Datenschutz Recht2011 ging das Ereig­nis als bis­her größ­te Daten­pan­ne der Geschich­te durch die Medi­en (wir berich­te­ten). Hackern gelang es, über 75 Mil­lio­nen Kun­den­da­ten aus dem Sony Netz­werk zu ent­wen­den, dar­un­ter Namen, Anmel­de­da­ten und Zah­lungs­an­ga­ben. In wei­te­ren nach­fol­gen­den Hacker-Atta­cken wur­den wei­te­re Mil­lio­nen Daten­sät­ze ent­wen­det mit teil­wei­se noch aus­führ­li­che­ren Nutzerangaben.

Das Kri­sen­ma­nage­ment des Kon­zern war durch­aus als sub­op­ti­mal ein­zu­stu­fen — sie­he Bericht. Auf­grund des Fir­men­sit­zes in Japan wog man sich jedoch in Sicher­heit vor der Ver­fol­gung durch die Schutz­be­hör­den. Doch damit ist nun Schluss. Was nicht nur zahl­rei­che Poli­ti­ker und Daten­schüt­zer, son­dern auch gera­de Kun­den von Sony gefor­dert haben, hat die bri­ti­sche Daten­schutz­be­hör­de nun in die Tat umge­setzt. Sie ver­häng­te eine Geld­stra­fe in Höhe von 300.000 Euro, gegen das Unter­neh­men. Begrün­dung: Wer für so vie­le sen­si­blen Daten mit Miß­brauchs­po­ten­ti­al ver­ant­wort­lich ist, muss dem Schutz die­ser Daten obers­te Prio­ri­tät einräumen.

Sony hat Wider­stand gegen die Stra­fe ange­kün­digt, schließ­lich sei man “Opfer” einer kri­mi­nel­len Atta­cke gewor­den. Das Unter­neh­men blen­det dabei aus, dass es selbst erst durch Män­gel in der IT Infra­struk­tur (schwa­che Pass­wör­ter, feh­len­de Sicher­heits­patches) die Mög­lich­keit für die­se mehr­fa­chen Angrif­fe geschaf­fen hat. The­ma ver­fehlt, Sechs, setzen!

Fra­gen Sie doch Ihren Datenschutzbeauftragten

Ihr Daten­schutz­be­auf­trag­ter muss kein IT Pro­fi sein. Er wird jedoch aus­rei­chend Fach­wis­sen mit­brin­gen, um unter ande­rem auch auf Sicher­heits­lü­cken durch schwa­che Pass­wör­ter oder nicht zeit­na­he /​ feh­len­de Sicher­heits­patches kon­se­quent hin­zu­wei­sen. Lösun­gen las­sen sich meist unkom­pli­ziert durch tech­ni­sche und /​ oder orga­ni­sa­to­ri­sche Maß­nah­men her­bei­füh­ren und das Schutz­ni­veau wei­ter erhö­hen. Sei­en Sie schlau­er und spre­chen Sie mit Ihrem Daten­schutz­be­auf­trag­ten. Ver­mei­den Sie Daten­pan­nen und die damit ver­bun­de­nen Buß­gel­dri­si­ken. Sie haben kei­nen Daten­schutz­be­auf­trag­ten? Wir hel­fen ger­ne weiter.

aboutpixel.de / Dead End (c) Adrian Palinski

Irr­tü­mer im Datenschutz

Will­kom­men zum ers­ten Teil unse­rer Serie “Irr­tü­mer im Daten­schutz”. Daten­schutz ist in aller Mun­de, doch kaum jemand kennt das dahin­ter­ste­hen­de Bun­des­da­ten­schutz­ge­setz (BDSG). Dabei ist das Daten­schutz­ge­setz auf Bun­des­ebe­ne nicht mehr das Jüngs­te, exis­tiert es doch bereits seit 1977.

