IckeT - Fotolia
DSGVO: Aus diesen Datenpannen sollte man seine Lehren ziehen
Die Aufsichtsbehörden haben über viele Datenpannen berichtet, die zu Sanktionen geführt haben. Als Unternehmen sollte man dies nutzen, um solche Mängel bei sich auszuschließen.
Wer glaubt, dass mehr als sechs Jahre der Anwendung der Datenschutz-Grundverordnung (DSGVO) dafür sprechen, dass langsam aber sicher die Zahl der Fehler in der Umsetzung und damit die Datenschutzverletzungen abnehmen, der irrt leider.
So meldet zum Beispiel das Unabhängige Datenschutzzentrum Saarland für das Berichtsjahr 2023: „Während die Anzahl an Beschwerden betroffener Personen und Beratungsanfragen in etwa auf dem Niveau des vorherigen Berichtsjahres geblieben ist, erreichten die Meldungen von Datenschutzverletzungen mit 727 Verfahrenseingängen (2022: 429) einen neuen Höchstwert.“
Offensichtlich bereitet die DSGVO weiterhin Probleme. Dabei gibt es inzwischen eine Vielzahl von Veröffentlichungen der Aufsichtsbehörden, von Gerichtsurteilen zu Datenschutzfragen und nicht zuletzt auch Berichte über Datenschutzmängel, aus denen man lernen kann und sollte.
Die folgenden Beispiele für Datenpannen, die die Aufsichtsbehörden in Deutschland in der letzten Zeit sanktioniert haben, sollen dabei helfen zu verstehen, wo die Problemstellen im Datenschutz gehäuft oder auch besonders schwerwiegend auftreten.
Aufsichtsbehörden berichten über Datenpannen
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) zum Beispiel erklärt explizit, dass es viele Einzelfälle zu Datenschutzverstößen in Schleswig-Holstein gibt, die veranschaulichen, wie sich Fehler und die daraus resultierenden Schäden vermeiden lassen.
Das ULD nennt unter anderem diesen Fall: Verliert eine Arztpraxis durch ein fehlerhaftes Update alle digital gespeicherten Patientendaten und kann diese deswegen nicht wiederherstellen, weil die Datensicherung versagt hat, kann dies sogar zur Schließung der Praxis führen. Auch vorsätzliches Verhalten war zu ahnden, zum Beispiel, wenn Patientendaten bei TikTok oder SnapChat auftauchen.
Neben der vorsätzlichen Handlung findet man in diesem Beispiel auch den Vorfall, dass Fehler Dritter (zum Beispiel im Update) zu Datenschutzverstößen in der eigenen Organisation führen können, wenn keine Notfallmaßnahmen (wie Backups zur Wiederherstellung) getroffen wurden.
Viele Fehler betreffen Beschäftigtendaten
Während es im ersten Beispiel Patientendaten waren, die sich nicht wiederherstellen ließen, finden sich bei den Aufsichtsbehörden viele Vorfälle, in denen die Daten von Beschäftigten betroffen sind. Aus Brandenburg kommt ein deutliches Beispiel für ein Fehlverhalten im Unternehmen: So verhängte die Landesbeauftragte ihr höchstes Bußgeld in 2023 gegen ein Lebensmittelgeschäft, dessen Geschäftsführer im Pausenraum eine Tabelle mit den Krankheitstagen der namentlich genannten Beschäftigten aufgehängt hatte. Zu entnehmen war der Liste demnach, welche Mitarbeiterinnen und Mitarbeiter aufgrund eigener Krankheit oder einer Erkrankung des Kindes nicht zur Arbeit hatten erscheinen können.
Die Tabelle hing vier Wochen aus. Neben den Beschäftigten hatten auch Dritte, wie Lieferdienste, Zugang zu den Daten. Die Offenlegung der Gesundheitsdaten sollte, so der Geschäftsführer, vor dem Hintergrund der schlechten wirtschaftlichen Lage des Unternehmens verdeutlichen, dass ein hoher Krankenstand dem Unternehmen schade. Dazu die Aufsichtsbehörde: „Ein legitimer Zweck war dies nicht, der Verstoß gegen das Datenschutzrecht war vielmehr offensichtlich“.
