Datenschutzverletzungen 2021 Die größten Datenpannen 2021

Ein Blick auf die Höhe der verhängten Bußgelder verdeutlicht, dass es sich um schwerwiegende Datenschutzverletzungen handeln müsste. Betrachtet man zudem die Zahl der 2021 bekannt gewordenen Datenpannen, sollten Unternehmen ihre Datenschutz-Prozesse hinterfragen.

Anbieter zum Thema

Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden.
Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden.
(© Ar_TH - stock.adobe.com)

Blickt man auf die Datenschutzverletzungen im Jahr 2021 zurück, stellt sich zu Recht die Frage, welche Datenpannen zu beklagen waren und welche davon besonders schwerwiegend waren. Dabei geht es weniger um Sensationen als vielmehr darum, aus den Vorfällen zu lernen.

Zum einen sollten sich Unternehmen immer fragen, ob auch im eigenen Betrieb Datenschutzverletzungen passieren könnten. Man sollte die Datenpannen Dritter zum Anlass nehmen, die eigenen Datenschutzkonzepte zu hinterfragen. Nicht zuletzt sollte man die Berichte über Datenschutzverletzungen nutzen, um die Unterweisungen für die eigenen Beschäftigten möglichst anschaulich zu machen.

Doch wann ist eine Datenschutzverletzung schwerwiegend? Die Datenschutz-Grundverordnung (DSGVO) definiert eine „Verletzung des Schutzes personenbezogener Daten“ als eine „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Wie folgenreich eine Datenpanne ist, hängt von vielen Faktoren ab – von der Zahl der Betroffenen, der Menge und Kategorie der betroffenen Datensätze, der Art der Verletzung, ob die Daten zerstört oder ob sie missbraucht wurden.

Es zeigt sich bereits, dass man nicht nur auf die Höhe eines möglichen Bußgeldes schauen sollte, auch wenn die zuständige Aufsichtsbehörde natürlich auch die zuvor genannten Faktoren prüft, wenn es um die Bemessung des Bußgeldes oder um andere Sanktionen geht.

In den Medien oder „nur“ im Fokus der Aufsichtsbehörden

Wer nun an die zahlreichen Schlagzeilen im Jahr 2021 denkt, könnte eine Vielzahl von Datenschutzverletzungen übersehen, die in Medien nicht beachtet wurden, die aber im Fokus der Aufsichtsbehörden standen.

Nimmt man die Vorfälle, über die die Aufsichtsbehörden ausführlicher berichtet haben, sind darunter auch die Fälle, die zu Schlagzeilen geführt haben.

Fall 1: Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen forderte eine Geldbuße über 10,4 Millionen Euro von Notebooksbilliger.de; das Unternehmen hatte mindestens zwei Jahre lang seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag, so die Aufsicht. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche. „Wir haben es hier mit einem schwerwiegenden Fall der Videoüberwachung im Betrieb zu tun“, sagte die LfD Niedersachsen, Barbara Thiel. „Unternehmen müssen verstehen, dass sie mit einer solch intensiven Videoüberwachung massiv gegen die Rechte ihrer Mitarbeiterinnen und Mitarbeiter verstoßen“.

Fall 2:Die Vattenfall Europe Sales GmbH (Vattenfall) hat zwischen August 2018 und Dezember 2019 bei Vertragsanfragen für Sonderverträge, die mit besonderen Bonuszahlungen verbunden waren, routinemäßig überprüft, ob die Kundinnen und Kunden ein „wechselauffälliges Verhalten“ zeigten, so der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI). Diese Überprüfung sollte verhindern, dass Kundinnen und Kunden solche Bonus-Verträge nicht so oft abschließen. Um das zu überprüfen, nutzte Vattenfall Rechnungen aus früheren Vertragsbeziehungen mit diesen Kundinnen und Kunden, die nach steuer- und handelsrechtlichen Vorgaben ohnehin für bis zu zehn Jahre aufbewahrt werden müssen. Für die Kundinnen und Kunden war aber nicht erkennbar, dass ein solcher Datenabgleich stattfand.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) kam nach einer Prüfung des Vorgangs zu dem Ergebnis, dass Vattenfall durch dieses Vorgehen gegen die datenschutzrechtlichen Transparenzpflichten (Art. 12, 13 DSGVO) verstieß, da die Kundinnen und Kunden über den Datenabgleich nicht ausreichend informiert wurden. Betroffen waren insgesamt rund 500.000 Personen. Der HmbBfDI verhängte daraufhin im September 2021 ein Bußgeld von über 900.000 Euro gegen Vattenfall.