Erstaun­li­cher­wei­se herrscht über das The­ma Daten­schutz in der Pra­xis meist ein risi­ko­rei­ches Halb­wis­sen. Die Exis­tenz oder die Inhal­te des BDSG sind sel­ten kon­kret bekannt, Auf­klä­rung sei­tens des Gesetz­ge­bers zu die­sem The­ma erfolgt bedau­er­li­cher­wei­se eben­falls kei­ne. Unter­neh­men und Unter­neh­mer sind auf sich allei­ne gestellt, wenn es um die recht­li­che Aus­ein­an­der­set­zung mit dem The­ma Daten­schutz und des­sen kon­kre­te (vor­ge­schrie­be­nen) Maß­nah­men im Betrieb geht. Was Wun­der, wenn Daten­schutz im Tages­ge­schäft einen gerin­gen Stel­len­wert einnimmt.

Es kann teu­er werden

Im Jahr 2009  hat der Gesetz­ge­ber die Stra­fen und Sank­tio­nen für Nicht­ein­hal­tung der gesetz­li­chen Daten­schutz­vor­schrif­ten durch Unter­neh­men ver­schärft. Kon­kret wer­den die­se in § 43 BDSG Buß­geld­vor­schrif­ten und § 44 BDSG Straf­vor­schrif­ten ähn­lich dem aus der Stra­ßen­ver­kehrs­ord­nung bekann­ten Buß­geld­ka­ta­log auf­ge­lis­tet. Neben Auf­la­gen durch die Lan­des­da­ten­schutz­be­hör­den kön­nen Unter­neh­mer und Unter­neh­men schnell einem Buß­gel­dri­si­ko von bis zu 300.000 Euro aus­ge­setzt sein — und das sogar ganz ohne Daten­pan­ne. Unwis­sen­heit schützt auch hier vor Stra­fe nicht.

“Daten­schutz und Daten­schutz­ge­setz betref­fen mein Unter­neh­men über­haupt nicht”

Weit gefehlt, denn in jedem Unter­neh­men wird für gewöhn­lich mit per­so­nen­be­zo­ge­ne Daten han­tiert (der Gesetz­ge­ber spricht von Erhe­ben, Ver­ar­bei­ten und Nut­zen). Sind es nicht die Daten von Kun­den und Geschäfts­part­nern, so exis­tie­ren doch zumeist noch Mit­ar­bei­ter­da­ten im Unter­neh­men — und die­se gel­ten recht­lich als “sen­si­tiv” und damit beson­ders schüt­zens­wert. Doch schau­en wir auf das Bundesdatenschutzgesetz:

Bereits § 1 BDSG Zweck und Anwen­dungs­be­reich des Geset­zes macht klar, was das Daten­schutz­ge­setz schützt und wen es betrifft.

(1) Zweck die­ses Geset­zes ist es, den Ein­zel­nen davor zu schüt­zen, dass er durch den Umgang mit sei­nen per­so­nen­be­zo­ge­nen Daten in sei­nem Per­sön­lich­keits­recht beein­träch­tigt wird.

(2) Die­ses Gesetz gilt für die Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten durch

3. nicht-öffent­li­che Stel­len, soweit sie die Daten unter Ein­satz von Daten­ver­ar­bei­tungs­an­la­gen ver­ar­bei­ten, nut­zen oder dafür erhe­ben oder die Daten in oder aus nicht auto­ma­ti­sier­ten Datei­en ver­ar­bei­ten, nut­zen oder dafür erhe­ben, es sei denn, die Erhe­bung, Ver­ar­bei­tung oder Nut­zung der Daten erfolgt aus­schließ­lich für per­sön­li­che oder fami­liä­re Tätigkeiten.

Betrach­ten wir die Defi­ni­ti­on nicht-öffent­li­cher Stellen:

§ 2 Öffent­li­che und nicht-öffent­li­che Stellen

(4) Nicht-öffent­li­che Stel­len sind natür­li­che und juris­ti­sche Per­so­nen, Gesell­schaf­ten und ande­re Per­so­nen­ver­ei­ni­gun­gen des pri­va­ten Rechts, soweit sie nicht unter die Absät­ze 1 bis 3 fal­len. Nimmt eine nicht-öffent­li­che Stel­le hoheit­li­che Auf­ga­ben der öffent­li­chen Ver­wal­tung wahr, ist sie inso­weit öffent­li­che Stel­le im Sin­ne die­ses Gesetzes.

