Datenschutz-Herold 01/2022

Sehr geehrte Beschäftigte,

wie die LeserInnen unseres Ritterbriefs bereits erfahren haben, wurde der Newsletter aufgrund der Erweiterung unserer Geschäftsbereiche umbenannt. Wir begrüßen Sie deshalb herzlich zum Datenschutz-Herold. Um es mit den Worten von Freddie Frinton in seiner Rolle als Butler James in diesem einen, jährlich wiederholten Neujahrssketch zu sagen – „The same procedure as every year“ – begleiten wir Sie und Ihr Unternehmen auch in diesem Jahr mit der datenschutzrechtlichen Unterstützung.

Im Datenschutz folgt die Umsetzung einem im Grunde immer gleichen, kreisenden Laufweg um einen Esstisch mit allen beteiligten Parteien, wie ihn auch Butler James jedes Jahr auf‘s Neue nimmt. Der kleine und nicht unwesentliche Unterschied ist, dass wir den Tigerkopf früh genug erspähen und nicht darüber stolpern werden. Auch würden wir uns nie erlauben, während des Weges „einen Schluck“ zu nehmen. Stattdessen nutzen wir unsere Route, um Sie über Themen wie die folgenden zu informieren und zu sensibilisieren:

  1. Datenschutzvorfall! Wie fühlt man sich, wenn man betroffen ist?
  2. Alle Neune: Sensibilisierung
  3. Kaspersky – Der Feind in meinem System?
  4. Telekommunikation und Telemedien. Ein neues Datenschutzgesetz
  5. Facebook Datenleck 2.0
  6. Huch!: Falsche E-Mail-Adresse!
  7. Unsere Einschätzung zum sicheren Faxversand
  8. Bußgelder

Natürlich möchten wir uns – auch durch Ihr Feedback – laufend weiterentwickeln, deshalb führen wir mit diesem Datenschutz-Herold zwei neue Serien ein. Die Serie „Alle Neune“ erklärt ein Fachthema aus dem Datenschutzbereich komprimiert und dennoch genau. Die Serie „Huch!“ behandelt häufig auftretende Fehler und Missgeschicke, informiert über Konsequenzen und gibt Tipps, um so etwas in Zukunft zu vermeiden. Über Bußgelder klären wir Sie ab jetzt komprimierter auf, liefern aber trotzdem weiterhin Details.

Wir wünschen Ihnen einen erfolgreichen Start in das neue Quartal und viel Vergnügen beim Lesen unseres Datenschutz-Herolds.

Mit freundlichen Grüßen
Jörg Stockmann, eDSB

1 Datenschutzvorfall! – Wie fühlt man sich, wenn man betroffen ist?

Wer hasst es nicht? Die eigene Welt ist in Ordnung, man trinkt morgens seinen Kaffee oder Tee und liest die E-Mails durch. Inmitten der ganzen Newsletter, die man eigentlich schon abbestellt hat, findet sich dann der Satz ‚Wir hatten einen Datenschutzvorfall‘. Und nun? Lernen wir am Beispiel.

Empfehlung: Sollte ein Datenschutzvorfall auftreten, sollte man immer sachlich und ruhig reagieren, den Datenschutzbeauftragten informieren und den Betroffenen gegenüber transparent sein.

Was ist passiert?

Am Morgen des 20. Januar 2022 wurde der Onlineshop thalia.de von Hackern angegriffen. Hierbei wurde mit einer BruteForce-Attacke auf die Anmeldeoberfläche versucht, Zugriff auf KundInnenkonten zu erlangen. Bei einigen der KundInnenkonten war dieser Angriff erfolgreich und den Hackern war der Zugriff möglich. Der Anbieter hat daraufhin eine Information an alle Betroffenen gesendet. Es wurden weder Daten verändert noch Bestellungen abgegriffen. Unmittelbar nach Bekanntwerden hat der Anbieter alle Kennwörter zurückgesetzt. In der Information an die Betroffenen wurde empfohlen, alle Kennwörter zu ändern – vor allem, wenn man die Kombination Benutzername und Passwort auch auf anderen Webseiten benutzt.

