Derzeit wird unsere Wahrnehmung von besonders vielen wichtigen Themen beherrscht. Zwischen Inzidenzen, Lockdowns und Schutzmaßnahmen muss das Leben weitergehen. Gerade auch durch alternative Geschäftsprozesse, die durch Geschäftsschließungen oder Meldevorgaben eingeführt wurden, sind Dauerthemen wie die Datennutzung und die dazugehörige technische sowie organisatorische Absicherung nochmals wichtiger geworden.
Die Fehler der Anderen
Um Sie vor Fehlern zu bewahren, sensibilisieren wir Sie für häufige und naheliegende Versäumnisse, die im Ernstfall zu empfindlichen Sanktionen führen können. Dazu haben wir nachfolgend einen kurzen Überblick jüngster Bußgelder für Sie zusammengestellt und die Fälle kurz beschrieben.
- UK, £250,000 Bußgeld für das Versenden von 2,670,140 Werbe-SMS an Betroffene ohne deren Einwilligung. Innerhalb von 41 Tagen gingen über 10,000 Beschwerden bei der Aufsicht ein. Außerdem waren die Absenderinformationen irreführend und der Verantwortliche (Leads Work Limited) ließ die Marketingaktion weiterlaufen, selbst als die Aufsichtsbehörde den Fall schon untersuchte. Da der Verantwortliche auch nicht kooperativ und transparent gegenüber der Aufsicht agierte, erkannte diese keine mildernden Umstände.
- UK, £50,000 Bußgeld für Muscle Foods Limited, wegen des Versendens von ca. 135,651,627 Werbemails und 6,354,425 Werbe-SMS ohne Einwilligungen, über einen Zeitraum von 7 Monaten.
- Polen, ca. 30,000 EUR Bußgeld für die Verletzung von Meldepflichten. Eine unberechtigte Person erhielt von einem Mitarbeiter des Verantwortlichen (Enea S.A.) eine E-Mail, welche die persönlichen Daten von hunderten Personen enthielt. Die Daten wurden zwar in einem passwortgeschützten, jedoch unverschlüsselten E-Mail-Anhang übermittelt. Der Verantwortliche hatte den Vorfall zudem geprüft und dabei aber selbst keine Datenschutzverletzung festgestellt, die eine Benachrichtigung erfordert hätte.
- Polen, in zwei Fällen Bußgelder (ca. 4,645 EUR und ca. 22,140 EUR) wegen der Verletzung der Pflicht zur Kooperation mit der Aufsichtsbehörde. Zum einen ging es um eine Stellungnahme zu einer Beschwerde einer betroffenen Person, zum anderen um die Aufklärung eines Datenschutzvorfalls im Zusammenhang mit einem Internetportal und der Erfassung der verwendeten TOM.
- Polen, ca. 22,275 EUR Bußgeld wegen des Fehlens angemessener TOM. Eine Datenbank der Nationalen Schule für Justiz und Staatsanwaltschaft mit über 50.000 Betroffenen wurde innerhalb einer Schulungsplattform unbefugt weitergegeben. Weiterhin wurde festgestellt, dass ein Auftragsverarbeiter einbezogen, aber die Vorgaben des Art. 28 DSGVO nicht eingehalten wurden. Die unzureichende Bezeichnung der Betroffenen und der verarbeiteten Daten bzw. Datenkategorien und die fehlende Verpflichtung zur Weisungsgebundenheit wurden dem Verantwortlichen angelastet und der Auftragsverarbeiter ausdrücklich nicht für die Datenschutzverletzung verantwortlich gemacht.
- Deutschland, 14,5 Millionen EUR Bußgeld gegen die Deutsche Wohnen SE noch nicht rechtskräftig. Wegen unberechtigter Verarbeitung von Mieterdaten wurde das Bußgeld von der Berliner Aufsichtsbehörde verhängt. Das Landgericht Berlin hob das Bußgeld auf, weil es nicht den Anforderungen des Deutschen Verwaltungsrechts, an die genaue Bezeichnung des Beschuldigten und der konkreten Tathandlung entsprach. Die Aufsichtsbehörde legte Beschwerde ein und hofft auf eine Klärung des Verhältnisses von DSGVO und nationalem Straf- bzw. Ordnungswidrigkeitenrecht. Die Entscheidung wird insbesondere für Konzerne mit internationalen Strukturen von großer Bedeutung sein.