Somit ist klar, die Annah­me “Daten­schutz und Daten­schutz­ge­setz betref­fen mein Unter­neh­men über­haupt nicht” gehört ins Reich der Mythen und Irr­tü­mer! Soll­ten Sie bis­her mit Ihrem Unter­neh­men (auch als Ein-Mann-Betrieb) nach die­ser Fehl­ein­schät­zung agiert haben, lohnt ein Blick in § 43 ff BDSG zwecks Iden­ti­fi­ka­ti­on der Buß­gel­dri­si­ken, denen Sie sich und Ihrem Unter­neh­men aus­ge­setzt haben.

Licht am Horizont

Bevor Sie sich nun selbst in die juris­ti­schen Untie­fen des Bun­des­da­ten­schutz­ge­set­zes stür­zen und Akti­vi­tä­ten ent­wi­ckeln, fra­gen Sie ein­fach den Fach­mann — a.s.k. Daten­schutz. Mit­tels stan­dar­di­sier­ter Prüf- und Audi­tie­rungs­ver­fah­ren iden­ti­fi­zie­ren wir gemein­sam mit Ihnen schnell, unbü­ro­kra­tisch und zuver­läs­sig die not­wen­di­gen Maß­nah­men, die für eine geset­zes­kon­for­me Umset­zung des Daten­schut­zes in Ihrem Unter­neh­men sor­gen. Selbst­ver­ständ­lich unter­stüt­zen wir Sie eben­falls aktiv bei der inter­nen Umset­zung und betreu­en Sie im Anschluß als sog. exter­ner Daten­schutz­be­auf­trag­ter, wenn die Über­prü­fung das Vor­lie­gen einer Bestell­pflicht ergibt.

Ver­trau­en Sie lang­jäh­ri­ger Erfah­rung aus der bun­des­wei­ten Bera­tung und Betreu­ung klei­ner und gro­ßer Unter­neh­men aus den unter­schied­lichs­ten Bran­chen und pro­fi­tie­ren Sie von die­sem über­grei­fen­den Know-How.

Nut­zen Sie ein­fach unse­ren Rück­ruf-Ser­vice, wir mel­den uns garan­tiert! Oder for­dern Sie doch gleich Ihr unver­bind­li­ches Ange­bot für einen exter­nen Daten­schutz­be­auf­trag­ten an.


Lesen Sie hier die ande­ren Tei­le der Serie “Irr­tü­mer im Datenschutz”:

 

 

Bild­nach­weis: about​pi​xel​.de /​ Dead End © Nacht­schreck

Die Easy­cash GmbH zahl­te für die unbe­rech­tig­te Wei­ter­ga­be von Kon­to­da­ten — sie­he “Easy­cash sam­melt Daten von EC-Kar­ten­in­ha­bern zwecks Bewer­tung der Zah­lungs­fä­hig­keit” und “Ham­bur­ger Daten­schüt­zer stellt Straf­an­trag gegen easy­cash Loyal­ty Solu­ti­ons” — ein Buß­geld in Höhe von 60.000 Euro.

Der zustän­di­ge Daten­schutz­be­auf­trag­te von Nord­rhein-West­fa­len, Ulrich Lep­per kom­men­tiert sein Vor­ge­hen: “Wer Zah­lungs­vor­gän­ge qua­si als Treu­hän­der für Ein­zel­han­dels­un­ter­neh­men abwi­ckelt, muss beson­ders sorg­fäl­tig mit die­sen Daten umge­hen. Er darf so sen­si­ble Daten über Zah­lungs­ver­hal­ten und Kon­to­ver­bin­dun­gen, die durch­aus auch Pro­fil­bil­dun­gen erlau­ben wür­den, nicht für ande­re Zwe­cke an Drit­te über­mit­teln. Des­we­gen muss­te ich hier einschreiten.”

