Datenschutz Aktuell - Der Expertenblog zum Datenschutz

Bisher vollstreckte Bußgelder durch Aufsichtsbehörden

10.12.2018 10:04:29 / by Prof. Dr. Andre Döring, DE

filmmaker-2838945_1920

Bild: Fotolia

Damit Gesetze flächendeckend umgesetzt werden, werden Verstöße gegen ein Gesetz häufig mit Geldbußen oder Geldstrafen versehen. So bestraft auch die DSGVO Verstöße mit eine Geldbuße die nach Art. 83 Abs. 1 in "jedem Einzelfall wirksam, verhältnismäßig und abschreckend" sein sollen. Auf dieser Seite stellen wir eine Liste der uns bekannten verhängten Geldbußen zusammen und versuchen diese im Sinne des Art. 83 einzuordnen. 

13.02.2019 | Deutschland | ca. 2000 EUR

Art der Datenpanne: Versendung von E-Mails mit offenem Adressverteiler.

Details: Nach Angaben des Landesdatenschutzbeauftragten Sachsen-Anhalt soll der Mann im vergangenen Jahr wiederholt E-Mails mit offenem Verteiler versendet haben. 

Rechtliche Einordnung: E-Mail-Adressen sind als personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes anzusehen. Auch wenn diese keine direkten Hinweise auf die Identität der Person, wie Vor- und Nachname, enthalten. Eine Übermittlung der E-Mail-Adresse ist nur dann zulässig, wenn eine Einwilligung von der betroffenen Person vorliegt.

Bewertung: Da die E-Mail-Adressen ohne Einwilligung der betroffenen Personen an Dritte versendet wurden, ist das Bußgeld verhältnismäßig. 

Praxistipp: Sollten E-Mails an mehrere Personen gleichzeitig versendet werden, stehen die Felder “An”, “CC” oder “BCC” zur Auswahl. Verwendet man die Felder “An” und “CC” können alle Personen, die die E-Mail erhalten, die E-Mail-Adressen der anderen Personen einsehen.

Fall A: unternehmesintern E-Mail

Sollten die Personen, deren E-Mail-Adressen Sie verwenden möchten, alle der gleichen Organisation angehören, stellt es kein Problem dar, wenn die E-Mail-Adressen einsehbar sind. Im Regelfall könnten die verwendeten E-Mail-Adressen sowieso über die globale Firmen-Adressen-Liste eingesehen werden. Sie können die E-Mail-Adressen in die Felder “An” und “CC” einpflegen.

Fall B: unternehmensexterne E-Mail

Sollten die Personen, deren E-Mail-Adressen Sie verwenden möchten, nicht der gleichen Organisation angehören, dürfen Sie deren E-Mail-Adressen ohne Einwilligung nicht für andere einsehbar versenden. Nutzen Sie in diesem Fall das Feld “BCC”. 

Land: Deutschland, SA 

Bussgeldhöhe: 2000 EUR

Quelle: MZ



28.11.2018 | Uber | Niederlande und Großbritannien | ca. 1 Mio. EUR

Art der Datenpanne: Hackerangriff 2018, der von Uber nicht an die Behörden gemeldet wurde und hielten den Angriff durch Bestechung des Hackers geheim

Details: Nach Angaben der britischen Datenschutzbehörde ICO erhielten die Angreifer Zugang zu den personenbezogenen Daten von 2,7 Millionen Ueber-Kunden in Großbritannien, darunter Namen, Handynummern und E-Mail-Adressen. 

Rechtliche Einordnung: Nach Art 32 DSGVO müssen personenbezogene Daten verschlüsselt gespeichert werden. Die Sicherheit (hier limitierte Zugang und Zugriff) muss gewährleistet sein.

Bewertung: Bußgeld ist auf Grund der proaktiven Reaktion von Knuddels verhältnismäßig. 

Praxistipp: Prüfen Sie, ob vor allem auf mobilen Datenträgern (USB-Sticks, Laptops etc.) alle Daten verschlüsselt vorliegen. Eine Verschlüsselung erreichen Sie unter Windows mit BitLocker und unter MacOS mit FileVault

Land: Deutschland, BW 

Bussgeldhöhe: 600.000 EUR in den Niederlanden

Quelle: N-TV



22.11.2018 | Knuddels | Deutschland | 20.000 EUR

Art der Datenpanne: Hackerangriff, unverschlüsselte Passwörter wurden entwendet und publiziert

Details: Anfang September 2018 waren Hunderttausende Passwörter von Knuddels-Nutzern im Netz aufgetaucht die unverschlüsselt gespeichert wurden. Knuddels informierte proaktiv die Betroffenen, arbeitete Gut mit der Aufsichtsbehörde zusammen und behob die Sicherheitslücke zeitnah.

Rechtliche Einordnung: Nach Art 32 DSGVO müssen personenbezogene Daten verschlüsselt gespeichert werden. Die Sicherheit (hier limitierte Zugang und Zugriff) muss gewährleistet sein.

Bewertung: Bußgeld ist auf Grund der proaktiven Reaktion von Knuddels verhältnismäßig. 

Praxistipp: Prüfen Sie, ob vor allem auf mobilen Datenträgern (USB-Sticks, Laptops etc.) alle Daten verschlüsselt vorliegen. Eine Verschlüsselung erreichen Sie unter Windows mit BitLocker und unter MacOS mit FileVault

Land: Deutschland, BW 

Bussgeldhöhe: 20.000 EUR

QuelleLfDI BW

 


23.10.18 | Krankenhaus | Portugal | 400.000 EUR

Land: Protugal
Bussgeldhöhe: 400.000 EUR

Art der Datenpanne: Unkontrolliertes Rollen-und-Rechtemanagement

Details: Verfehltes Rollen und Rechtemanagement im KIS (Krankenhausinformationssystem). Ein zu großer Personenkreis auch nicht-medizinischer Mitarbeiter hatten Zugriff auf sensible Patientenakten. Das Krankenhaus hatte nur 296 registrierte Ärzte, wohingegen das Profilmanagementsystem 985 Konten auflistete. Das Krankenhaus geht gegen das Bußgeld rechtlich vor.

Rechtliche Einordnung: Nach Art 32 DSGVO müssen personenbezogene Daten vor unbefugtem Zugriff geschützt sein.

Bewertung: Angemessenes Bußgeld, da besondere personenbezogene Daten betroffen waren. 

Praxistipp: Jedes Betriebssystem und ERP-System bietet die Möglichkeit, den Zugriff auf Dateien über entsprechende Rollen und Rechte zu begrenzen. Überlegen Sie sich, welche Daten von welchen Nutzern oder Nutzergruppen (z. B. Geschäftsleitung, Vertrieb etc.) gelesen und verändert werden dürfen und legen Sie ein entsprechendes Rollen-und-Rechtemanagement an.

Quelleheise.de


15.10.18 | Heathrow Airport | England | 130.000 GBP

Land: England
Bussgeldhöhe: 120.000 GBP

Art der Datenpanne: Mangelnde Sensibilisierung der Mitarbeiter die Unternehmensrichtlinien nicht umsetzen

Details: Es wurde ein unverschlüsselter USB Stick mit 1.000 Dokumenten des Flughafens gefunden. Nur 1% der Daten waren personenbezogene Daten, mit: ein Schulungsvideo mit Namen, Geburtsdaten, Fahrzeugzulassungen, Staatsangehörigkeit, Passnummern und Ablauf, Rollen und Mobiltelefonnummern von 10 Personen, die an einer bestimmten Grußgruppe beteiligt sind, sowie Angaben zu 12 bis 50 (genaue Anzahl unbestätigter Personen) Heathrow-Luftsicherheitspersonal, einschließlich Namen, Berufsbezeichnungen und Identifizierung von zwei Personen, die Gewerkschaftsmitglieder oder Vorsitzende waren.

Rechtliche Einordnung: Nach Art 32 DSGVO müssen personenbezogene Daten vor unbefugtem Zugriff geschützt sein.

Bewertung: Es wurden massive Versäumnisse in den TOMs und Schulung der Mitarbeiter festgestellt. Das Datenleck wäre durch einfachste Verschlüsselung vermeidbar gewesen. Bußgeld vermutlich angemessen.

Praxistipp: Nach Art 39 Abs. 1 lit b DSGVO gehört zu den Aufgaben des Datenschutzbeauftragten die Sensibilisierung der Mitarbeiter hinsichtlich des Datenschutzes. Nach §53 BDSG sind diese auch auf das Datengeheimnis zu verpflichten. Auch wenn Sie keinen Datenschutzbeauftragten bestellen müssen, sollten Sie Ihre Mitarbeiter auch aus eigenem Interesse einmal im Jahr über Ihre Erwartungen in puncto Datenschutz und Datensicherheit aufklären.

QuelleCordery (EN)

 

Topics: Datenschutzpanne, Bußgeld

Prof. Dr. Andre Döring, DE

Written by Prof. Dr. Andre Döring, DE

Prof. Dr. Andre Döring ist CEO & Co- Founder von Robin Data - Smart Data Protection. Er ist Datenschutzexperte und gefragter Keynote-Speaker zu den Themen Datenschutz, IT-Sicherheit und Digitalisierung.