- Deutschland, 10,4 Millionen EUR gegen notebooksbiller.de wegen unzulässiger Videoüberwachung von Beschäftigten. Aufgrund eines generellen Verdachts wurden Beschäftigte an Arbeitsplätzen, in Verkaufsräumen, Aufenthaltsbereichen und im Lager über 2 Jahre hinweg per Video überwacht und die Aufnahmen lange gespeichert. Die Aufsichtsbehörde verwies darauf, dass mildere Mittel zumindest geprüft werden und konkrete Verdachtsfälle bestehen müssen.
- Zypern, 40,000 EUR Bußgeld gegen die dortige Strombehörde wegen eines automatischen Systems zur Überwachung der gesundheitsbedingten Abwesenheit seiner Mitarbeitenden. Dabei wurden ohne gültige Rechtsgrundlage personenbezogene Daten nach Art 6 und 9 DSGVO verarbeitet und den Mitarbeitenden nicht ihr Widerspruchsrecht gem. Art. 21 DSGVO eingeräumt. Dies wäre erforderlich gewesen, da die Entscheidungsfindung Auswirkungen auf die Gesamtbewertung der Mitarbeitenden hatte.
- Norwegen, ca. 24,000 EUR Bußgeld gegen einen unbenannten Verantwortlichen für die Weiterleitung einer E-Mail. Diese an einen Mitarbeiter adressierte E-Mail wurde an ein allgemeines Postfach des Unternehmens weitergeleitet. Dafür gab es keine Rechtsgrundlage und der Verantwortliche hatte keine Maßnahmen (TOM) implementiert, den Zugriff auf E-Mails zu regeln.
- Spanien, 9,000 EUR Bußgeld gegen einen unbenannten Verantwortlichen für die Veröffentlichung eines Fotos auf der Webseite ohne die Einwilligung der Betroffenen. Zudem wurden die Informationspflichten (Art. 13 DSGVO) bei Erhebung der Daten nicht erfüllt.
- Spanien, 200,000 EUR Bußgeld gegen Vodafone wegen Kontaktaufnahme via E-Mail trotz vorangegangenen Löschungsverlangens der Betroffenen. In Anbetracht der fehlenden Rechtsgrundlage im Einzelfall und zwei ähnlicher vorangegangener Fälle, wurde die Strafe verhängt. Da Vodafone einlenkte, wurde sie deutlich auf 120,000 EUR reduziert.
- Italien, 50,000 EUR Bußgeld gegen die Gesundheitsbehörde der Emilia-Romagna für unterlassene Sicherungsmaßnahmen (TOM). Krankenhausmitarbeiter haben Familienangehörige kontaktiert und ihnen Gesundheitsdaten mitgeteilt. Da es keine gültige Rechtsgrundlage gab, stellte dies eine Datenschutzverletzung dar. Der Verantwortliche hatte keine Maßnahmen zur Datenverwaltung und eventuellen Herausgabe getroffen.
- Italien, 30,000 EUR Bußgeld gegen eine Gesundheitsbehörde wegen der Verwendung eines Fingerabdrucksystems zur Anwesenheitskontrolle. Die Fingerabdrücke von 2,000 Mitarbeitenden wurden mit deren Personaldaten verknüpft und dazu genutzt, die Anwesenheitszeiten zu überwachen. Die verwendeten Einwilligungen der Mitarbeitenden waren zweifelhaft hinsichtlich ihrer Freiwilligkeit und der notwendigen Informationen an die Betroffenen. Die Aufsicht untersagte die weitere Datenverarbeitung.
- Italien, 300,00 EUR Bußgeld wegen unrechtmäßiger Verarbeitung personenbezogener Daten im Zusammenhang mit der Ausschüttung von COVID-19-Hilfen. Das Nationale Institut für Sicherheit (INPS) hatte Daten von Personen, die politische Positionen innehatten, mit Daten von Personen, die COVID-19-Hilfen beantragt hatten, abgeglichen. Dabei wurden Rechtmäßigkeit und Transparenz nicht ausreichend sichergestellt und eine angesichts der sensiblen Daten notwendige DSFA unterlassen.