Interview mit einer betroffenen Person

Betroffen war auch das Konto einer Mitarbeitenden unseres Hauses, welche anonym bleiben soll. Folgend nennen wir sie Erika Mustermann. Wir wollten wissen, wie es eigentlich ist von einem Datenschutzvorfall betroffen zu sein.

Avallon:

Erika:

„Ist das Konto noch aktiv? Warum bzw. Warum nicht?“

„Ja, trotz des Vorfalls ist mein Konto noch aktiv. Der Service von Thalia ist weiterhin gut und ich fühlte mich durch die Information mitgenommen.“

„Am 27.01 haben Sie eine E-Mail erhalten über den Vorfall auf thalia.de erhalten. Was hat das verursacht? Wie fühlten Sie sich?“

„Im ersten Moment war ich sehr erschrocken und unsicher; das ist mir vorher noch nie passiert und ich bin das erste Mal betroffen von einem Hackerangriff. Somit wusste ich auch im ersten Moment nicht, was ich tun soll.“

„Haben Sie etwas an Ihrem Sicherheitsverhalten geändert?“

„Durch den Vorfall wird mir immer mulmig bei der Eingabe von Bankdaten, es geht ein wenig das grundlegende Vertrauen verloren – unabhängig vom Betreiber einer Seite.“

„Wie organisieren Sie Ihre Passwörter?“

„Ich nutze die Passwortkarte von Avallon und habe ein System mit einer Konstante und einem individuellen Teil im Passwort. Außerdem nutze ich einen abgesicherten Passwortmanager.“

Was lernen wir daraus?

Bei einem Vorfall sollte man immer sachlich und ruhig reagieren. Natürlich ist es wichtig dafür zu sorgen, dass sich so etwas überhaupt nicht ereignen kann. Aber wenn doch, dann ist Transparenz und Besonnenheit enorm wichtig. Betroffene müssen bei einem solchen Vorfall transparent begleitet werden. Als verantwortliche Stelle ist es wichtig, die Betroffenen zu informieren und ihnen Hilfestellung anzubieten, um den Schaden so gering wie nur möglich zu halten. Dadurch fühlen sich Betroffene sehr gut beraten und aufgehoben. Durch dieses aktive Beschwerdemanagement minimiert man die Wahrscheinlichkeit, dass sich hieraus etwas Weitreichenderes, wie zum Beispiel eine Forderung nach Schadensersatz, entwickelt.

2 Alle Neune: Sensibilisierung

Die Sensibilisierung der MitarbeiterInnen für den Datenschutz ist eine besondere Aufgabe nach der Datenschutz-Grundverordnung (DSGVO) für den Verantwortlichen und den Datenschutzbeauftragten (DSB).

Empfehlung: Wer die nähere Bedeutung der Aufgabe des DSB zur Sensibilisierung kennt, kann die damit verbundenen Chancen direkt an seinem Arbeitsplatz nutzen.

Sensibilisierung und Schulung”. Zwei verschiedene Aufgaben: Zu den gesetzlichen Aufgaben des DSB gehören u.a. die „Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeitern und der diesbezüglichen Überprüfungen“ (Artikel 39 Absatz 1 lit. b DSGVO).

Sensibilisierung ist keine Schulung: Die Differenzierung zeigt, dass es sich bei der Sensibilisierung nicht um eine allgemeine Schulung der Beschäftigten zum Datenschutz handelt, denn die Schulung wird zusätzlich aufgeführt.

Sensibilisierung gehört zu den Überwachungspflichten: Der Begriff der Sensibilisierung wird erst verständlich, wenn man berücksichtigt, dass sich die gesetzlich aufgelisteten Aufgaben auf die Überwachungspflichten des DSB im Unternehmen beziehen.

Sensibilisierung zur Kontrolle der Arbeitsbereiche: Die Überwachungspflichten des DSB sind auf die Kontrolle der Einhaltung der Grundsätze und der Pflichten aus der DSGVO gerichtet und beziehen sich auf das Unternehmen insgesamt, wie auch die jeweiligen Arbeitsbereiche oder Abteilungen des Unternehmens, in denen personenbezogene Daten verarbeitet werden

Sensibilisierung für die spezifischen Aufgaben: Die Sensibilisierung richtet sich zudem an die „an den Verarbeitungsvorgängen beteiligten Mitarbeiter“ und zielt damit nicht auf die allgemeinen gesetzlichen Pflichten (Schulung) ab, sondern betrifft die spezifischen betrieblichen Aufgaben, die von den jeweiligen MitarbeiterInnen bei der Verarbeitung von personenbezogenen Daten durchgeführt werden.

Sensibilisierung für die konkreten Verarbeitungsvorgänge: Eine Sensibilisierung der MitarbeiterInnen durch den DSB bedeutet also eine zielgerichtete Information für die jeweiligen Tätigkeitsbereiche oder Abteilungen des Unternehmens und die dortigen Verarbeitungsvorgänge für personenbezogene Daten.

Sensibilisierung zum Schutz der personenbezogenen Daten: Besonderes viele und auch sensible Daten (z.B. Gesundheitsdaten) werden etwa in einer Personalabteilung eines Unternehmens verarbeitet, mit der Folge, dass die dort beschäftigten MitarbeiterInnen für den Schutz der verarbeiteten personenbezogenen Daten der Beschäftigten des Unternehmens zu sensibilisieren sind.

Sensibilisierung direkt für den Arbeitsplatz: Aus dieser Sensibilisierungspflicht nach der DSGVO folgt also die Möglichkeit bzw. das gesetzliche Angebot an die MitarbeiterInnen des Unternehmens, sich die datenschutzrechtlichen Anforderungen und notwenige Maßnahmen für ihren Arbeitsbereich vom DSB aufzeigen zu lassen.

Sensibilisierung passgenau für die Arbeitsbereiche: Die Pflicht und das Recht zur Sensibilisierung ist daher eine zielgerichtete und auf die jeweilige tatsächliche betriebliche Verarbeitungstätigkeit passgenau abgestimmte Information der MitarbeiterInnen über die Schutzpflichten nach der DSGVO.

Quellen:

3 Kaspersky – Der Feind in meinem System?

Virenschutzsoftware ist ein wesentlicher Bestandteil der IT-Sicherheit. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt jetzt vor dem russischen Anbieter Kaspersky. Anlass ist der Ukraine-Krieg und den damit verbundenen russischen Drohungen gegen die EU, die NATO und Deutschland.

Empfehlung: Ja. Das BSI empfiehlt Unternehmen und Behörden, nach gründlicher interner Abwägung, dass die Virenschutzsoftware von Kaspersky durch alternative Produkte ersetzt werden sollte. Auch private AnwenderInnen können betroffen sein.

Warum ist das ein Problem?

Eine Virenschutzsoftware greift tief in Betriebssysteme ein, hat weitreichende Rechte im System und kommuniziert via Internet mit dem Hersteller. Das BSI stellt die Zuverlässigkeit und Integrität des russischen Anbieters in Frage. Durch bewusste oder aufgezwungene Operationen können Zielsysteme Opfer eines weitreichenden IT-Angriffs werden.

Direkte Manipulationen an der Software von Kaspersky können Angreifern ermöglichen, Aufklärungs- und Sabotageaktionen durchzuführen. Die Produkte von Kaspersky würden nicht mehr den Schutz vor Zugriffen von außen abwehren, denn sie wären dann ein Teil des Angriffs.

Was bedeutet das konkret?

