Archiv für das Jahr: 2019

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus. 

Dazu sagte der Bundesbeauftragte Ulrich Kelber: Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.

Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen. 

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt. 

Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens. 

Der BfDI untersucht aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen. 

Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.

P r e s s e m i t t e i l u n g vom 5. November 2019

Am 30.Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen.

Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.

Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen. Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt. Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DS-GVO sowie Artikel 5 DS-GVO für den Zeitraum zwischen Mai 2018 und März 2019 war daher zwingend.

Die Datenschutz-Grundverordnung verpflichtet die Aufsichtsbehörden sicherzustellen, dass Bußgelder in jedem Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend sind. Anknüpfungspunkt für die Bemessung von Geldbußen ist daher u. a. der weltweit erzielte Vorjahresumsatz betroffener Unternehmen. Aufgrund des im Geschäftsbericht der Deutsche Wohnen SE für 2018 ausgewiesenen Jahresumsatzes von über einer Milliarde Euro lag der gesetzlich vorgegebene Rahmen zur Bußgeldbemessung für den festgestellten Datenschutzverstoß bei ca. 28 Millionen Euro.

Für die konkrete Bestimmung der Bußgeldhöhe hat die Berliner Datenschutzbeauftragte unter Berücksichtigung aller be- und entlastenden Aspekte die gesetzlichen Kriterien herangezogen. Belastend wirkte sich hierbei vor allem aus, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt hatte und die betroffenen Daten über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden. Bußgeldmildernd wurde hingegen berücksichtigt, dass das Unternehmen durchaus erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hat. Auch mit Blick darauf, dass dem Unternehmen keine missbräuchlichen Zugriffe auf die unzulässig gespeicherten Daten nachgewiesen werden konnten, war im Ergebnis ein Bußgeld im mittleren Bereich des vorgegebenen Bußgeldrahmens angemessen.

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf

Mehrere tausend Patientendaten sind offen im Internet abrufbar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde über diesen Sachverhalt von IT-Sicherheitsforschern informiert und hat daraufhin die betroffenen medizinischen Einrichtungen anhand der ihm vorliegenden IP-Adressen in Kenntnis gesetzt. In drei Fällen konnte das BSI die Einrichtungen direkt kontaktieren, in 14 weiteren Fällen wurden die jeweiligen Internet-Service-Provider gebeten, ihre Kunden anhand der IP-Adressen zu identifizieren und zu informieren. Zudem hat das BSI 46 internationale Partnerorganisationen über den Sachverhalt informiert. Das BSI darf nach derzeitiger Rechtslage diese Daten nicht abrufen oder analysieren, auch nicht um die Betreiber der ungesicherten Webserver zu identifizieren. Nach Einschätzung des BSI sind die Patientendaten zugänglich, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden. Dem BSI liegen keine Informationen vor, dass die Patientendaten tatsächlich in krimineller Absicht abgeflossen sind.

Dazu äußert sich BSI-Präsident Arne Schönbohm wie folgt:
„Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient. Wir müssen als Gesellschaft begreifen, dass die großen Digitalisierungsprojekte, die uns so viele Vorteile bringen können, nur gelingen werden, wenn sie von Anfang an sicher gestaltet werden. Nur wenn die Bürgerinnen und Bürger Vertrauen in die Sicherheit ihrer Daten haben, wird die Digitalisierung erfolgreich sein.“

Zur Stellungnahme: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Patientendaten_im_Internet_170919.html

Sensible Daten sollten nicht in die Hände Unbefugter geraten. Deshalb hat es sich das BSI als nationale Cyber-Sicherheitsbehörde zur Aufgabe gemacht, Standards für den digitalen Verbraucherschutz zu etablieren: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/digitaler_Verbraucherschutz/digitaler_Verbrauscherschutz_node.html

Auch interessant: Kryptografische Verfahren im Gesundheitswesen – die elektronische Gesundheitskarte: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Verschluesselung/Verschluesseltkommunizieren/Gesundheitskarte/elektronische_gesundheitskarte_node.html

Zur Meldung von faz.net: Röntgenbilder waren wohl ungeschützt online einsehbar: https://www.faz.net/aktuell/wirtschaft/diginomics/datenleck-roentgenbilder-waren-wohl-ungeschuetzt-online-einsehbar-16388646.html

Pressemitteilung des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit vom 30.07.2019

Bereits das Urteil des Europäischen Gerichtshofs (EuGH) zum (Weiter-)Betrieb von Facebook-Fanpages vom 5. Juni 2018 bestätigte die langjährige Rechtsauffassung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK). In ihrem Beschluss vom 5. September 2018 wies die DSK darauf hin, dass Fanpage-Betreiber gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten verantwortlich sind. Die Rechtmäßigkeit der Datenverarbeitung und die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 Abs. 1 DS-GVO müssen Fan-Pagebetreiber zusammen mit Facebook nachweisen können. In seinem gestrigen Urteil entschied der EuGH nun, dass die Betreiber, die einen „Gefällt-mir“- Knopf (Like-Button) auf ihrer Webseite einbinden, für die damit verknüpfte Datenübertragung mitverantwortlich sind. Allein der Aufruf einer Webseite, die diese Schaltfläche hat, macht es möglich, Ihr Surfverhalten an Facebook zu übertragen, selbst dann, wenn Sie kein Facebook-Konto besitzen. Das ist gefährlich! Insbesondere deshalb, weil anhand nur weniger Likes ein Persönlichkeitsprofil und Ihr Verhalten prognostiziert werden kann. Allein zehn Likes genügen dafür, dass Facebook Sie besser kennt als Ihre Arbeitskollegen. Und derartige Profile werden auch gern gekauft – von wem und zu welchem Zweck auch immer. Künftig müssen Sie als Nutzer sogenannter Like-Buttons nun zuvor Social-Media-Dienste explizit mit einem weiteren Button aktivieren und damit zustimmen, dass Daten an die Betreiber der sozialen Netzwerke übertragen werden. Dr. Lutz Hasse meint dazu: „Natürlich ist die explizite Aktivierung nervig – soll auch so sein! Denn jetzt müssen Sie bewusst entscheiden, ob Sie Ihre Privatsphäre von Facebook verhökern lassen wollen.“

Die Pressemitteilungen des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.