Fazit
Aus der Zusammenstellung wird deutlich, dass die Kooperation mit der Aufsicht stets hohe Priorität hat. Die polnische Entscheidung zur Verantwortlichkeit für AV-Verträge ist für jeden Auftraggeber alarmierend, der sich auf die Dokumente der Dienstleister verlässt oder die entsprechenden Punkte ohne eigene Kontrolle vom Dienstleister ausfüllen lässt. Fehlende oder unzureichende Rechtsgrundlagen sind ein Klassiker, führen deshalb im Wiederholungsfall oder in Verbindung mit Daten nach Art. 9 DSGVO zu deutlich schärferen Maßnahmen der Aufsichtsbehörden. Die COVID-19-Pandemie machte viele Anpassungen und neue Perspektiven notwendig. Doch das Beispiel aus Italien zeigt eindrucksvoll, dass der Datenschutz durch die Pandemie nicht ausgesetzt wurde.
Stefan Effmert
Legal Advisor
Consultant Data Protection
Angesichts der Ausbreitung des Corona-Virus ist die momentane Lage vor allem durch Unsicherheit geprägt. Weltweit ergreifen Staaten alle sich bietenden Möglichkeiten, um ein besseres Bild der Situation zu bekommen. Einige Nationen, vor allem in Asien, setzen dabei auf das umfassende Tracking von Mobiltelefonen. Aus Sicht des Datenschutzes stellen sich hierzu verschiedene Fragen. Es mag sein, dass Bewegungsprofile generell Aufschluss über die Mobilität einer Gesellschaft geben können. In diesem Sinne hat auch der Bundesdatenschutzbeauftragte eine anonymisierte Auswertung von Mobilfunkdaten bereits durchgewunken. Wäre eine solche Maßnahme mit Personenbezug geeignet, um zuverlässig die Ausbreitung eines Virus in der physischen Wirklichkeit abzubilden? Schon aus technischen Gründen sind Zweifel angebracht. Erstens sind die Abfragen von Mobilfunkzellen in Bezug auf den Standort nicht ausreichend genau, um eine ansteckungsrelevante Distanz von 1,50 m abzubilden. Dies gilt wohl auch bei Nutzung von GPS, welches zwar im Meterbereich genauer arbeitet, aber dennoch nicht den physischen Kontakt zwischen zwei Personen abbilden kann, zumal es als satellitengestütztes System innerhalb von Gebäuden nicht zuverlässig funktioniert. Hinzu kommt die Frage, wie es sich bei Funklöchern, eingeschaltetem Flugmodus oder leerem Akku verhält.
Spätestens unter Berücksichtigung des damit verbundenen Aufwands stellt sich die Frage, ob es zur Zeit nicht sinnvollere, medizinische und hygienische Maßnahmen gibt, die den gewünschten Zweck besser erreichen können, als die Erstellung eingriffsintensiver Bewegungsprofile.
Gegen die freiwillige Installation einer entsprechenden App mit Personenbezug ist aus Sicht des Datenschutzes bei ausreichender Information der Nutzer nichts einzuwenden. Hierbei würde man versuchen, mittels (eingeschaltetem) Bluetooth-Nahbereichsfunk Aufschlüsse über Kontakte zu möglicherweise Infizierten zu erhalten. Diese könnten auch im Nachhinein genutzt werden, um gefährdete Kontaktpersonen ggf. in Quarantäne zu nehmen.
Fraglich ist aber, ob die technische Umsetzung in kurzer Zeit gut und sicher gelingen kann. In einem anderen Zusammenhang scheint dies nicht der Fall zu sein. Das Computermagazin c`t hat in der COVID-19-App der Telekom insbesondere in puncto Verschlüsselung schwerwiegende Sicherheitslücken aufgedeckt. Hierdurch waren unbefugte Zugriffe auf den Server möglich.
Gerade wenn es sich um sensible personenbezogene Daten handelt sind jedenfalls hohe Anforderungen an den Datenschutz und die informationstechnische Sicherheit von Apps zu stellen!
Auch die Aufsichtsbehörden haben hierzu bereits Stellung bezogen.
