Bußgeldkatalog
Die teuersten Datenschutz-Fails
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Debit-Card-System vs. Datenschutz
Der Finanzarm der britischen Supermarktkette Tesco wurde im Jahr 2018 mit einer Geldstrafe in Höhe von 21,2 Millionen Dollar belegt. Der Grund: Der Diebstahl von drei Millionen Dollar aus circa 9.000 Kundenaccounts im Jahr 2016. Die britische Finanzaufsichtsbehörde FCA bemängelte Defizite im Debit-Card-System des Unternehmens und seine Kontrollmechanismen gegen Finanzbetrug.
Schwarzer Datenschutz-Freitag
Der Retail-Riese Target erklärte sich 2017 im Rahmen einer außergerichtlichen Einigung bereit, 18,5 Millionen Dollar zu zahlen. Vier Jahre zuvor waren im Rahmen einer Black-Friday-Verkaufsaktion 40 Millionen Kreditkartendatensätze gestohlen worden. Im Laufe der Ermittlungen zu diesem Datenschutz-Debakel kam heraus, das persönliche Informationen von weiteren 70 Millionen Kunden ebenfalls entwendet wurden. Die Gesamtkosten dieses Datenlecks summieren sich auf über 200 Millionen Dollar.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Unversichert gegen Hacker
Der US-Versicherungskonzern Anthem wurde im Jahr 2015 Opfer eines Datendesasters, das 79 Millionen Kunden betraf. Persönliche und medizinische Informationen - inklusive Sozialversicherungsnummern - wurden dabei gestohlen. In der Konsequenz wurde das Unternehmen vom US-Gesundheitsministerium wegen des Verstoßes gegen die HIPAA-Richtlinie zur Zahlung von 16 Millionen Dollar verpflichtet. Das war angesichts der 115 Millionen Dollar, die für die Beilegung einer Sammelklage aufgewendet werden mussten, allerdings nur ein Tropfen auf den heißen Stein.
DSGVO-Bußgeld-Spitzenreiter
In Sachen DSGVO-Geldstrafen in Deutschland war von November 2019 bis Februar 2021 die Wohnungsgesellschaft Deutsche Wohnen führend. Die Datenschutzbehörde in Berlin verhängte eine Strafe in Höhe von 14,5 Millionen Euro, weil das Unternehmen kein Löschkonzept für nicht mehr gebrauchte persönliche Daten vorweisen konnte. Das führte dazu, dass die Deutsche Wohnen diverse persönliche Informationen von Kunden und Interessenten speicherte, auch wenn schon seit Jahren kein Mietverhältnis mehr Bestand hatte.
Noch bevor die DSGVO in Kraft trat, wurde das Unternehmen bezüglich seiner Datenpraktiken gerügt - im März 2019 war in dieser Hinsicht allerdings immer noch nichts passiert. Anfang 2021 entschied das Landgericht Berlin allerdings, dass der Bußgeldbescheid der Datenschutzbehörde Berlin unwirksam ist. Vom Tisch ist der Fall damit jedoch nicht, da die Behörde gegen die Einstellung des Verfahrens Beschwerde eingelegt hat.
1&1 macht Datenschutz-Fail
Nicht nur in Großbritannien und den USA werden Geldstrafen wegen Datenschutzverstößen verhängt. Der BfDI belegte den Webhoster 1&1 mit einer Geldstrafe in Höhe von 9,55 Millionen Euro, nachdem bekannt wurde, dass es für Personen ohne Berechtigung ein relativ leichtes Unterfangen darstellte, über die Service-Hotline an (fremde) Kundendaten zu gelangen. Die Behörden bemängelten die von 1&1 getroffenen technischen und organisatorischen Maßnahmen zum Schutz der Daten als unzureichend. 1&1 hat gegen die Entscheidung der Datenschutzbehörde Klage eingereicht - aus Sicht des Unternehmens sei das Bußgeld "unverhältnismaßig und verstößt gegen das Grundgesetz".
Das Landgericht Bonn entschied Ende 2020 im folgenden Gerichtsverfahren, die Geldbuße für das Unternehmen auf 900.000 Euro zu reduzieren, da die verhängte Strafe "nicht im Verhältnis zur Schwere des Verstoßes" stehe.
Der Datenschutz-Todesstoß
Normalerweise wird der Suchmaschinenriese Google eher mit Geldstrafen in Zusammenhang gebracht, wenn es um Monopolstellung oder Anti-Trust geht. 2020 musste der Konzern jedoch 7,5 Millionen Dollar bezahlen, um Sammelklagen wegen des mittlerweile eingestellten Google+-Netzwerks beizulegen. Eingestellt wurde Google+ auch, weil im Oktober 2018 bekannt wurde, dass ein Bug in der API den Zugriff auf private Daten erlaubt. Zwar ging der Konzern weiter davon aus, dass diese Schwachstelle nicht ausgenutzt wurde - musste aber zugeben, dass der Bug sich auf über 400 verschiedene Applikationen erstreckte, die die Google+ API nutzten. Damit waren potenziell mehr als 500.000 Nutzeraccounts betroffen.
Nur zwei Monate später musste Google einen weiteren Bug eingestehen - diesmal waren allerdings 52,5 Millionen User betroffen. Das führte dazu, dass Google+ rund vier Monate vor dem Plan eingestellt wurde. Im Jahr 2018 wurden zwei Sammelklagen eingereicht - die später "fusioniert" wurden, bevor es im Januar 2020 zu einer außergerichtlichen Einigung kam: Jeder Google+-Nutzer, der zwischen Januar 2015 und April 2019 von einem der Datenlecks betroffen war, erhielt zwischen fünf und zwölf Dollar.
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.