Für normale PrivatanwenderInnen wird das Risiko für einen Angriff deutlich niedriger eingeschätzt als für Unternehmen. Allerdings könnte jede/r AnwenderIn im Falle eines größeren Angriffsfall trotzdem betroffen sein. Die Folgen sind schwer abschätzbar: Von einem nicht funktionierenden Virenschutz bis hin zum Verlust der eigenen Daten ist nichts ausgeschlossen.

Quellen:

4 Telekommunikation und Telemedien – Ein neues Datenschutzgesetz

Das Fernmeldegeheimnis war bisher in § 88 TKG geregelt und ist nun zukünftig in § 3 TTDSG (Telekommunikations-Telemedien-Datenschutz-Gesetz) geregelt. Auch hierzu haben die Aufsichtsbehörden in der Orientierungshilfe Telemedien Stellung bezogen. Das Fernmeldegeheimnis ist nach bisheriger Meinung der Aufsichtsbehörden auch von Unternehmen zu wahren, die ihren Mitarbeitenden die Privatnutzung von E-Mail und Internet erlauben bzw. dulden. Da Eingriffe in das Fernmeldegeheimnis als Ordnungswidrigkeit oder sogar als Straftat einzustufen sind, sollten, sofern noch nicht geschehen, Vereinbarungen mit den Mitarbeitenden getroffen werden. So dürfte im Falle der Abwesenheit oder dem Ausscheiden aus dem Unternehmen die betriebliche Kommunikation des Mitarbeitenden eingesehen werden.

Empfehlung: Sie sollten als Mitarbeitende in Ihrem Unternehmen prüfen, ob es eine Regelung in Bezug auf die Privatnutzung von Internet und E-Mail gibt. Sollten derartige Verträge existieren, müssen diese an die neuen Regelungen und ggf. auch an die neuen Nutzungsbedingungen angepasst werden.

Für wen gilt das TTDSG?

Das TTDSG enthält „besondere Vorschriften zum Schutz personenbezogener Daten bei der Nutzung von Telekommunikationsdiensten und Telemedien“, vgl. § 1 Nr. 2 TTDSG.

Beispiele für Anbieter von Telekommunikationsdienste

  • Telefon- und Internetanschluss
  • Verkehrs- und Standortdaten

Beispiele für Anbieter von Telekommunikationsdienste

  • Websites
  • Apps
  • Smart-Home-Anwendungen

Wesentliche Neuerungen durch das TTDSG

  • Bestimmungen zum Datenschutz und zum Schutz der Privatsphäre in der Telekommunikation (Teil 2 des TTDSG – §§ 3 bis 18)
  • Schutz der Privatsphäre bei Endeinrichtungen nach § 25 TTDSG. Hierzu zählt die notwendige Einwilligung und die vertraglich vereinbarten Ausnahmebestimmungen, z.B. in Bezug auf den Einsatz von mit Cookies & Co
  • Börsendaten, elektronische Presse, Fernseh-/ Radiotext, Teleshopping
  • Regelung zum digitalen Erbe
  • Werbemails
  • aber auch bereits anerkannte Dienste zur Einwilligungsverwaltung

Tipp von den Avallon-Rittern für Sie

Was bedeutet das nun für die Mitarbeitenden und worin liegt Ihr persönlicher Nutzen durch die obigen Informationen? Beachten Sie bitte, dass für all diese Dienste eine vorgelegte Einwilligung von Ihnen „freiwillig“ erteilt werden muss. Diese muss ebenfalls die Datenschutzrechte für Betroffene berücksichtigen. Bedenken Sie, dass Sie diese Einwilligung jederzeit widerrufen können.

Quellen:

5 Facebook Datenleck 2.0

Für Facebook war das Jahr 2021 kein leichtes. Unter anderem wurde ein vermeintliches Datenleck bekannt, dass 1,5 Milliarden NutzerInnen betreffen könnte.

Empfehlung: Facebook-NutzerInnen sollten aktuell genau darauf achten, nur Nachrichten von bekannten Absendern zu öffnen. Zusätzlich sollten NutzerInnen darauf achten, Ihr Konto nicht vollständig öffentlich einzustellen.

Daten von 1,5 Milliarden Facebook-NutzerInnen zum Verkauf

In einem Forum hatte ein User Datenpakete mit Namen, E-Mail, Standortdaten, Geschlecht, Telefonnummern und Benutzernamen zum Verkauf angeboten. Insgesamt behauptete der User im Besitz von Daten von 1,5 Milliarden NutzerInnen zu sein. Für $ 5000 wurden Pakete mit 1 Million Useraccounts angeboten.

Woher stammen die Daten?

Facebook wurde nicht gehackt. Alle Daten sind in den öffentlichen Bereichen der Facebook-NutzerInnen gefunden und dann gespeichert worden. In der IT-Welt nennt sich diese Methode Scraping. Computerprogramme suchen regelmäßig nach neuen Einträgen. Diese werden in großen Datenbanken gespeichert. Mit Hilfe intelligenter Methoden können dann einzelne Informationen zu Profilen zusammengefügt werden.

Quellen:

6 Huch!: Falsche E-Mail-Adresse!

Es kann so schnell passieren: Ein falscher Buchstabe und schon landet die E-Mail, die eigentlich an den Kollegen gerichtet ist, versehentlich bei einem Mitbewerber. Ein simpler, aber dennoch folgenreicher Fehler. Wie sollten Sie sich verhalten, wenn Ihnen dies passiert? Was können Sie tun, um solchen Fehlern vorzubeugen?

Empfehlung: Die E-Mail ging an die falsche Person? Bewerten Sie den Inhalt. Welche Informationen haben Sie fehlversendet? Sind interne Unternehmensdaten betroffen? Handelt es sich um personenbezogene Daten? Informieren Sie in jedem Fall Ihre/n Vorgesetzte/n und Ihre/n Datenschutzbeauftragte/n. Sie wollen solch einem Fehlversand vorbeugen? Kontrollieren Sie ihre Eingaben genau. Verfassen Sie erst Ihre E-Mail und prüfen den Inhalt, erst dann setzen Sie die gewünschten EmpfängerInnen ein. Nutzen Sie für Antworten die Antwort-Funktion Ihres E-Mail-Programms. Nutzen Sie eine Kontaktverwaltung oder lassen Sie vom Unternehmen eine solche einführen.

Was sind die Folgen?

So schnell der Fehler passiert, so schnell kann er auch negative Folgen mit sich bringen. Konsequent betrachtet, ist jede von Mitarbeitenden fehlversendete E-Mail ein Sicherheitsverstoß. Natürlich muss man hier die Inhalte der E-Mail beachten. Verschicken Sie beispielsweise einen Reiseplan an eine/n AußendienstkollegIn, ist dies sicherlich problematischer, als wenn Sie einen Newsletter weiterleiten wollten. Jedoch ungeachtet dessen, welche personenbezogenen Daten enthalten wird, produziert Ihr Fehlversand einen Datenschutzvorfall.

Häufige Ursachen und Empfehlungen

Oft ist zeitlicher Stress und Druck die Ursache für ein solches Problem. Der oder die EmpfängerIn benötigt die Informationen in der E-Mail dringend, der Feierabend naht und der Bus fährt pünktlich. Auch in einer hektischen Situation ist es wichtig, einen kühlen Kopf zu bewahren. Versenden Sie E-Mail niemals im Stress, denn in solchen Situationen wird man unaufmerksam und macht gerne mal unbemerkt Fehler. Das kann im E-Mail-Text sein, aber auch in der Adresse.

