Patrick Grihn

Verstoß gegen TOMs kann teuer werden – Strafen gegen die DSGVO im Überblick

Photo by Glenn Carstens-Peters on Unsplash

Der Artikel 32 der Datenschutz-Grundverordnung (DSGVO) sieht die Sicherheit der Verarbeitung unter anderem nach dem “Stand der Technik” vor. Die Strafen auf Basis der DSGVO häufen sich. Meist werden diese wegen mangelnder technisch-organisatorischer-Maßnahmen (TOMs) verhängt.

Die erste Strafe in Deutschland

In Deutschland wurde die erste Strafe gegen den Online-Dienst “Knuddels” verhängt. Die Strafe betrug hierbei 20.000€. Viele übersehen dabei in der nachträglichen Betrachtung, dass die Behörde einige Punkte besonders gelobt hat:

  • Der Anbieter hat sehr gut mit der Behörde kooperiert
  • Der Anbieter hat einen sechsstelligen Betrag in die IT-Sicherheit investiert
  • Der Anbieter hat sehr viele Maßnahmen im Bereich der DSGVO ergriffen

Und trotz alle dem wurde diese hohe Strafe verhangen. Hoch vor allem, wenn man es in Verbindung zu anderen Bundesländern setzt.

Knuddels wurde angegriffen! Sie waren also nur indirekt ‘schuld’. Aber Sie hätten Maßnahmen ergreifen müssen (vorab)

Was viele auch nicht mitbekommen haben: Zwar wurde die Strafe wegen eines “Verstoßes gegen die DSGVO” verhangen, jedoch ist Ursache des ganzen Verfahrens ein Hackerangriff auf Knuddels, bei dem die Datenbank geklaut wurde.

Problem hierbei: Die Datenbank war nicht verschlüsselt. Und das ist nach dem Stand der Technik ein Verstoß gegen eben diesen Art. 32 DSGVO.

Gesundheitsdaten geklaut - 80.000€ Strafe

Ein relativ ähnlicher Fall ereignete sich erneut in Baden-Württemberg (wie auch Knuddels). Allerdings handelte es sich hier um Gesundheitsdaten nach Art. 9 DSGVO. Diese sind besonders zu schützen.

Auch hier wurde eine Datenbank abgegriffen, welche nicht nach dem Stand der Technik geschützt wurde.

Interessant auch hier, dass es sich nicht um einen Verstoß gegen Rechenschaftpflichten oder grobe Fehler gegen die DSGVO gehandelt hat, sondern um eben genau den Bereich, der vielen Menschen etwas ‘schwammig’ vorkommt: Die Technisch-Organisatorischen-Maßnahmen.

British Airways muss 200 Millionen Euro Strafe wegen Verstoß gegen die Sicherheit der Verarbeitung (TOMs) der DSGVO bezahlen

Und jetzt ist es passiert: Die höchste Strafe in Großbritannien und eine der höchsten Strafen in der EU wird gegen British Airways verhangen. Auch, wenn die Strafe noch nicht rechtskräftig ist, lohnt es sich, etwas genauer hinzuschauen, was passiert ist und warum die Strafe verhangen wurde.

Was waren die Ursachen?

  • Unzureichende Sicherung der Webseite
  • Mangelnde Technisch-Organisatorische-Maßnahmen
  • Abgriff von Personenbezogenen Daten, Kreditkartendaten, E-Mail Adressen und Adresse (durch Phishing/Umleitung auf Schadseite)

Direkt nachgelegt — 110 Mio. Euro für Marriott

Einen Tag nach der Bekanntgabe der Strafe gegen Britisch Airways hat die ICO auch die Strafe gegen Marriott bekanntgegeben. Wir haben den Fall schon länger beobachtet, da wir teilweise betroffen waren. Die Aufarbeitung bei Marriott bzw. der Starwood Alliance erschien uns als dürftig. Scheinbar hatte die Gruppe auch wenig Überblick über die konkreten Ausmaße des Datenklaus. Ärgerlich für Marriott war, dass sie die angegriffene IT Struktur im Zuge der Akquisition übernommen hatte und nicht selbst aufgebaut. Daher waren auch nicht die Gäste des Marriott selbst betroffen, sondern eben nur die Kunden der angeschlossenen Hotels.

Was waren die Ursachen?

