5 Mio. Euro Bußgeld wegen unzureichender technischer und organisatorischer Maßnahmen

Hintergrund des DSGVO-Bußgeldes

Am 1. April 2020 öffnete ein Mitarbeiter von Interserve eine Phishing-E-Mail, lud eine enthaltene ZIP-Datei herunter und entpackte sie. Durch das Ausführen einer Ransomware-Software, die sich darin befand, wurde Malware auf dem Rechner des Mitarbeiters installiert und ein Cyber-Angreifer konnte sich Zugriff auf den Arbeitsplatz verschaffen. Zum fraglichen Zeitpunkt arbeitete der Angestellte von zu Hause aus und die Malware-Attacke konnte nicht vom Interserve-Gateway-System beschränkt werden.

Zu einem späteren Zeitpunkt ergriff eines der Sicherheitssysteme von Interserve Maßnahmen, entfernte einige der schädlichen Daten und gab eine Meldung zum erfolgreichen automatischen Entfernen der Malware-Daten heraus.

Interserve unternahm daraufhin jedoch keine weiteren Schritte, um die vollständige Löschung der betroffenen Daten zu überprüfen. Der Angreifer hatte dadurch weiterhin Zugriff auf die Systeme, konnte die Anti-Virus-Lösung deinstallieren und wichtige Systeme kompromittieren. Unter diesen befanden sich auch vier HR-Datenbanken mit personenbezogenen Daten von bis zu 113.000 Personen (u. a. Telefonnummer, E-Mail-Adresse, Sozialversicherungsnummer, Bankverbindung, Familienstand, Geburtsdatum, Ausbildung, Geburtsland und Gehalt), darunter auch sensible Daten (z.B. Gesundheitsdaten und Daten zur ethnischen Herkunft). Diese Daten wurden durch den Angreifer verschlüsselt und für Interserve unzugänglich gemacht.

Das ICO stellte daraufhin fest, dass Interserve nach Bekanntwerden des Vorfalls nicht die erforderlichen Schritte ergriffen hatte und allein auf die Softwaremeldung über ein angeblich erfolgreiches Entfernen der Dateien vertraute. Die Behörde monierte zudem, dass bereits vor dem Angriff gewisse Maßnahmen nicht getroffen wurden. So setzte Interserve zum Beispiel veraltete Sicherheitsprotokolle und veralteten Virenschutz ein. Der Mitarbeiter, durch welchen die Cyberattacke ausgelöst wurde, war zudem nicht zum Datenschutz geschult.

Datenschutzrechtliche Einschätzung des Bußgeldes

Verstoß gegen den Grundsatz der Sicherheit der Verarbeitung

Interserve hat es versäumt, personenbezogene Daten in einer Weise zu verarbeiten, die eine angemessene Sicherheit personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen gewährleistet, wie dies in Art. 5 Abs. 1 lit. f und Art. 32 der Datenschutz-Grundverordnung (DSGVO) vorgesehen ist.

Nach Art. 5 Abs. 1 lit. f DSGVO müssen personenbezogene Daten so verarbeitet werden, dass eine angemessene Sicherheit der Daten gewährleistet ist und dass die Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen geschützt sind.

Das ICO stellte insbesondere fest, dass das folgende Verhalten von Interserve zu einem Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO beigetragen hat:

• Verarbeitung personenbezogener Daten auf vom Hersteller nicht mehr unterstützten Betriebssystemen, für die es keine Sicherheitsupdates zur Behebung bekannter Schwachstellen mehr gab,
• Versäumnis, einen angemessenen Endgeräteschutz zu implementieren,
• Versäumnis, eine angemessene und wirksame Schulung der Mitarbeiter durchzuführen,
• Versäumnis der Aktualisierung von Sicherheitsprotokollen und
• Versäumnis, eine wirksame und rechtzeitige Untersuchung der Ursache des ursprünglichen Angriffs durchzuführen.

Unzureichende technische und organisatorische Maßnahmen

Art. 32 der DSGVO regelt, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen hat, mit denen die Sicherheit der Verarbeitung garantiert werden und das Risiko eines Datenmissbrauchs gesenkt werden kann. Insbesondere müssen die Maßnahmen regelmäßig überprüft und an die sich ständig ändernden Bedingungen angepasst werden.

In Anbetracht der oben genannten Mängel hinsichtlich der Sicherheitsmaßnahmen von Interserve stellte das ICO außerdem fest, dass Interserve es versäumt hatte, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Verarbeitungssysteme und -dienste dauerhaft zu gewährleisten und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen, was einen Verstoß gegen Art. 32 Abs. 1 lit. b und c der DSGVO darstellt.

Darüber hinaus stellte das ICO fest, dass Interserve es versäumt hatte, die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung regelmäßig zu testen, zu bewerten und zu evaluieren, was einen Verstoß gegen Art. 32 Abs. 1 lit. D DSGVO darstellt.

In Anbetracht der obigen Verstöße verhängte das ICO mit seinem Bescheid eine geringere Geldbuße als es möglich gewesen wäre. Die Begründung dafür war, dass Interserve während der Ermittlungen mit der Behörde kooperiert und nach dem Bekanntwerden der Untersuchungsergebnisse erhebliche Investitionen in die Verbesserung der Sicherheitsmaßnahmen vornahm.

Fazit

Dieser Fall verdeutlicht die Bedeutung funktionierender Datenschutzsysteme und regelmäßiger Überprüfungen und Aktualisierungen dieser Systeme. Er zeigt aber auch wie wichtig es ist, schnell auf eine Datenschutzverletzung zu reagieren. Die Aufsichtsbehörden (wie z.B. das BayLDA) führen immer wieder anlasslose Prüfungen durch. Als Verantwortlicher sollten Sie Vorkehrungen vornehmen, um geeignete Systeme zu implementieren und unter anderem präventiv für regelmäßige Schulungen der Mitarbeiter durch erfahrene Datenschutzexperten zu sorgen.