7 Unsere Einschätzung zum sicheren Faxversand

Eine Versendung von Faxgerät zu Faxgerät gilt generell als sicher. Jedoch werden zunehmend Faxgeräte von Computern ersetzt und dann fast immer über IP-Telefonie oder Protokolle übertragen. Diese wandeln die empfangenen Daten in PDFs um, die dem/r EmpfängerIn dann über Emailsysteme zugestellt werden. Genau bei diesen Systemen können Sie beim Versand nicht die erforderliche Datensicherheit voraussetzen.

Empfehlung: Sollten Sie personenbezogene Daten per Fax verschicken, sprechen Sie mit uns, damit wir für Sie die erforderliche Datensicherheit prüfen können und Ihnen bei Sicherheitslücken eine Lösung empfehlen können.

Ist das Fax noch datenschutzkonform?

Die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Bremen (LfDI) hat auf ihren Webseiten der datenschutzkonformen Nutzung von Telefax eine Absage erteilt. Die entsprechende Veröffentlichung ist auf den 13. März 2020 datiert, scheint jedoch erst in diesem Monat veröffentlicht worden zu sein.

„Aufgrund dieser Unwägbarkeiten hat ein Fax hinsichtlich des Schutzziels Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail, die zu Recht als digitales Pendant zur offen einsehbaren Postkarte angesehen wird. Mehr nicht. Fax-Dienste enthalten in der Regel keinerlei Sicherungsmaßnahmen, um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten [und definitiv nicht für die Übertragung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten)] geeignet.“

Hintergrund der Bewertung durch die LfDI sind einerseits die technischen Änderungen innerhalb der Telefonnetze. Waren Faxe früher noch Ende-zu-Ende-Telefonleitungen vorbehalten, werden sie mittlerweile verstärkt über das Internet verschickt. Andererseits spielt der Umgang mit eingehenden Faxen bei der empfangenden Stelle eine große Rolle. Dort gibt es mittlerweile kaum noch reale Faxgeräte. Vielmehr werden eingehende Nachrichten bspw. von einem Fax-Server in E-Mails umgewandelt und an die entsprechenden Adressaten verschickt.

Fazit: Die Aussage der LfDI Bremen wird von uns nicht generell kritisiert, sollte aber differenziert betrachtet werden. Elementar ist die Transportverschlüsselung der Datenpakete mittels SIP-TLS. Dies betrifft aber nicht nur das Faxen over IP sondern auch das Telefonieren. Im Ergebnis sollte sämtliche Kommunikation über das Internet auf den Prüfstand gestellt werden. Sich nur auf FoIP zu konzentrieren und VoIP auszuklammern, geht an der Wirklichkeit vorbei, da technisch gesehen, keine Differenzierung besteht.

Gerade im Gesundheitswesen ist das Fax insbesondere in Notsituationen, in denen jede Sekunde relevant sein kann, (noch) nicht wegzudenken und kann, wie oben dargestellt, durchaus datenschutzkonform ausgestaltet werden.

Quellen:

8 Bußgelder

Auch dieses Mal möchten wir Ihnen mit einigen Negativbeispielen zeigen, wie datenschutzkonformes Arbeiten eben nicht geht. Deshalb folgt nun zum Abschluss dieses Herolds unser Bußgeldkatalog.

1 – Bußgeld: 746.000.000€

Ausgestellt an: Amazon Amazon Europe Core S.à r.l.
Tatbestand: Personalisierte Werbung auf Webseite kann nicht ausgeschaltet werden
Ausgestellt durch: Luxemburgische Datenschutzbehörde CNPD (16.07.2021)

Die luxemburgische Datenschutzbehörde CNPD hat am 16.07.2021 ein Bußgeld in Höhe von 746 Millionen Euro verhängt. Dies wurde durch Amazon im Quartalsbericht (Form 10-Q) bekannt gegeben. Amazon ist gegen den Beschluss rechtlich vorgegangen. Die luxemburgische Datenschutzbehörde darf sich aufgrund einer gesetzlichen Verpflichtung zur Verschwiegenheit nicht vor Ablauf der Frist des Rechtsbehelfs öffentlich äußern.