Wir wünschen allen direkt und indirekt von „Corona“ Betroffenen viel Kraft und Durchhaltevermögen!
Florian S.
Ass. Jur. | M.A.
Consultant für Datenschutz
Aufgrund des Auftretens des Coronavirus (COVID-19) erleben wir aktuell die schwerwiegendste Beeinträchtigung des öffentlichen wie auch wirtschaftlichen Lebens seit vielen Jahrzehnten. Wo Firmen den Betrieb nicht ganz einstellen schicken sie Mitarbeiter überstürzt ins oft nicht vorhandene Homeoffice. Wegbrechende Nachfrage und die veränderten Arbeitsbedingungen zwingen die Firmen zur Einleitung organisatorischer und technischer Notfallmaßnahmen. Kurz, vielerorts herrscht dieser Tage das Chaos.
Die Krise ruft selbstverständlich auch Cyberkriminelle auf den Plan, die sich die Unsicherheit der Menschen zunutze machen. Eine aktuelle Studie hat einen enormen Anstieg in den Registrierungszahlen von in Verbindung mit Corona stehenden Domains festgestellt, von denen viele offensichtlich für Phishing-Kampagnen verwendet werden. Die Studie berichtet ebenfalls von zahlreichen Cyberangriffen, bei denen COVID-19 als Aufhänger verwendet wurde.
Sensibilisieren Sie Ihre Mitarbeiter! Nachfolgende Beispiele zeigen die Vorgehensweise von Cyberkriminellen auf:
- Anfang Februar wurde eine E-Mail-Kampagne beobachtet, bei der verschiedenste Industrie-, Logistik-, oder Pharma-Unternehmen vor durch das Coronavirus verursachten Problem in Lieferketten gewarnt wurden. Details sollten dabei in einem angehängten Word-Dokument enthalten sein, bei dessen Öffnen sich Malware installierte.
- Mit dem Auftreten von Corona in Italien Anfang März waren Kriminelle mit einer E-Mail-Kampagne zur Stelle, bei der ein Dokument mit wichtigen Gesundheitsinformationen als Träger für einen Banking-Trojaner namens Trickbot Verwendung fand.
- Ein weiterer Banking-Trojaner wird in den letzten Wochen über verschiedenste Webseiten verbreitet, die Benutzer mit Informationen über das Coronavirus anlocken. Beispielsweise kann schon die Betrachtung eines Videos auf einer solchen Webseite genügen, um sich mit der Malware zu infizieren.
Auch das BSI meldet die ersten Fälle von COVID-19-Abzocke in Deutschland. So wurden in einer E-Mail-Kampagne Kunden der Sparkasse anlässlich Corona-bedingter Filialschließungen zur Überprüfung ihrer Kontaktdaten aufgefordert. Dabei war das Ziel, die Kunden auf eine manipulierte Seite zu locken, auf der die Kriminellen ebendiese Daten sammelten.
Wichtig:
Unternehmen und deren Mitarbeiter müssen nun trotz der angespannten Situation angesichts Corona einen kühlen Kopf bewahren und besondere Vorsicht walten lassen. Dies gilt insbesondere für
- den Umgang mit E-Mails oder Dateien aus ungewöhnlichen Quellen,
- dem Aufsetzen improvisierter Homeoffice-Lösungen und
- dem Konsum von Informationen über das Coronavirus.
Um es gar nicht erst so weit kommen zu lassen, empfehlen wir Unternehmen, ihre Mitarbeiter jetzt für das Thema zu sensibilisieren. Dies kann beispielsweise im Rahmen von kurzen Mitarbeiterschulungen oder simulierten Phishing-Kampagnen geschehen.
Die it.sec bietet Ihnen dazu in Kürze einen kostenlosen Webcast an, welches Sie zur Sensibilisierung ihrer eigenen Mitarbeiter verwenden können. Wir werden es gesondert auf unserer Homepage veröffentlichen.
Sollten Sie für Ihr Unternehmen individuelle Schulungen, zugeschnitten auf Ihre konkreten Anforderungen benötigen, kontaktieren Sie uns gerne unter nachfolgenden Kontaktdaten:
Dr. Dominic Breuker
Tel.: +49 731 20589-0
E-Mail: pentests@it-sec.de
Ihr Team der it.sec GmbH