Archive for Dezember 15th, 2022

Doppelte Strafe: Verantwortlicher und Auftragsverarbeiter haften

Posted by Birgit von Maurnböck

Doppelte Strafe: Verantwortlicher und Auftragsverarbeiter haften

Das Unternehmen „Fortum Marketing and Sales“ wollte die Leistung seines Online-Nutzerportals erhöhen und beauftragte dafür den IT-Dienstleister „Pika“. Bei der Beauftragung geht noch alles mit „rechten Dingen“ zu, doch dann der Schock: Datenpanne! Wegen einer nicht ordnungsgemäß geprüften Datenbank fanden sich Kundendaten im Netz wieder und konnten ohne viel Aufwand kopiert werden. Dritte ließen sich diese Chance natürlich nicht entgehen und schöpften die Daten ab. Die Behörde strafte nicht nur den Auftragsverarbeiter, sondern auch den Verantwortlichen – und diesen sogar mit einer horrenden Summe von über einer Million Euro! Doch wie konnte das trotz existierenden Datenschutz- und IT-Richtlinien passieren? Und warum hafteten beide Unternehmen?

Das Problem

Im Zuge der vermeintlichen Verbesserung der technischen Infrastruktur Fortums wurden Änderungen an eben jener durchgeführt. Der IT-Dienstleister hatte zwar nicht nur unternehmenseigene Sicherheitsrichtlinien und vertraglich festgelegte Anforderungen von Fortum einzuhalten, bei der Anlegung der Kundendatenbank auf einem neuen Server wurde aber beides nicht beachtet. Weder war der Server ausreichend geschützt, noch wurde die Datenbank mit Dummy-Daten getestet. Die Datenbank wurde stattdessen sofort mit echten Kundendaten in Betrieb genommen, was sich als Fehler herausstellen sollte, da sich die Daten frei zugänglich im Netz wiederfanden. Und schlimmer noch: Pika informierte ihre Kunden nicht selbst über die Datenpanne. Das mussten zwei Internetnutzer übernehmen!

Die Behörde entscheidet

Fortum versuchte sich in der Untersuchung der Datenschutzbehörde mit dem Verweis auf ihre vertraglich festgelegten Anforderungen zu verteidigen, schließlich wurde der Meinung des Unternehmens nach die Datenpanne von ihrem Auftragsverarbeiter verursacht. Die polnische Datenschutzbehörde stellte aber fest, dass Fortum den Auftragsverarbeiter auf die Wirksamkeit von technischen und organisatorischen Maßnahmen zu prüfen hat. Und das fortlaufend. Fortum versäumte außerdem, die Einführung der Maßnahmen sicherzustellen, was die Behörde auch als Pflicht des Verantwortlichen sieht. Beide Firmen verstießen also gegen die DSGVO – Pika wegen der Nichtergreifung geeigneter Maßnahmen und Fortum, da sie vernachlässigten, (nicht) eingeführte Sicherheitsmaßnahmen zu überprüfen. Die Folge? Fast 1,9 Millionen Euro Strafe für Fortum Marketing and Sales und eine Strafe von über 55.000 Euro für Pika.

Praxistipps

• Prüfen Sie technische Maßnahmen auf ausreichende Sicherheit bei Ihren IT-Dienstleistern regelmäßig.
• Vertrauen Sie nicht blind auf die vertraglich zugesicherten technischen und organisatorischen Maßnahmen.
• Lassen Sie nachweislich neue IT-Systeme/Applikationen immer vor ihrer Einführung mit Dummy-Daten testen!
Und fragen Sie am besten uns, wenn Sie Fragen haben! 😉

53.154 € Strafe für eine vom Kunden selbst verursachte Datenpanne?

Posted by Birgit von Maurnböck

Wenn Sie unseren Newsletter regelmäßig lesen, werden Ihnen schon so manche Tipps geläufig sein, wie Strafen der Datenschutzbehörde vermieden werden können. Eine im November 2022 erlassene Entscheidung zeigt, dass Sie Datenpannen auch dann nicht auf die leichte Schulter nehmen sollten, wenn der Betroffene das Leck seiner Daten selbst herbeigeführt hat.

Was war passiert?

Ein Kunde schloss einen Vertrag mit einem Telekommunikationsunternehmen ab. Im Zuge dessen gab er seine E-Mailadresse an, um den Vertrag auch auf elektronischem Weg zu erhalten. Nachdem der Kunde seine Daten mit Unterschrift als richtig bestätigte, wurde der Vertrag automatisch an die angegebene Mailadresse geschickt. Im Nachhinein fiel dem Kunden auf, dass er bei Vertragsabschluss irrtümlich eine falsche E-Mailadresse angegeben hatte und meldete dies dem besagten Unternehmen. Bereits zu diesem Zeitpunkt hätte dem Unternehmen klar sein sollen, dass es zu einer Datenpanne gekommen war. Ein Verstoß der DSGVO war für das Unternehmen jedoch nicht erkennbar und es kam daher nicht auf die Idee den Vorfall der Datenschutzbehörde zu melden. Immerhin hatte der Kunde seine E-Mailadresse ja freiwillig mit dem Wissen angegeben, dass eine Kopie seines Vertrages an die von ihm angegebene und  als richtig bestätigte Adresse geschickt werden würde.

Inzwischen wandte sich der (dann falsche) Empfänger der E-Mail an die polnische Datenschutzbehörde, da ihm vom Telekommunikationsunternehmen der Vertrag zugeschickt wurde, der offensichtlich für eine andere Person mit demselben Namen bestimmt war. Der Vertrag enthielt personenbezogene Daten wie Name, Adresse, Telefonnummer, Personalausweisnummer und PESEL-Nummer (nationale Identifikationsnummer).