Die Aktivist:innen von La Quadrature erklären, dass sie eine Massenbeschwerde bei der luxemburgischen Datenschutzbehörde gegen Amazons Werbe-Targeting direkt nach Wirksamwerden der DSGVO im Mai 2018 eingereicht haben. Im Zuge des Bußgeldes stellte die CNPD Amazon einen Nachbesserungsauftrag, der jedoch Ende 2021 vom Verwaltungsgericht Luxemburg ausgesetzt wurde, weil die Anordnung nicht deutlich genug definiert war. Entsprechende Klärungsverfahren laufen jedoch noch, weshalb sich das CNPD derzeit nicht genauer zu dieser Thematik äußern möchte.

Fazit: Da vieles zum Verlauf der Beschwerde und mögliche Auswirkungen für betroffene Personen unklar ist, betrachten Sie diesen Teil des Artikels bitte als erste Informationen. Wir informieren Sie fortlaufend, sobald uns entsprechend fundierte Informationen zur Verfügung stehen.

2 – Bußgeld: 65.000€

Ausgestellt an: Onlineshop-Betreiber
Tatbestand: Veraltete Shop-Software von 2014 wurde eingesetzt, Passwörter waren nicht sicher genug gespeichert
Ausgestellt durch: Die Datenschutz-Aufsichtsbehörde Niedersachsen

Die Datenschutzbeauftragte des Landes Niedersachsen verhängte ein Bußgeld in Höhe von 65.000 € wegen der Verwendung einer veralteten Onlineshop Software. Im konkreten Fall war die Version seit spätestens 2014 veraltet und die Passwörter für den Onlineshop waren nicht nach aktuellem Stand der Technik abgesichert. Diese Absicherung hätte durch den Einsatz aktueller Software und der zusätzlichen Implementierung einer Salt-Funktion sowie eines aktuellen, auf Passwörter ausgelegten Hash-Algorithmus in einem verhältnismäßigen Aufwand durch das Unternehmen umgesetzt werden können.

Das reduzierte Bußgeld wurde durch das Unternehmen akzeptiert. Die Datenschutzbehörde berücksichtigte bei der Bemessung des Bußgeldes, dass das Unternehmen bereits vor dem Bußgeldverfahren die betroffenen Personen darüber informiert hatte, dass ein Wechsel des Passwortes notwendig sei.

Fazit: Die regelmäßige dokumentierte Aktualisierung der eingesetzten Softwareprodukte, wie auch die regelmäßige Überprüfung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 DSGVO sind ein wichtiger Bestandteil des Umgangs mit personenbezogenen Daten für alle Verantwortlichen.

3 – Bußgeld: 120.000€

Ausgestellt an: italienisches Gesundheitsunternehmen
Tatbestand: Weitergabe von Patentendaten gegen deren Willen
Ausgestellt durch: italienische Datenschutzbehörde

Ein italienisches Gesundheitsunternehmen meldete entsprechend des Artikel 33 DSGVO eine Datenpanne bei der italienischen Datenschutzbehörde. Im gemeldeten Sachverhalt wurden versehentlich in 48 Fällen Gesundheitsdaten, entgegen des ausdrücklichen Willens der Patienten an deren Hausärzte übermittelt. Aufgrund eines Softwaredefekts wurde diese Eingabe jedoch nicht im System gespeichert, sodass es entgegen der PatientInnenangaben zu Weiterleitungen an die jeweiligen Hausärzte kam. Dies betraf unter anderem die Daten von Minderjährigen und Frauen, die Schwangerschaftsabbrüche hatten durchführen lassen.

Die italienische Datenschutzbehörde bemängelte, dass die vom Unternehmen entwickelte Software nicht ausreichend getestet wurde, was dazu führte, dass es zu der rechtswidrigen Weiterleitung der Gesundheitsdaten kam.

