Die Tendenz, dass mittlerweile auch deutsche Aufsichtsbehörden empfindliche Bußgelder verhängen, scheint sich zu verstetigen. Diesmal traf es zwei Telekommunikationsunternehmen, gegen die der – in diesen Fällen zuständige – Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Bußgelder verhängte. Die bekannte 1&1 Telecom GmbH soll 9,5 Millionen Euro zahlen. Ein Kleinstanbieter erhielt einen Bescheid über immerhin noch 10.000 Euro.
Mangelhafte Datensicherheit als DSGVO-Verstoß
Beobachtet man die Gründe, aus denen Bußgelder von Datenschutzaufsichtsbehörden verhängt werden, zeichnet sich EU-weit ein recht deutliches Bild ab. Verstöße gegen die Pflicht, bei der Verarbeitung von Daten auch auf die Datensicherheit zu achten und angemessene technische und organisatorische Maßnahmen umzusetzen, werden offensichtlich als besonders kritisch und ahndungswürdig betrachtet.
Bei der 1&1 scheint nun ebenfalls ein Mangel an Datensicherheit zur Verhängung des Bußgeldes geführt zu haben. Konkret fehlte es offenbar an einer brauchbaren Ausgestaltung der Zugriffsberechtigungen; ein Aspekt der insbesondere vor dem Hintergrund der Grundgedanken Privacy by Design bzw. Privacy by Default eine Rolle spielt. Kundenbetreuer des Unternehmens bekamen offenbar im Rahmen selbst einfacher Anfragen standardmäßig weitreichende Angaben zum jeweiligen Kunden angezeigt, konnten diese abrufen, und gaben diese – zumindest in Einzelfällen – offenbar auch sehr leicht an unberechtigte Personen heraus.
Dieses Problem stellt sich in vergleichbarer Form für viele Unternehmen. Die vielfach eingesetzten Lösungen waren bislang nicht darauf vorbereitet, verschiedenen Nutzergruppen im Unternehmen jeweils nur die Daten anzuzeigen, die diese für ihre Arbeit allgemein oder in einem konkreten Fall benötigen. Ein abgestufter Zugriff auf Daten wurde von den Lösungen nicht unterstützt. Jeder Mitarbeiter sieht alles. Das sollte nicht sein!
Eine moderne und datenschutzkonforme Umsetzung muss es unterstützen, jedem Mitarbeiter jeweils nur die Daten zur Verfügung zu stellen, die er im Rahmen seiner Aufgaben vorhersehbar braucht und andere Informationen nur bei konkretem Bedarf oder gegebenenfalls auch gar nicht anzuzeigen. Der technische Support braucht beispielsweise keinen Zugriff auf die Kontoverbindung des Kunden; die Personalabteilung benötigt andere Daten als der Vertrieb; die Entwicklung braucht gegebenenfalls gar keinen Zugriff auf personenbezogene Daten. Durch solche Schranken lässt sich auch wirksam verhindern, dass Daten leichtfertig weitergegeben werden. Was ein Mitarbeiter schon gar nicht sieht, kann er auch nicht offenbaren.
Zusätzlich wurden bei der Herausgabe von Informationen offenbar keine großen Hürden aufgestellt. Die Identität von Anrufern wurde nicht zuverlässig überprüft, sondern nur mittels sehr leicht in Erfahrung zu bringender Angaben verifiziert. Es war damit offensichtlich zu leicht, als Unberechtigter an fremde Informationen heranzukommen.
Auch ohne, dass es bei der 1&1 zu einem für Betroffene spürbaren (finanziellen) Schaden gekommen wäre, beurteilte der Bundesbeauftragte diesen Verstoß streng, da er den gesamten Kundenbestand betraf. Aufgrund der guten Kooperation durch das betroffene Unternehmen wurde das Bußgeld explizit nur im unteren Bereich festgelegt.
Auch Behördenanweisungen zu ignorieren wird geahndet
Der zweite Fall betraf ein kleines Telekommunikationsunternehmen aus dem Breisgau und ist weit weniger spektakulär. Das der Leistungsfähigkeit und Größe des Unternehmens angepasste, überschaubare Bußgeld wurde hier verhängt, da das Unternehmen – trotz mehrfacher Aufforderung durch die Aufsichtsbehörde – der Pflicht zur Bestellung eines Datenschutzbeauftragten nicht nachgekommen war. Dass es in solchen Fällen mit einem Bußgeld endet, dürfte vorhersehbar und ebenso gut vermeidbar gewesen sein.
Vermeiden Sie Bußgelder und Auflagen der Aufsichtsbehörden – bestellen Sie lieber einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen!