Schlagwort: TOMs
4. August 2021
Die Nutzung einer veralteten Website-Software birgt datenschutzrechtliche Risiken, auf die in dem vorliegenden Fall eindeutig vom Landesbeauftragten für den Datenschutz Niedersachen (LfD) reagiert wurde.
Weil ein Unternehmen aus Niedersachsen für das Betreiben ihrer Website eine veraltete Software nutzte, die den aktuellen technischen Standards nicht mehr entsprach, wurde gegen das Unternehmen ein Bußgeld in Höhe von 65.000 Euro durch den LfD verhängt. Im 26. Tätigkeitsbericht 2020 des LfD wird auf die zunehmende Komplexität von Verarbeitungsprozessen aufgrund der Digitalisierung in Wirtschaft und Verwaltung hingewiesen. Dabei ist ein deutlicher Anstieg von Meldungen und Beschwerden im Jahr 2020 zu verzeichnen.
Die technischen Standards, die die DSGVO für Verarbeitungsprozesse fordert, sollen einen umfassenden Schutz von personenbezogenen Daten sicherstellen. Diese technischen Standards sind zur Bestimmung von angemessenen geeigneten technischen und organisatorischen Maßnahmen zu berücksichtigen und sollen sich nach dem aktuellen technischen Fortschritt richten.
Grundlage hierfür sind die Vorschriften Art. 25 und Art. 32 der DSGVO. Werden die erforderlichen technischen Standards hiernach nicht beachtet kommt es zu einem Verstoß gegen datenschutzrechtliche Grundsätze.
In dem vorliegenden Fall (S. 97 des Tätigkeitsberichts) wurde eine Softwareanwendung genutzt, die seit spätestens 2014 veraltet ist und von dem Hersteller nicht mehr mit Sicherheitsupdates versorgt und aktualisiert wird. Dies hatte zur Folge, dass die Software Sicherheitslücken aufwies, auf die der Hersteller aber auch hingewiesen hatte. Diese Lücken ermöglichten potentiellen Angreifern den Besitz an den Zugangsdaten aller in der Anwendung registrierten Personen. Des Weiteren war es möglich, dass ganze Datenbanktabellen ausgegeben werden konnten. Auch war die Berechnung der Passwörter durch mögliche Angreifer erleichtert, obwohl diese mit der kryptographischen Hashfunktion MD5 gesichert worden waren.
Weil den erforderlichen technischen Maßnahmen nicht Rechnung getragen wurde, wurde ein Verstoß gegen Art. 32 Absatz 1 der DSGVO festgestellt und das Bußgeld verhängt. Die Implementierung weiterer technischer Maßnahmen, sei für das Unternehmen mit einem verhältnismäßigen Aufwand durch neuere Versionen der Software möglich gewesen.
28. Juni 2021
Die Datenschutzkonferenz (DSK) – das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder – hat kürzlich eine Orientierungshilfe veröffentlicht, welche Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail vorstellt. Diese richtet sich nicht nur an öffentliche E-Mail-Dienstanbieter, sondern an sämtliche datenschutzrechtlich Verantwortliche sowie Auftragsverarbeiter, die personenbezogene Daten per E-Mail übermitteln. Die Orientierungshilfe behandelt dabei lediglich Risiken in Bezug auf die Vertraulichkeit und Integrität der Daten, also solche Risiken, die sich auf dem Transportweg ergeben. Gegenstand der vorgestellten Maßnahmen sind daher vor allem Verschlüsselungstechniken. Diese sollten jedoch durch Maßnahmen zum Schutz der beteiligten Systeme sowie zur Minimierung, Speicherbegrenzung und Zweckbindung der Verkehrsdaten ergänzt werden.
Inanspruchnahme öffentlicher E-Mail-Dienstanbieter
Nehmen Unternehmen die Dienste öffentlicher E-Mail-Dienstanbieter in Anspruch, sollten diese darauf achten, dass die Dienstanbieter hinreichende Garantien für die Einhaltung der datenschutzrechtlichen Anforderungen bieten können. Dazu gehört auch, dass die Dienstanbieter die Anforderungen der TR 03108-1 des Bundesamtes für Sicherheit und Informationstechnik (BSI) einhalten; dies ist für die Dienstanbieter verpflichtend. Daneben müssen die unternehmenseigenen Systeme und Endgeräte sicher an jene der Dienstanbieter angebunden sein. Sollten sich für die Verarbeitung nach Einschätzung des Verantwortlichen oder Auftragsverarbeiters gesteigerte Risiken ergeben, sind ggf. die zusätzlichen, in der Orientierungshilfe dargestellten Anforderungen einzuhalten.
