:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/22/5b22bde70a798882fd87b424b08db454/0114239498.jpeg "(Bild: Alexander – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3c/313c4d5d5853b79cb0b6e35922a67b12/0114113318.jpeg ""Umfassender Cyberschutz auf allen Ebenen", ein Interview von Oliver Schonschek, Insider Research, mit Waldemar Bergstreiser von Kaspersky. (Bild: Vogel IT-Medien / Kaspersky / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")
:quality(80)/p7i.vogel.de/wcms/e9/99/e99974b8c8a989906f6ae3a16662902a/0114174522.jpeg "Der neue BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein BCMS (Business Continuity Management System) im eigenen Unternehmen aufzubauen und zu etablieren. (Bild: PX Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sanktionen nach DSGVO Was eine Datenschutzverletzung wirklich kostet
British Airways, Google und Marriott wurden hohe Geldbußen nach DSGVO angekündigt. Doch eine Datenpanne hat nicht nur ein Bußgeld als mögliche Folge. Die verantwortliche Stelle kann auch in die Haftung kommen, auch für Vergehen der Mitarbeiterinnen und Mitarbeiter. Datenschutzbeauftragte sollten alle möglichen Folgen von Datenpannen als Argumente für mehr Datenschutz nutzen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Die meisten Unternehmen fürchten die Datenschutz-Grundverordnung (DSGVO) wegen der Kosten, einerseits für erhöhte Aufwände im Datenschutz, andererseits für mögliche Bußgeldzahlungen. Während die Aufwände durch die Implementierung tatsächlich entstanden sind und weiterhin entstehen, schienen die Sorgen wegen der deutlich höheren Bußgelder bei Datenschutzverletzung überzogen zu sein.
Die Meldung des LfDI Baden-Württemberg über sein erstes Bußgeld in Deutschland nach der DSGVO im November 2018 wurde von so manchem als Beweis betrachtet, dass es doch nicht so schlimm mit den Bußgeldern werden wird. So wurde wegen eines Verstoßes gegen die nach Art. 32 DSGVO vorgeschriebene Datensicherheit durch die Bußgeldstelle des LfDI Baden-Württemberg gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000 Euro verhängt.
:quality(80)/images.vogel.de/vogelonline/bdb/1573700/1573729/original.jpg "In der Anfangsphase der DSGVO war eine deutliche Schonzeit zu erkennen. Diese ist nun merklich vorbei, die Datenschutzbehörden verhängen höhere Sanktionen. (gemeinfrei)")
Ein Jahr Datenschutz-Grundverordnung
Die 5 größten DSGVO-Fehltritte und höchsten Strafen
Selbst das alte Bundesdatenschutzgesetz (BDSG-alt) nannte einen deutlich höheren Rahmen für Bußgelder, von der DSGVO ganz zu schweigen. Doch für den eher geringen Betrag des Bußgeldes gab es einen Grund: Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DSGVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens, so die Aufsichtsbehörde. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit umzusetzen.
Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DSGVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.
„Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer“, erklärte der LfDI Baden-Württemberg. „Strafen werden auch künftig nur bei gravierenden Verstößen und dann ausgesprochen, wenn klare Rechtsverletzungen nicht beseitigt werden.“
Tatsächlich wurden und werden deutlich höhere Bußgelder in anderen Fällen angekündigt: 50 Millionen Euro im Fall Google (CNIL in Frankreich), mehr als 99 Millionen Pfund im Fall Marriott International (ICO in UK) und mehr als 183 Millionen Pfund im Fall British Airways (ebenfalls ICO in UK).
:quality(80)/images.vogel.de/vogelonline/bdb/1568900/1568929/original.jpg "Die DSGVO ermöglicht hohe Bußgelder bei Datenschutzverstößen. Während deutsche Behörden sich noch zurückhalten zeigen andere europäische Aufsichtsbehörden wo der Trend hingeht. (peterschreiber.media - stock.adobe.com)")
Strafen für Datenschutzverstöße
Bußgelder und die DSGVO
Bußgelder und andere Sanktionen
Bei der unterschiedlichen Höhe der genannten Bußgelder mag man sich fragen, wie denn die einzelnen Aufsichtsbehörden gerechnet haben. Für eine oder einen DSB (Datenschutzbeauftragten) im Unternehmen ist es wichtig zu wissen, ob das eigene Unternehmen auch vergleichbar sanktioniert werden könnte, um die verantwortliche Stelle (also die Unternehmensleitung) richtig zu beraten und natürlich auch, um die richtigen Argumente für mehr Datenschutz im Unternehmen zu haben.
