunliche Beispiele für Datenschutzverletzungen, kuriose Vorkommnisse, aber auch Datenschutz-Pannen, bei denen so manches Unternehmen denken wird, das könnte bei mir auch passieren.
:quality(80)/p7i.vogel.de/wcms/7d/de/7dde4303ee2028c8baac0e3119cb724f/0109199656.jpeg "Aus Fehlern lernt man. Deshalb lohnt es sich für Unternehmen und Behörden, jetzt zum Jahresbeginn 2023 auf die größten Datenpannen aus 2022 zu blicken. (Bild: Skórzewiak - stock.adobe.com)")
DSGVO im Blick behalten
Die größten Datenpannen im Jahr 2022
Genau solche Vorfälle sollte man sich weitaus mehr ansehen. Gelegenheit dazu gab zum Beispiel das Pressegespräch „Best of Datenschutz – Spannende Datenschutzfälle aus 2022 und 2023“ des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz.
Unter den dort vorgestellten Datenschutzfällen sei dieses Beispiel genannt: In der Nacht vom 7. auf den 8. Juni 2023 wurde die Hochschule Kaiserslautern Ziel eines Hacker-Angriffs. Die Angreifenden erbeuteten große Mengen personenbezogener Daten, die teils in sensible Kategorien fallen wie Krankenkassendaten und Daten über Schwerbehinderungen. Bald nach dem Angriff wurden die gestohlenen Daten im Darknet zum Kauf angeboten, so berichtete die Aufsichtsbehörde. 60 Prozent der Daten wurden tatsächlich veräußert, der Rest frei im Darknet veröffentlicht.
Das Präsidium der Hochschule Kaiserslautern hat den Hacking-Angriff innerhalb der gesetzlich vorgesehenen Frist von 72 Stunden gemeldet. Das Prüfverfahren läuft. Der Aufsichtsbehörde geht es nun unter anderem um die Frage, ob die Hochschule im Vorfeld des Angriffs die gesetzlichen Löschfristen beachtet hat oder ob sich unter dem Diebesgut auch solche Daten finden, die eigentlich schon hätten gelöscht sein müssen.
Ganz gleich, was die Prüfung ergibt: Unternehmen sollten sich genau das fragen. Werden die Daten fristgerecht gelöscht? Zum einen ist dies eine Vorgabe der DSGVO, zum anderen führt Datenminimierung und fristgerechtes Löschen auch zu einem kleineren Datenbestand und somit einer kleineren, möglichen Datenbeute. Löschen lohnt sich also mehrfach, auch mit Blick auf das Risiko durch Cyberattacken.
Entscheidungen von Maschinen transparent machen
Ein weiterer Datenschutz-Fall, der in Zukunft viele Unternehmen betreffen könnte: Werden Computer zu Entscheidern, muss dies nachvollziehbar sein, auch und gerade in Zeiten einer zunehmenden Nutzung von Künstlicher Intelligenz (KI).
Der Beispiel-Fall: Eine Bank hatte sich geweigert, einem Kunden nachvollziehbare Auskünfte über die Gründe der automatisierten Ablehnung eines Kreditkartenantrags zu erteilen. Dabei ist eine automatisierte Entscheidung eine Entscheidung, die ein IT-System ausschließlich auf Grundlage von Algorithmen und ohne menschliches Eingreifen trifft. Für diesen Fall sieht die Datenschutz-Grundverordnung (DSGVO) spezielle Transparenzpflichten vor. So müssen personenbezogenen Daten in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden. Betroffene Personen haben einen Anspruch auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung. Beantragen betroffene Personen bei den Verantwortlichen eine Auskunft, müssen diese aussagekräftige Informationen über die involvierte Logik hinter der automatisierten Entscheidung erteilen, wie die Berliner Beauftragte für den Datenschutz deutlich machte. Die Bank machte dem Kunden auch auf Nachfrage lediglich pauschale und vom Einzelfall gelöste Angaben zum Scoring-Verfahren. Sie weigerte sich jedoch, ihm mitzuteilen, warum sie in seinem Fall von einer schlechten Bonität ausging.
Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit, erklärte dazu: „Wenn Unternehmen automatisiert Entscheidungen treffen, sind sie verpflichtet, diese stichhaltig und nachvollziehbar zu begründen. Die Betroffenen müssen in der Lage sein, die automatisierte Entscheidung nachzuvollziehen.“
Sensible Informationen über Beschäftigte in der Probezeit
Ein weiterer Fall aus Berlin: Um mögliche Kündigungen zum Ende der Probezeit vorzubereiten, führte eine Vorgesetzte auf Weisung der Geschäftsführung des Unternehmens von März bis Juli 2021 eine tabellarische Übersicht aller Beschäftigten in der Probezeit. Die Berliner Datenschutzbeauftragte erfuhr durch Medienberichte und eine persönliche Beschwerde eines Betroffenen von dem Vorfall und leitete eine Prüfung ein.