Die Daten hat­te Easy­cash an die in Ham­burg ansäs­sige Fir­ma easy­cash Loy­alty Solu­ti­ons als Schwes­ter­un­ter­neh­men ver­mit­telt, das Kun­den- und Bonus­pro­gram­me anbie­tet, und die Daten sta­tis­tisch aus­wer­te­te. Easy­cash wickelt im Auf­trag von Ein­zel­händ­lern EC-Kar­ten­zah­lun­gen ab und ver­fügt dar­aus über zahl­rei­che Daten­sät­ze über Kar­ten­zah­lungs­vor­gän­ge. An das Schwes­ter­un­ter­neh­men gab Easy­cash die Daten von rund 400.000 Zah­lungs­vor­gän­gen weiter.

Nach Anga­ben von Lep­per zeig­te sich Easy­cash ein­sich­tig und koope­ra­tiv. Das Buß­geld sei bereits bezahlt.

Quel­len:

Hilf­rei­che Datenschutz-Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sen­de Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gi­ge Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­na­re.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

Nur nicht drän­geln, jeder darf ein Mal

Das Behör­den vor Daten­schutz­pan­nen nicht gefeit sind, zeigt das Land Baden-Würt­tem­berg und bringt etwas Abwechs­lung in die Lis­te aktu­el­ler Ver­ur­sa­cher von Datenpannen.

Der Lan­des­da­ten­schutz­be­auf­trag­te nahm dazu heu­te öffent­lich auf sei­ner Web­sei­te Stel­lung.

Frei­zü­gig­keit? Nicht bei der Steu­er­be­mes­sung, jedoch bei der Datenübermittlung

Kfz-Steu­er­pflich­ti­ge Bür­ger trau­ten ihren Augen nicht. Der Abbu­chungs­text der fäl­li­gen Kfz-Steu­er auf dem Kon­to­aus­zug ent­hielt neben den übli­chen Anga­ben wie Namen des Steu­er­pflich­ti­gen, Kfz-Kenn­zei­chen und Steu­er­sum­me noch wei­te­re Details parat: Anga­ben zu Steu­er­num­mern und Umsatz­steu­er ande­rer Bür­ger und Unter­neh­men sowie zur Religionszugehörigkeit.

Feh­len­de Rechtsgrundlage

Kei­ne noch so wohl­wol­len­de Bewer­tung des Vor­gangs wird eine recht­li­che Legi­ti­ma­ti­on die­ser umfas­sen­den Daten­über­mitt­lung an die mit dem Last­schrift­ver­fah­ren beauf­trag­ten Kre­dit­in­sti­tu­te her­vor­brin­gen. Die Über­mitt­lung fand in der Zeit vom 17. Juni bis 20. Juni 2011 statt. Das Last­schrift­ver­fah­ren wur­de umge­hend gestoppt.

Die Soft­ware ist schuld

Der Übel­tä­ter war schnell gefun­den. Nach dem Update der genutz­ten Soft­ware ist der Feh­ler auf­ge­tre­ten. Im Umkehr­schluß bedeu­tet dies jedoch, die Ver­ant­wort­li­chen haben Ihre Kon­troll­funk­ti­on nicht rich­tig wahr­ge­nom­men. Soft­ware­ak­tua­li­sie­run­gen sind vor dem Ein­spie­len in Pro­duk­tiv­sys­te­me aus­führ­lich und gewis­sen­haft zu tes­ten. Einer­seits wer­den dadurch Sicher­heits­ri­si­ken für die Sys­te­me sowie Daten­ver­lust und letzt­end­lich auch sol­che Daten­pan­nen ver­mie­den. Sys­te­me mit sen­si­blen Daten soll­ten stets  nach dem Mehr-Augen-Sys­tem geprüft werden.

Ver­meid­bar?

