:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Wichtige Hinweise der Aufsichtsbehörden Was bei Betroffenenrechten nach DSGVO zu beachten ist
Die Missachtung der Betroffenenrechte hat bei einem Lieferdienst in Berlin zu einem empfindlichen Bußgeld nach DSGVO geführt. Betroffenenrechte müssen noch ernster genommen werden, doch auch diese Rechte haben ihre Grenzen. Aufsichtsbehörden haben Hinweise gegeben, wann zum Beispiel ein Antrag auf Auskunft als offenkundig unbegründet oder exzessiv eingestuft werden kann.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat Bußgelder in Höhe von fast 200.000 Euro gegen einen Lieferdienst erlassen. Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.
Nach den Feststellungen der Berliner Datenschutzbeauftragten hatte der Lieferdienst in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren. Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert. In weiteren fünf Fällen erteilte das Unternehmen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war.
:quality(80)/images.vogel.de/vogelonline/bdb/1639000/1639007/original.jpg "Wegen eines eklatanten Verstoßes gegen den Datenschutz muss die Deutsche Wohnen jetzt womöglich tief in die Tasche greifen. (© Sergey Yarochkin - stock.adobe.com)")
Für die Deutsche Wohnen könnte es teuer werden
Datenschützer verhängen Millionen-Bußgeld
Wie die Berliner Datenschutzbeauftragte erklärte, bilden die Betroffenenrechte der Datenschutz-Grundverordnung (DSGVO) ein wichtiges Instrumentarium für jeden einzelnen Menschen bei der Durchsetzung des Grundrechts auf informationelle Selbstbestimmung. Dem europäischen Gesetzgeber war es bei der Verabschiedung der Datenschutz-Grundverordnung ein wichtiges Anliegen, die Betroffenenrechte der Bürgerinnen und Bürger zu stärken. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss daher technisch-organisatorisch in der Lage sein, entsprechende Anträge der Betroffenen unverzüglich zu erfüllen.
Unternehmen erhalten zahlreiche Anträge
Laut der Capgemini-Studie „Championing Data Protection and Privacy - a Source of Competitive Advantage in the Digital Century“ erhielten 36 Prozent der befragten deutschen Unternehmen mehr als 1.000 Anfragen von betroffenen Personen, deren Daten gesammelt, gespeichert oder verarbeitet werden. Die befragten Führungskräfte nannten als Hindernisse für eine vollständige Erfüllung der DSGVO vor allem die Anpassung bestehender IT-Systeme (38 Prozent), die Komplexität der Regulierungsanforderungen (36 Prozent) und prohibitiv hohe Kosten, um den Regulierungen zu entsprechen (33 Prozent). Zudem planen 40 Prozent der Befragten 2020 mehr als eine Million US-Dollar für Anwaltskosten auszugeben.
Keine Frage, die Bearbeitung von Anfragen zur Ausübung der Betroffenenrechte bedeutet einen erhöhten Aufwand, der sich allerdings dadurch reduzieren lässt, wenn man interne Prozesse einführt, wie auf Anfragen zur Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Auskunft über die zur jeweiligen Person verarbeiteten personenbezogenen Daten reagiert werden muss.
Wichtig ist es dabei auch zu wissen, wann ein solcher Antrag begründet abgelehnt werden kann und wer überhaupt einen solchen Antrag stellen darf. Hierzu haben die Aufsichtsbehörden wichtige Hinweise gegeben.
:quality(80)/images.vogel.de/vogelonline/bdb/1612000/1612025/original.jpg "Fünf wirkungsvolle Tipps zur Vermeidung von DSGVO-Verstößen, die sich mit überschaubarem Aufwand für jedes Unternehmen umsetzen lassen. (gemeinfrei)")
Vermeidung von DSGVO-Verstößen
Fünf Tipps gegen DSGVO-Bußgelder
Nicht jeder Antrag ist wirklich begründet
Ein Unternehmen (die verantwortliche Stelle) darf zum Beispiel ein Auskunftsverlangen ablehnen, wenn der Antrag „offensichtlich unbegründet oder exzessiv“ ist, wie die Datenschutz-Grundverordnung (DSGVO) dies nennt.
In diesen Fällen muss die verantwortliche Stelle die Gründe für die Ablehnung mitteilen. Zudem sollte mitgeteilt werden, dass der Antragsteller das Recht hat, sich bei der zuständigen Aufsichtsbehörde zu beschweren oder einen gerichtlichen Rechtsbehelf einzulegen.
Dennoch muss nicht jeder Anfrage bezüglich der Betroffenenrechte automatisch entsprochen werden. Was aber bedeutet es, dass ein Antrag zum Beispiel „offenkundig unbegründet“ ist? Wann kann ein Unternehmen einen Antrag auf Auskunft, Löschung oder Berichtigung mit dieser Begründung ablehnen?