Dabei zeigte sich: In der Übersicht listete die Vorgesetzte alle Mitarbeitenden in der Probezeit auf und bewertete die weitere Beschäftigung von elf Personen als „kritisch“ oder „sehr kritisch“. Diese Einstufung wurde in einer Tabellenspalte mit der Überschrift „Begründung“ näher erläutert. Hier fanden sich Angaben zu persönlichen Äußerungen sowie gesundheitlichen und außerbetrieblichen Gründen, die einer flexiblen Schichteinteilung entgegenstehen würden. Auch ein mögliches Interesse an der Gründung eines Betriebsrates und die regelmäßige Teilnahme an einer Psychotherapie wurden hier genannt.
:quality(80)/p7i.vogel.de/wcms/ad/7b/ad7b5861d2c5330840721a4d6a917d38/0112820620.jpeg "Der beste Weg, um hohe Bußgelder nach DSGVO zu minimieren oder gar zu vermeiden, sind wirksame Datenschutzmaßnahmen. (Bild: vladischern - stock.adobe.com)")
Sanktionen nach Datenschutzverletzung
So werden Bußgelder nach DSGVO berechnet
Die Berliner Datenschutzbeauftragte kam bei ihrer Prüfung zu dem Ergebnis, dass die Verarbeitung der erhobenen Daten in den beanstandeten Fällen nicht rechtmäßig war. Zudem fehlte die Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste und die fehlende Erwähnung der Liste im Verarbeitungsverzeichnis.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit gab den Hinweis: „Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“
Nutzung von IT-Systemen Dritter
Die Datenschutzaufsichtsbehörde von Brandenburg hat auf ein weiteres Datenschutz-Problem hingewiesen: Bei einer anlasslosen Prüfung von Autohäusern standen insbesondere der Umgang mit Unterlagen wie Fahrzeugbriefen, Rechnungen und Personalausweiskopien sowie die Nachweisführung zur Erfüllung der datenschutzrechtlichen Anforderungen im Fokus. Im Ergebnis fand die Aufsicht einen durchgehend laxen Umgang mit personenbezogenen Daten.
Datenschutzerklärungen waren mangelhaft, Dokumentationspflichten wurden nicht erfüllt, Daten führten die Autohäuser oftmals doppelt und speicherten sie viel zu lange, so die Aufsichtsbehörde. Als Hauptursache der zu langen Speicherung von personenbezogenen Daten erwies sich die Nutzung herstellereigener IT-Systeme. Keines davon ermöglichte eine Löschung der personenbezogenen Daten, wenn erst einmal finanzielle Transaktionen vorlagen. Unklar war zudem, ob die Systeme eine Datenübermittlung in Nicht-EU-Länder vorsahen.
Dazu die Landesbeauftragte Dagmar Hartge: „Einerseits werden Unternehmen zur Nutzung herstellereigener IT-Systeme gedrängt, andererseits birgt dies in vielen Fällen die Gefahr möglicher Datenschutzverstöße. Technische und organisatorische Mängel können letztlich auch die Unternehmen selbst bedrohen. Diese bleiben datenschutzrechtlich aber jederzeit verantwortlich. An die Herstellerbetriebe appelliere ich, ihre Verantwortung wahrzunehmen und die Anforderungen des Datenschutzes bei der Konzeption ihrer Systeme von vornherein zu berücksichtigen.“
Es zeigt sich: Die Aufsichtsbehörden finden häufig Situationen vor, in denen grundlegende Datenschutzvorgaben nicht umgesetzt wurden, zum Beispiel fristgerechtes Löschen, die Zweckbindung von Daten, mangelnde Transparenz in der Datenverarbeitung. Die Beispiele sind zwar alle unterschiedlich, und es könnte schwierig erscheinen, alle diese Fälle wirklich sicher zu vermeiden.
Doch es gibt einen entscheidenden Rat: So kompliziert die DSGVO auch erscheinen mag, die sogenannten Grundsätze für die Verarbeitung personenbezogener Daten, zu finden in Artikel 5 DSGVO, sind mehr als hilfreich und entscheidend. Wer diese als Grundprinzipien beachtet, hat schon sehr viel erreicht, denn alle genannten Fälle hätten so vermieden werden können.
(ID:49708194)
:quality(80)/p7i.vogel.de/wcms/ad/7b/ad7b5861d2c5330840721a4d6a917d38/0112820620.jpeg "Der beste Weg, um hohe Bußgelder nach DSGVO zu minimieren oder gar zu vermeiden, sind wirksame Datenschutzmaßnahmen. (Bild: vladischern - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/e1/09e137276ddb42814b7f681b0a325ce4/0109649440.jpeg "Datenschutz bei Websites lässt sich nicht nur auf die Cookie-Problematik reduzieren. Das Thema ist so vielschichtig wie auch die Gestaltung und der Betrieb von Webseiten. (Bild: Rutmer - stock.adobe.com)")