Gezielter Empfang personenbezogener Daten
Die DSK stellt anschließend zwei Fallgruppen vor, für welche sich zusätzliche Verpflichtungen ergeben können: Einerseits die gezielte Entgegennahme personenbezogener Daten durch E-Mails, andererseits der Versand von E-Mail-Nachrichten. Werden gezielt personenbezogene Daten per E-Mail entgegengenommen, muss der Empfänger einen verschlüsselten Kanal zur Verfügung stellen, mindestens per TLS-Verbindung. Außerdem sollte ein möglichst breites Spektrum an qualifizierten Algorithmen für die Verschlüsselung und Authentifizierung zur Verfügung gestellt und DKIM-Signaturen überprüft werden, um die Authentizität und Integrität der empfangenen Nachrichten sicherzustellen. Bestünde durch den Bruch der Vertraulichkeit ein hohes Risiko für die Betroffenen, muss schließlich sowohl eine qualifizierte Transportverschlüsselung als auch der Empfang von Ende-zu-Ende-verschlüsselten Nachrichten ermöglicht werden. Auch die Signaturen müssen dann qualifiziert überprüft werden.
Versand von E-Mail-Nachrichten
Werden personenbezogene Daten per E-Mail versandt, sollten sich die Verantwortlichen oder Auftragsverarbeiter an der TR 03108-1 des BSI (s.o.) orientieren und eine obligatorische Transportverschlüsselung sicherstellen. Würde der Bruch der Vertraulichkeit ein hohes Risiko für die Betroffenen darstellen, ist grundsätzlich sogar eine Ende-zu-Ende-Verschlüsselung sowie eine qualifizierte Transportverschlüsselung erforderlich. Für Berufsgeheimnisträger können sich zudem besondere Anforderungen ergeben, da bei diesen ein hohes Risiko für die Betroffenen anzunehmen ist. Schließlich muss durch geeignete technische und organisatorische Maßnahmen sichergestellt werden, dass beim Empfänger nur jene Personen von der Nachricht Kenntnis nehmen können, für welche die Nachricht bestimmt ist. Bei hohem Risiko kann etwa eine Ende-zu-Ende-Verschlüsselung mit individueller Adressierung in Betracht kommen.
Anforderungen müssen eingehalten werden
Die Orientierungshilfe enthält außerdem umfangreiche technische Anforderungen an die dargestellten Verschlüsselungs- und Signaturverfahren. Für betroffene Unternehmen gilt es also zu prüfen, ob diese erforderlich sind, und wenn ja, ob die Anforderungen korrekt umgesetzt werden. Wichtig ist die Feststellung, dass die DSK lediglich typische Verarbeitungssituationen berücksichtigen konnte. Ergeben sich bei einem Verantwortlichen oder Auftragsverarbeiter Besonderheiten für die Verarbeitung, etwa aus dem Umfang, den Umständen oder den Zwecken der Übermittlung, muss dies berücksichtigt werden und kann ggf. abweichende Anforderungen notwendig machen. Zudem betont die DSK, dass andere Kommunikationskanäle ausgewählt werden müssen, wenn die dargestellten Anforderungen nicht erfüllt werden können.
1. Juli 2020
Wie der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg mit einer Pressemitteilung vom 30.06.2020 mitteilte, wurde gegen die AOK Baden-Württemberg wegen Datenschutzverstößen ein Bußgeld in Höhe von 1.240.000 Euro verhängt. Grund für das verhängte Bußgeld sei ein Verstoß gegen die Pflichten zur sicheren Datenverarbeitung nach Art. 32 DS-GVO.
Der Sachverhalt
Die AOK Baden-Württemberg hatte im Zeitraum von 2015 bis 2019 verschiedene Gewinnspiele durchgeführt, und die dabei erhobenen personenbezogenen Daten auch zu Werbezwecken verwendet. Diese Weiterverarbeitung sollte jedoch nur dann erfolgen, wenn die Teilnehmer in diese ausdrücklich eingewilligt haben. Die AOK Baden-Württemberg versuchte mittels technischer und organisatorischer Maßnahmen (sog. TOMs) nach Maßgabe des Art. 32 DS-GVO sicherzustellen, dass nur die Daten derjenigen Teilnehmer zu Werbezwecken verwendet werden, die tatsächlich eine entsprechende Einwilligung abgegeben hatten. Zu diesen Maßnahmen gehörten u.a. Datenschutzschulungen und interne Richtlinien. Diese TOMs seien jedoch nicht ausreichend gewesen, sodass mehr als 500 Gewinnspielteilnehmer Werbung erhielten, obwohl sie keine Einwilligung abgegeben hatten.