  • Unzureichender Schutz der Kundendaten in der Datenbank
  • Unzureichendes Berechtigungskonzept bei Zugriffen
  • Gesammelte und unverschlüsselte Speicherung auch von Kreditkartendaten

Interessant ist auch hier, dass die Strafe vor allem auf die Sicherungsmaßnahmen des Art. 32 DSGVO abzielt und nicht auf Verstöße gegen die grundsätzliche Verarbeitung der Daten.

Die Urteile der ICO (British Airways & Marriott) sind zum Zeitpunkt dieses Artikels noch nicht rechtskräftig.

Schwarze Liste von Kundendaten (Sperrliste) – 50.000€ gegen №26 Bank

Etwas untergegangen, weil noch nicht rechtskräftig, war die Strafe gegen den Online-Banking-Anbieter №26 Bank in Berlin. Hier monierte die Datenschutzaufsicht eine Blacklist, in der Kunden aufgeführt waren, mit denen die Bank keine Geschäfte mehr anbieten möchte.

Zwar müssen und dürfen Banken aus Gründen des Geldwäschegesetzes und der Vorgaben der Bafin gewisse Listen führen, jedoch erschien die Liste von №26 als willkürlich. So fanden sich auch Nutzer auf der Liste, die der Bank augenscheinlich einfach “nicht gepasst” haben bzw. grundsätzlich ehemalige Kunden. Die Bank bestreitet dies und verweist sowohl auf die Vorgaben der Bafin wie auch des GWG und der Vertragsfreiheit in Deutschland.

Ursachen der Strafe

  • Ungerechtfertigte Verarbeitung von Daten (Verstoß gegen Art. 5 ff. DSGVO)

Fazit — Achtung bei Technisch-Organisatorischen-Maßnahmen

Einige Punkte der DSGVO haben sich relativ schnell durchgesetzt. Dies betrifft insbesondere:

  • das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Auftragsverarbeitungen und -verträge (Art. 28 DSGVO)
  • Checklisten zu Technisch-Organisatorischen-Maßnahmen (TOM - Art. 32 DSGVO)
  • Datenschutzerklärungen auf Webseiten (Art. 13 DSGVO)

Der Teufel steckt im Detail — Was häufig vernachlässigt wird

Anders als die o.g. Punkte ist es häufig bei Detailfragen, die nicht zwangsläufig nach aussen gerichtet sind. Die Angst der Unternehmen liegt häufig im Bereich der Beschwerden und insbesondere im Bereich der Abmahnungen. Dabei wird häufig vergessen, dass es Details gibt, die in der Praxis und den Strafen deutlich häufiger vorkommen.

Konkret sehen auch wir in der Praxis regelmäßig Defizite in:

  • Der Prüfung von Auftragsverarbeitern und insbesondere in der regelmäßigen Prüfung der TOMs
  • Den richtigen Aufbau der TOMs und die Angemessenheit der Schutzmaßnahmen am Stand der Technik
  • Die Dokumentation der getroffenen Maßnahmen auf Basis der Risikoeinschätzung
  • Den risikobasierten Ansatz in einzelnen Verfahren
  • Die unterschiedlichen Informationspflichten (z. B. für Mitarbeiter, Bewerber, Lieferanten, Kunden, Besuchern usw.) anstatt der reinen Datenschutzerklärung im Web

Stand der Technik

Auch der Stand der Technik wirft immer wieder Fragen auf. Dies würde jedoch den Rahmen sprengen. Hierzu werden wir zeitnah einen weiteren Artikel bereitstellen.

Empfehlung

  • Achten Sie auf den risikobasierten Ansatz bei Verfahren und TOM
  • Achten Sie auf den Stand der Technik
  • Schützen Sie Daten von Kunden, insbesondere bei Online-Verarbeitungen
  • Prüfen Sie Dienstleister und deren TOM. Als Verantwortlicher sind Sie im wahrsten Sinne des Wortes verantwortlich. Auch für Ihren Dienstleister.
  • Fragen Sie Ihren Datenschutzbeauftragten und lassen Sie diesen die TOM prüfen
  • Überlegen Sie, ob Sie einen externen Dienstleister mit Sachverstand zur Prüfung heranziehen, um eine neutrale Bewertung der Technisch-Organisatorischen-Maßnahmen zu erhalten und eventuelle Lücken aufzudecken