Als „offenkundig unbegründet“ ist ein Antrag anzusehen, wenn für jedermann erkennbar die Voraussetzungen des jeweiligen Betroffenenrechtes nicht erfüllt sind, erklärt eine Aufsichtsbehörde. Als Beispiele werden genannt:
- Der Antragsteller ist falsch, die Anfrage gilt also nicht der eigenen Person.
- Dem Antragsteller wurde bereits mitgeteilt, dass keine Daten von ihm verarbeitet werden, dann ist zum Beispiel ein Antrag auf Löschung offenkundig unbegründet.
- Es werden keine Angaben gemacht, was denn an den Daten der Person korrigiert werden soll.
Wie bereits erwähnt, muss die Ablehnung des Antrags allerdings begründet werden.
Nicht jeder Antrag ist rechtmäßig
Auch Betroffenenrechte können missbraucht werden. Ein Antrag kann als „exzessiv“ eingestuft und abgelehnt werden, wenn bei dem Antrag nicht ansatzweise erkennbar ist, was die vom Verantwortlichen geforderte Leistung zur Verwirklichung des Datenschutzgrundrechts beitragen soll, so die Aufsichtsbehörde. Als Beispiel wird genannt:
Häufig wiederholte Auskunftsanträge können als exzessiv erscheinen, wenn der beim Verantwortlichen vorhandene Datenbestand ersichtlich nicht Gegenstand einer anderen Verarbeitung als einer Speicherung ist und die betroffene Person dies – etwa durch eine zurückliegende Auskunft – auch weiß. Gleiches gilt, wenn im Zusammenhang mit einem wiederholten Auskunftsantrag erkennbar wird, dass es der betroffenen Person lediglich darum geht, Ressourcen des Verantwortlichen zu verbrauchen.
:quality(80)/images.vogel.de/vogelonline/bdb/1610000/1610060/original.jpg "Die meisten Unternehmen fürchten die Datenschutz-Grundverordnung (DSGVO) vor allem wegen möglicher Bußgeldzahlungen. (alfexe - stock.adobe.com)")
Sanktionen nach DSGVO
Was eine Datenschutzverletzung wirklich kostet
Nicht jeder darf den Antrag stellen
Ein Unternehmen muss zudem darauf achten, dass zum Beispiel die Erteilung einer Auskunft nicht dazu führt, dass die personenbezogenen Daten einer Person an einen Dritten gelangen, die Daten also in die falschen Hände geraten.
Die Datenschutz-Grundverordnung legt fest, dass der Verantwortliche zusätzliche Informationen anfordern kann, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Das klingt nach zusätzlichem Aufwand, allerdings bringt es wenig, alles zu tun, um die Betroffenenrechte zu erfüllen, dabei aber die Daten eines Betroffenen an eine falsche Person zu senden.
Wichtig ist es hierbei, das richtige Verfahren zu wählen, um die anfragende Person zu identifizieren. Verantwortliche müssen selbst entscheiden, welche Identifizierungsmethode sie für Auskunftsersuchen von betroffenen Personen wählen, unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen, wie der Landesbeauftragte für den Datenschutz Baden-Württemberg erklärte.
Auch hierzu ein Beispiel: Will man die Identität der anfragenden Person überprüfen, indem man zusätzliche, persönliche Angaben abfragt, sollte man bedenken: Jeder, der die betroffene Person (um deren Daten es geht) näher kennt, etwa Familienmitglieder, Freunde, Arbeitskollegen, wird in der Lage sein, die (meisten) Identifizierungsfragen zu beantworten. Der Landesdatenschutzbeauftragte sagt deshalb: Sollen sensible personenbezogene Daten (insbesondere besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO bzw. Finanzdaten) mitgeteilt werden, sollten Verantwortliche nicht auf diese Identifizierungsmethode zurückgreifen.
Es zeigt sich: Die Betroffenenrechte müssen ernster genommen werden, wie Bußgelder in diesem Bereich zeigen. Doch die Umsetzung erfordert die Etablierung eines guten, internen Prozesses, der auch die Möglichkeit der Ablehnung eines Antrags sowie die Prüfung der Identität des Antragstellers vorsieht. Die DSGVO verlangt keinen „blinden Gehorsam“, sondern eine gut überlegte Umsetzung.
(ID:46245998)
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/74/3a744b6113e3ba55a2c656ea61877ff2/0108887677.jpeg "Unternehmen müssen organisatorische Maßnahmen treffen, damit Personen eine Datenschutzauskunft zeitnah und in verständlicher Form erhalten. Da ist es sinnvoll, bereits vorhandene Maßnahmen der IT-Sicherheit zu berücksichtigen. (Bild: vegefox.com - stock.adobe.com)")