Feh­ler kön­nen jedem pas­sie­ren, alle Betei­lig­ten sind auch nur Men­schen. Von daher sind sol­che Pan­nen nie aus­zu­schlie­ßen. Jedoch kann das Risi­ko aktiv mini­miert wer­den. Wie? Das erklärt Ihnen ger­ne Ihr Daten­schutz­be­auf­trag­ter. Sie haben kei­nen? Dann spre­chen Sie uns an, bevor Sie bei einer mög­li­chen Bestell­pflicht auch ganz ohne Daten­pan­nen einem berächt­li­chen Buß­gel­dri­si­ko aus­ge­setzt sind.

Update

Zu die­sem Bei­trag erreich­te uns eine Email-Anfra­ge, die wir ger­ne öffent­lich ohne Nen­nung des Anfra­gen­den beant­wor­ten. Die Fra­ge lau­te­te knapp: “Wie­so müs­sen Behör­den kei­ne Buß­gel­der bezah­len, wenn gegen Daten­schutz­be­stim­mun­gen ver­sto­ßen wird?”

Ohne auf recht­li­che Hin­ter­grün­de ein­ge­hen zu wol­len, wer­fen wir einen Blick auf das Rech­te-Tasche-Lin­ke-Tasche-Prin­zip. Eine Behör­de als öffent­li­che Ein­rich­tung  wür­de das Buß­geld aus der Staats- oder Lan­des­kas­se (je nach Ebe­ne) in die Staats- oder Lan­des­kas­se bezah­len. Wo wür­de da der ange­dach­te Straf­cha­rak­ter bleiben?

Bereits in einem Blog­bei­trag vom 12.11.2010 habe ich auf den Umstand hin­ge­wie­sen, daß Stan­des­re­ge­lun­gen oder Geset­ze das Bun­des­da­ten­schutz­ge­setz nicht zwin­gend erset­zen. Hin­ter­grund war und ist die regel­mä­ßig wie­der­keh­ren­de Fehl­ein­schät­zung sei­tens Anwäl­ten, Ärz­ten und Steu­er­be­ra­tern, daß ihr “Stan­des­recht” die vor­ge­schrie­be­nen Rege­lun­gen des Bun­des­da­ten­schutz­ge­setz (BDSG) obso­let machen würde.

Die­se Pro­ble­ma­tik hat nun eben­falls der Betrei­ber von www​.daten​schutz​be​auf​trag​ter​-info​.de in einem aktu­el­len, lesens­wer­ten Bei­trag auf­ge­nom­men: Wenn der Daten­schutz Ärz­te und Rechts­an­wäl­te zum Schwei­gen bringt. Anschau­lich wird hier noch­mals die Rechts­la­ge nach­voll­zieh­bar dar­ge­stellt: Schwei­ge­pflicht ergänzt Daten­schutz, ersetzt die­sen jedoch nicht. Die Fol­gen — abge­se­hen vom Image­ver­lust und dro­hen­den Man­dan­ten-/Pa­ti­en­ten­schwund — sind emp­find­li­che Buß­gel­der in der Kate­go­rie bis 300.000 EUR. Ger­ne wird bei der gan­zen Dis­kus­si­on dann die mög­li­cher­wei­se vor­lie­gen­de Bestell­pflicht eines Daten­schutz­be­auf­trag­ten über­se­hen. Ein zusätz­li­cher Ver­stoß aus der Kate­go­rie bis 50.000 EUR.

Wel­che Maß­nah­men aus dem BDSG bis hin zur Bestel­lung eines Daten­schutz­be­auf­trag­ten für Ihre Kanz­lei, Ihre Pra­xis oder Ihr Büro not­wen­dig sind, kann der a.s.k. Daten­schutz Quick-Check beant­wor­ten. Eine über­schau­ba­re Inves­ti­ti­on, die Ihnen, Ihren Kun­den und deren meist sen­si­blen Daten zu Gute kommt.

Spre­chen Sie mich an!