Die DSGVO sagt zur Höhe einer Geldbuße, dass sie in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein soll. Bei der Bemessung der Höhe soll die Aufsichtsbehörde zahlreiche Faktoren berücksichtigen, darunter
- die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens
- die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
- jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
- Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen
- etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
- Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind
- Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat
- Einhaltung der früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden
- Einhaltung von genehmigten Verhaltensregeln oder genehmigten Zertifizierungsverfahren nach DSGVO
- jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
Offensichtlich gibt es keine einfache Formel für die Höhe des Bußgeldes, doch der Europäische Datenschutzausschuss (EDPB) hat unter anderem die Aufgabe der Ausarbeitung von Leitlinien für die Aufsichtsbehörden in Bezug auf die Festsetzung von Geldbußen. Der Vorläufer des EDPB, die ehemalige Artikel 29 Datenschutzgruppe, hatte hierzu bereits einmal ein Papier (WP253) erstellt.
Auch an mögliche Freiheitsstrafen denken
Wie unter anderem die Ponemon-Studie „Cost of a Data Breach“ regelmäßig zeigt, sind mit Datenpannen aber noch andere finanziellen Folgen verbunden als mögliche Bußgelder. Aber auch ein Blick in die DSGVO zeigt, dass es andere Sanktionen geben kann. Für Deutschland wurde dies im neuen BDSG ausgestaltet. In § 42 BDSG findet man:
- Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein, einem Dritten übermittelt oder auf andere Art und Weise zugänglich macht und hierbei gewerbsmäßig handelt.
- Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.
Neben Freiheitsstrafe können also auch derartige Strafzahlungen drohen. Sicherlich Punkte, die der verantwortlichen Stelle bewusst sein sollte.
:quality(80)/images.vogel.de/vogelonline/bdb/1598000/1598048/original.jpg "Häufig werden Röntgenbilder oder Patientenberichte an die falschen Empfänger geschickt (merydolla - stock.adobe.com)")
Unternehmen, Behörden und Gesundheitswesen
Die häufigsten Datenschutzverletzungen
Haftung nicht vergessen
Ein weiterer Punkt wird gerne bei der häufigen Diskussion über niedrige oder hohe Bußgelder vergessen:
- Jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
- Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde.
Die Aufsichtsbehörden für den Datenschutz haben zudem explizit klargestellt: Unternehmen haften im Rahmen von Art. 83 Datenschutz-Grundverordnung (DSGVO) für schuldhafte Datenschutzverstöße ihrer Beschäftigten, sofern es sich nicht um einen Exzess (Handlungen von Beschäftigten, die mit der jeweiligen unternehmerischen Tätigkeit nichts zu tun haben) handelt. Dabei ist nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist. Eine Kenntnis der Geschäftsführung eines Unternehmens von dem konkreten Verstoß oder eine Verletzung der Aufsichtspflicht ist für die Zuordnung der Verantwortlichkeit ebenfalls nicht erforderlich.
Datenschutzverletzungen können somit zu einer Haftung des Unternehmens führen, auch wenn die Leitung selbst nicht für die Handlung verantwortlich war, die zur Datenpanne führte, und auch dann, wenn die Leitung nichts von der Datenpanne wusste. Alleine dieser Umstand sollte Unternehmen dazu bewegen, ein möglichst lückenloses Datenschutz- und Datensicherheitskonzept umzusetzen.
(ID:46111685)
:quality(80)/p7i.vogel.de/wcms/ad/7b/ad7b5861d2c5330840721a4d6a917d38/0112820620.jpeg "Der beste Weg, um hohe Bußgelder nach DSGVO zu minimieren oder gar zu vermeiden, sind wirksame Datenschutzmaßnahmen. (Bild: vladischern - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/de/7dde4303ee2028c8baac0e3119cb724f/0109199656.jpeg "Aus Fehlern lernt man. Deshalb lohnt es sich für Unternehmen und Behörden, jetzt zum Jahresbeginn 2023 auf die größten Datenpannen aus 2022 zu blicken. (Bild: Skórzewiak - stock.adobe.com)")