Begründung der Bußgeldhöhe
Die Höhe des Bußgeldes sei insbesondere durch die Größe und Bedeutung der AOK Baden-Württemberg gerechtfertigt. Positiv sei jedoch zu berücksichtigen gewesen, dass die TOMs intern überprüft worden seien, wodurch der Datenschutzverstoß überhaupt erst aufgefallen sei. Bei Bekanntwerden des Vorganges habe die AOK Baden-Württemberg alle vertrieblichen Maßnahmen eingestellt, eine Task Force für Datenschutz im Vertrieb gegründet, interne Prozesse und Kontrollstrukturen angepasst und erweitert sowie umfassend und konstruktiv mit dem LfDI zusammengerarbeitet. Dadurch sei kurzfristig eine Steigerung des Schutzniveaus für die Daten der Betroffenen ermöglicht worden.
Weiterhin sei bei der Bemessung der Bußgeldhöhe der gesetzliche Auftrag der AOK Baden-Württemberg innerhalb des Gesundheitssystems zu berücksichtigen gewesen. Um dieser Aufgabe – Sicherstellung der Gesundheitsversorgung – weiterhin effektiv nachkommen zu können, müsse das Bußgeld verhältnismäßig ausfallen. Zudem seien die Auswirkugen der Corona-Pandemie, welche auch die gesetzlichen Krankenkassen treffen, mit in die Erwägungen mit einzubeziehen gewesen.
Fazit
Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg, betonte noch einmal die Bedeutung der technischen und organisatorischen Maßnahmen für die Sicherstellung eines angemessenen Schutzniveaus. Dieses könne jedoch nur dann erreicht werden, wenn alle implementierten TOMs regelmäßig überprüft und ggf. angepasst werden. Datensicherheit sei eine “Daueraufgabe”, und nicht mit der einmaligen Implementierung der TOMs erledigt.
Neben diesem Punkt macht der vorliegende Fall aber auch noch einmal deutlich, dass durch interne Kontrollen, einer zügigen Reaktion auf Datenschutzverstöße und vertrauensvoller Zusammenarbeit mit den zuständigen Aufsichtsbehörden die Höhe eines fälligen Bußgeldes erheblich reduziert werden kann. Das Bußgeld für die AOK Baden-Württemberg wäre sicherlich auch trotz Corona-Pandemie erheblich höher ausgefallen, wäre nicht angemessen auf den aufgedeckten Datenschutzverstoß reagiert worden.
10. Dezember 2019
Gegen die Telekommunikationsfirma 1&1 Telecom GmbH hat der Bundesdatenschutzbeauftragte Ulrich Kelber ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.
Als Grund nannte Kelber das Fehlen von “hinreichenden technisch-organisatorischen Maßnahmen” (TOMs) zum Schutz von Kundendaten. Die zum Konzernverbund gehörenden Mail-Anbieter Web.de und GMX sind davon jedoch nicht betroffen.
Die Aufsichtsbehörde kritisierte das unzureichende Authentifizierungsverfahren der 1&1 Telecom GmbH bei telefonischen Anfragen über die Kundenhotline. Die Angabe von Namen und Geburtsdatum hätten ausgereicht, um weitreichende personenbezogene Kundendaten zu erhalten. Dies stelle einen Verstoß gegen Artikel 32 DSGVO dar, da personenbezogene Daten nicht systematisch geschützt wurden und ein hohes Risiko für den gesamten Kundenbestand entstanden sei.
Das Unternehmen reagierte umgehend indem es den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker absicherte. Darüber hinaus bemühe man sich ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren einzuführen.
Aufgrund dieses kooperativen Verhaltens der 1&1 Telecom GmbH bewege sich die Strafe noch im unteren Rahmen des Möglichen.
Gleichzeitig verhängte die Aufsichtsbehörde gegen einen weiteren Telekommunikationsanbieter, namentlich die Firma Rapidata, ein Bußgeld in Höhe von 10.000 Euro wegen eines Verstoßes gegen Artikel 37 DSGVO.
Die 1&1 Telecom GmbH hat inzwischen angekündigt, gegen den “absolut unverhältnismäßigen” Bußgeldbescheid klagen zu wollen. Es habe sich um einen Einzelfall aus dem Jahr 2018 gehandelt.