Fall 3: 2021 sind zudem verschiedene Fälle von Datenpannen, Leaks und Datenschutzverstößen großer internationaler Digitalkonzerne bekannt geworden. Die Folgen stellten sich zum Teil als gravierend dar und reichten von Phishing-Betrugsversuchen über Mobbing bis hin zu einem Fall von Selbsttötung. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz, Professor Dieter Kugelmann, erklärte: „Die aktuellen Fälle zeigen zum Teil auf dramatische Weise, welchen Stellenwert Datenschutz und Datensicherheit in digitalen Zeiten haben müssen. Wenn nicht auf allen Seiten mehr für den Datenschutz getan wird, könnten immer mehr Bürgerinnen und Bürger Opfer von Betrugsversuchen, Cyber-Attacken und Mobbing werden.“

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Sicherheitslücken und Datenschutzverletzungen

Datenschutzverletzungen sollten aber nicht nur ernst genommen werden, wenn es zu Bußgeldverfahren gekommen ist. 2021 gab es auch Fälle von möglichen Datenpannen, die mit prominenten Sicherheitslücken in Verbindung standen und (bislang) zu keinen Sanktionen geführt haben.

Ein Beispiel waren die Sicherheitslücken in der weit verbreiteten Mail-Infrastruktur „Microsoft Exchange Server“. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) bat zum einen darum, die umgehende Installation der verfügbaren Sicherheits-Patches vorzunehmen. Dieser dringliche Hinweis beruhte auf der Verpflichtung zur Gewährleistung der Sicherheit der Verarbeitungstätigkeiten gemäß Artikel 32 DSGVO von den Verantwortlichen gefährdeter Systeme.

Dr. Lutz Hasse, Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit, empfiehlt zu möglichen Datenpannen: „Bitte prüfen Sie auch, ob bereits Schadcodes installiert wurden. Festgestellte Datenschutzverletzungen sind dem TLfDI gemäß Artikel 33 der DSGVO zu melden. Des Weiteren ist zu kontrollieren, ob die betroffenen Personen zu benachrichtigen sind“.

Beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz waren wegen Sicherheitslücken auf Microsoft Exchange-Servern innerhalb kurzer Zeit ein Dutzend Nachfragen sowie Meldungen von Verletzungen des Schutzes personenbezogener Daten (Datenpannen-Meldungen) nach Artikel 33 DSGVO eingegangen.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg erklärte zum gleichen Sachverhalt: „Wird bei der Überprüfung der Systeme die Ausnutzung der Schwachstelle festgestellt, so ist grundsätzlich von einer Meldepflicht an die Aufsichtsbehörde auszugehen. Nur in atypischen Konstellationen wird kein Risiko für die Rechte und Freiheiten von betroffenen Personen bestehen. Ein Verzicht auf die Meldung sollte begründet und dokumentiert werden.“

Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen (LfDI) hatte ebenfalls eine signifikante Anzahl entsprechender Meldungen zu Verletzungen des Schutzes personenbezogener Daten erhalten. Sie wies alle Betreiberinnen und Betreiber von Microsoft Exchange Server-Infrastrukturen darauf hin, dass – soweit noch nicht geschehen – umgehend Maßnahmen zum Schließen der Sicherheitslücken und zur Prüfung auf Kompromittierung der Systeme erfolgen müssen.

Zudem wies sie auf die Pflicht der Verantwortlichen (Betreiber) hin, nach Artikel 33 der DSGVO Verletzungen des Schutzes personenbezogener Daten zu melden. Dies gilt bereits dann, wenn eine Kompromittierung erfolgt ist – auch dann, wenn kein Abfluss personenbezogener Daten erfolgt ist oder noch nicht festgestellt werden konnte.

Aktuelles Beispiel: Schwachstelle in Log4j

Ein weiteres Beispiel aus 2021: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) informierte über den akuten Handlungsbedarf bezüglich der Schwachstelle in der Java-Bibliothek Log4j (Log4j). Beim Vorliegen der Schwachstelle in Log4j ist die Sicherheit der Verarbeitung gemäß Art. 32 DSGVO für die betroffenen Systeme und ggf. darüber hinaus nicht mehr in vollem Umfang gewährleistet. Es liegt in der Verantwortung der Verantwortlichen die Sicherheit der Verarbeitung wiederherzustellen, so die Aufsichtsbehörde.

Das Schließen der Schwachstelle sei hierbei nicht ausreichend. Die Verantwortlichen müssten zusätzlich überprüfen, ob es bereits zu erfolgreichen Angriffen gekommen ist. In diesem Fall sind weiterführende Maßnahmen zu ergreifen und zu prüfen, ob eine Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO beim HBDI erfolgen muss.

Es zeigt sich: Beispiele für Datenpannen gab es in 2021 leider mehr als genug. Nicht nur die Datenschutzverletzungen, die zu hohen Bußgeldern geführt haben, sollten als schwerwiegend angesehen werden. Auch bekannt gewordene Sicherheitslücken können zu Datenpannen und Meldepflichten führen, auch wenn es dazu noch keine Bußgeld-Verfahren geben sollte. Unterlässt man die Meldung nach DSGVO, kann dies selbst ein Verstoß nach DSGVO darstellen und zu Sanktionen führen.

(ID:47970761)