Datenlecks werden schnell öffentlich
Ein weiteres Beispiel aus Brandenburg, das zu denken geben sollte: ein Datenleck bei einem Fahrzeughersteller. Ein Hinweisgeber hatte der Datenschutzaufsicht umfangreiche Dateien zur Verfügung gestellt, die unter anderem sensible Personaldaten beinhalteten. Der umfangreiche Datenbestand sei für nicht zuständige Beschäftigte abrufbar gewesen, er enthielt Angaben zu Mitarbeiterinnen und Mitarbeitern des Konzerns aus Deutschland, anderen Mitgliedstaaten der Europäischen Union und darüber hinaus. Das Unternehmen meldete den Fall zwischenzeitlich als Datenschutzverletzung, informierte die betroffenen Beschäftigten und offerierte seine Unterstützung, um einen möglichen Identitätsmissbrauch zu verhindern.
Es soll allerdings nicht so sein, dass Dritte oder sogar Betroffene ein Datenleck zuerst melden, sondern die Verantwortlichen aus dem Unternehmen, in dem eine Sicherheitslücke zu dem Datenleck geführt hat.
Verschlüsselung zur Abwendung oder Minimierung von Datenpannen
Zwei weitere Beispiele machen deutlich, dass eine sichere Verschlüsselung der zu schützenden Daten Schlimmeres bei einer Datenpanne verhindern kann. Zum einen geht es um den Verlust personenbezogener Daten bei Transport und Aufbewahrung: So kam der USB-Stick eines Vereins zur Betreuung von Wohngruppen für Menschen mit Behinderung abhanden. Darauf waren Datensätze zu Bewohnerinnen und Bewohnern mit der für das Sozialamt erstellten Beschreibung ihrer Entwicklung gespeichert. Solche Fälle zeigen, dass der sorgsame Umgang mit Gesundheitsdaten von grundlegender Bedeutung für den Datenschutz ist. Die Sensibilisierung der Beschäftigten, eine Verschlüsselung der Daten sowie – im Rahmen der Meldung der entstandenen Datenschutzverletzung – die Information der betroffenen Personen sind unverzichtbar, so die zuständige Aufsichtsbehörde.
Aber auch bei dem Versand von E-Mails gibt es weiterhin Probleme für den Datenschutz. Für Nachrichten, die sensible Daten enthalten, bedarf es entsprechend dem Risiko für die betroffenen Personen neben einer qualifizierten Transportverschlüsselung zusätzlich einer Ende-zu-Ende-Verschlüsselung. Im Falle eines hohen Risikos sind speziell gesicherte kryptografische Verfahren zu verwenden.
Entscheidend ist, dass diese Sicherheitsmaßnahmen auf beiden Seiten getroffen werden, also sowohl beim Versand als auch beim Empfang der E-Mails. Dies wird allerdings oft zu wenig beachtet. „Unsere Erfahrung sowie Beschwerden auf diesem Gebiet nutzen wir, um die Umsetzung angemessener Maßnahmen zum Schutz der E-Mail-Kommunikation gerade im Falle sensibler Daten einzufordern“, wie die Datenschutzaufsicht von Brandenburg erklärte.
Nicht nur bei IT-Systemen drohen Datenpannen
Auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat Beispiele für Datenpannen veröffentlicht. Die Verstöße in Hamburg gegen die Datenschutzgrundverordnung (DSGVO) betrafen beispielsweise die Nichteinhaltung von Löschpflichten, technische Sicherheitslücken bei Kundenservice-Systemen oder verspätete Auskünfte eines Inkassounternehmens.
Es sind aber nicht nur die IT-Systeme, die man auf Datenschutz- und Sicherheitslücken hin untersuchen sollte, auch die organisatorischen Prozesse haben solche Problemstellen. Die Datenschutzaufsicht aus Hamburg nannte zum Beispiel ein Logistikunternehmen, das wegen der fehlerhaften Entsorgung von Zustellerlisten 32.000 Euro Bußgeld zahlte, und einen Online-Händler, der wegen der deutlich verspäteten Meldung einer Datenpanne 6.000 Euro Bußgeld zahlen musste.
Es zeigt sich also alleine schon durch diese Beispiele, wie vielfältig und unterschiedlich die Datenpannen sein können. Um diese zu vermeiden, sollte man immer auch an die Prinzipien denken, die dem Datenschutz innewohne. Werden die Grundsätze für die Verarbeitung personenbezogener Daten nach DSGVO beachtet, kann schon auf einfache Weise ermittelt werden, was der Datenschutz verlangt und was also nicht fehlen darf.