Die Behörde verhängte im Rahmen einer Unterlassungsanordnung gegen das Unternehmen ein Bußgeld in Höhe von 120.000 €.

Fazit: Kleine Softwarefehler können schwerwiegende Folgen für betroffene Personen haben. Dies ist insbesondere bei der Verarbeitung sensibler personenbezogener Daten gemäß Artikel 9 DSGVO (wie z.B. Gesundheitsdaten) zu beachten. Durch entsprechende Tests und intensive Prüfungen der Software vor einem produktiven Einsatz hätte der Rechtsverstoß verhindert werden können. Wir empfehlen Ihnen die Durchführung von Risikoanalysen bei Verarbeitungstätigkeiten, die sensible personenbezogene Daten betreffen. Bei besonders sensiblen Daten oder großen Datenmengen in diesem Bereich ist es oftmals auch notwendig, eine Datenschutzfolgenabschätzung gemäß Artikel 35 DSGVO durchzuführen.

4 – Bußgeld: 400.000€

Ausgestellt an: Monsanto
Tatbestand: Verstoß gegen Informationspflicht nach Artikel 14 DSGVO und fehlendem Auftragsverarbeitungsvertrages
Ausgestellt durch: französische Datenschutzbehörde (CNIL)

Die französische Datenschutzbehörde CNIL verhängte am 26.07.2021 eine Strafe in Höhe von 400.000 € gegen das Unternehmen Monsanto. In den Jahren 2016 und 2017 wurde durch das Unternehmen FleishmanHillard im Auftrag von Monsanto eine Datei mit Informationen über mehr als 200 französische und europäische PolitikerInnen oder Mitglieder der Zivilgesellschaft, darunter JournalistInnen, UmweltaktivistInnen, WissenschaftlerInnen und LandwirtInnen erstellt und laufend geführt, die neben Kontaktdaten der Personen auch verschiedene Bewertungen zum Auftraggeber und weitere Daten zu diesen Personen enthielt. Dies wurde durch einen Bericht der Zeitung „LeMonde“ im Mai 2019 öffentlich, woraufhin sieben Beschwerden durch betroffene Personen eingereicht wurden. Die betroffenen Personen wurden durch die Verantwortlichen nicht vorab informiert und konnten nicht von Ihren Rechten, insbesondere dem Widerspruchsrecht Gebrauch machen.

Die französische Datenschutzbehörde vertritt in diesem Fall die Ansicht, dass Monsanto eine Weisungsbefugnis hinsichtlich der Tätigkeiten im Rahmen der Kampagne von FleishmanHillard hatte, jedoch kein Vertrag zur Auftragsverarbeitung vorlag.

Gegen diesen Beschluss kann noch Beschwerde eingelegt werden.

Fazit: Die Einhaltung der Informationspflicht betroffener Personen ist ein wichtiger Bestandteil der DSGVO. Wird diese vernachlässigt, können hohe Bußgelder gegenüber den Verantwortlichen erlassen werden. Ebenso wichtig ist es, dass man vor jedem Vertragsschluss prüfen sollte, ob es sich hierbei um eine Auftragsverarbeitung (auch) von personenbezogenen Daten handelt und folglich eine Auftragsverarbeitungsvertrag (AVV) benötigt wird. Wenn personenbezogene Daten verarbeitet werden, unterstützen wir Sie gern, die Auftragsverarbeitung datenschutzkonform umzusetzen und zu dokumentieren.

Bei Rückfragen oder Anregungen können Sie das Team der Avallon gerne kontaktieren. Wir sind per Mail an dsb@avallon.de oder über unsere DSB-Serviceline unter 04941 9839071 für Sie da. Wir wünschen Ihnen weiterhin eine schöne Woche und bleiben Sie gesund!

Ihr Datenschutzbeauftragter
Jörg Stockmann

Aurich, 20. April 2022