Die Behörde sah dies natürlich als Datenpanne und verhängte gegen das Unternehmen eine Strafe in der Höhe von umgerechnet 53.154 €.

Warum wurde das Unternehmen bestraft und wie hätte die Strafe vermieden werden können?

Die Tatsache, dass der Kunde selbst seine E-Mailadresse angegeben und auch bestätigt hatte, änderte nichts daran, dass es sich um eine Datenschutzverletzung mit hohem Risiko einer realistischen negativen Beeinträchtigung der Rechte und Freiheiten des Kunden handelte. Das Unternehmen hätte die falsche Email-Adresse auf keinen Fall mehr verwenden dürfen. Die Datenpanne hätte jedenfalls an die Datenschutzbehörde gemeldet werden müssen und auch der Kunde hätte über die Verletzung des Schutzes seiner Daten informiert werden müssen.

Erschwerend wertete die Datenschutzbehörde insbesondere die Art und den Inhalt der betroffenen Daten. Das Risiko einer Datenpanne und der soziale und wirtschaftliche Wert der Daten hätten dem Unternehmen bewusst sein müssen. Erschwerend war auch die Tatsache, dass keine Meldung an die Behörde erfolgte, obwohl das Unternehmen bereits zweimal, sowohl vom Kunden, als auch dem Empfänger des Vertrages, über die erfolgte Datenschutzverletzung informiert worden war.

Unsere Praxistipps bei Datenpannen

• Verständigen Sie unverzüglich (jedoch LÄNGSTENS binnen 72 Stunden) die zuständige Aufsichtsbehörde.
• Informieren Sie bei hohem Risiko die betroffene Person, auch wenn Sie davon ausgehen, dass sie schon von der Datenschutzverletzung Kenntnis hat.
• Kontaktieren Sie uns, wir unterstützen Sie bei Datenpannen 24/7 😉

Achtung bei Profiling!

Posted by Erich von Maurnböck

Akt 1: Die Strafe gegen die Hannoversche Volksbank

Stein des Anstoßes auch für den späteren Warnbrief der Landesbeauftragten für den Datenschutz (LfD) in Niedersachsen war ein Bußgeld, welches die LfD gegen die Hannoversche Volksbank verhängte. Und das hatte es in sich: 900.000 Euro!

Das Finanzinstitut wertete mittels eines sogenannten Smart-Data-Verfahrens Daten von aktuellen sowie früheren Kunden aus, um diesen gezieltere Werbung zukommen zu lassen. Dabei wurde das digitale Nutzungsverhalten ausgewertet – etwa das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Verwendung von Kontoauszugsdruckern sowie die Anzahl an Überweisungen im Online-Banking im Vergleich zu Besuchen in der Filiale. Ziel dieses Verfahrens war es, auf Grund der ermittelten Werte eine Aussage darüber zu treffen, ob ein Kunde mit hoher Wahrscheinlichkeit Interesse an einem bestimmten Produkt (z.B. Immobilienkredit, Kreditkarte, Wertpapiere, etc.) hat. Zusätzlich dazu wurden die Daten außerdem noch mit der Schufa (= ähnlich dem KSV) abgeglichen.

Nun ist Profiling durch die DSGVO nicht per se verboten. Es darf aber nur durchgeführt werden, wenn gemäß Art 22 Abs 2 DSGVO eine ausreichende Rechtsgrundlage vorliegt: (a).die (automatisierte) Profilbildung ist für die Erfüllung eines Vertrages erforderlich, (b.) eine nationale Rechtsvorschrift erlaubt es, (c.) die von Profiling betroffene Person gibt ihre ausdrückliche Einwilligung. So weit so schlecht, die Hannoversche Volksbank berief sich nämlich auf ihr „berechtigtes Interesse“ um eine Profilbildung der Kunden zu rechtfertigen. An „einem informierten und freiwilligen Opt-in führe aber kein Weg vorbei“ urteilte der LfD und verhängte das Bußgeld.

Akt 2: Die Warnung an die anderen Banken

Die Verhängung des Bußgeldes an die Hannoversche Volksbank nahm die LfD Niedersachsen zum Anlass, einen Präventivschlag in Form eines „Warnbriefes“ an die anderen 89 genossenschaftlichen Banken in Niedersachsen zu versenden, um eindringlich vor der Durchführung solcher Smart-Data-Verfahren zu warnen. Teilweise wird seitens der Banken zwar mit Einwilligungsformularen gearbeitet, laut LfD könnten die Kunden jedoch nicht frei(willig) und selbstständig den Umfang der Smart-Data-Verfahren steuern. Für die Profilbildung werden nämlich auch u.a. Informationen wie Bezug von sozialen Leistungen, Höhe der Fahrzeugkosten, Umsätze mit bspw. Amazon und PayPal, etc. für die Beantragung eines Kredits einbezogen.

Ein Auszug aus diesem „Warnbrief“ der LfD Niedersachsen, Barbara Thiel:

„Es muss sichergestellt sein, dass die betroffenen Personen die Kontrolle über die Verarbeitung dieser [Anm. Zahlungsverkehrsdaten] Daten ausüben können. Ich habe mich dazu entschieden, Warnungen auszusprechen, um die Banken davon abzuhalten, schwerwiegende Verstöße gegen das Datenschutzrecht zu begehen. Ich werde auch Vor-Ort-Kontrollen durchführen, um zu überprüfen, ob die Banken die Verfahren trotz der Warnung einführen.“

Akt 3: Unsere Praxistipps