Schutzlücken in der Cyber Security? Ein Bußgeldrisiko!

Während die Bundesregierung noch mit dem Entwurf des IT-Sicherheitsgesetzes 2.0 und die Anpassung der dortigen Bußgeldvorschriften ringt, haben die Datenschutzbehörden der EU-Mitgliedstaaten bereits auf Basis der EU-Datenschutzgrundverordnung („DSGVO“) Fakten gesetzt. Viele der seit Mai 2018 verhangenen Bußgelder wurden mit unzureichenden Cyber Security Maßnahmen begründet. Was war passiert?

Gemäß Art. 32 Abs. 1 DSGVO ist der Verantwortliche verpflichtet, hinreichende technische und organisatorische Maßnahmen zu ergreifen, um zu gewährleisten, dass die Datenverarbeitungen, welche über die IT-Systeme erfolgen, sicher sind. Welche Maßnahmen im konkreten Fall erforderlich sind, bestimmt sich unter anderem nach dem Stand der Technik, den Implementierungskosten, nach der Art, dem Umfang, der Umstände und der Zwecke der Datenverarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen.

Doch was können Unternehmen bislang aus den diversen Bußgeldverfahren lernen? 

 

1. Marriott

Die britische Datenschutzbehörde ICO sorgte 2018 für Aufsehen, als sie gegen das milliardenschwere Unternehmen Marriott International Inc. („Marriott“) ein Bußgeld in Millionenhöhe verhängte.

Hintergrund dessen war, dass Marriott 2016 die Starwood Hotelkette erwarb, ohne die Cyber Security Maßnahmen des Unternehmens zu überprüfen. Bereits 2014 wurden die Systeme von Starwood von Hackern angegriffen, sodass Kundeninformationen extrahiert werden konnten. Dies fiel beim Erwerb nicht auf. Erst 2018 wurde das Datenleck entdeckt und der ICO mitgeteilt. In der Zwischenzeit waren bereits 339 Millionen Kundendaten abgegriffen worden. Nach der ursprünglichen Festsetzung des Bußgeldes auf 99,2 Millionen GBP (~ 115 Mio. EUR) setzte die ICO dieses wegen der guten Zusammenarbeit mit Marriott auf 18,4 Millionen GBP (~ 20,4 Mio. EUR) herab.

Der Fall zeigt, dass auch beim Unternehmenskauf besonderes Augenmerk auf die Cyber Security Struktur des zu erwerbenden Unternehmens gelegt werden muss. Sofern das Unternehmen keine hinreichenden technischen und organisatorischen Maßnahmen zur Datensicherheit ergriffen hatte, ist dies festzustellen und umgehend zu beheben. Ansonsten drohen dem Erwerber Cyber Risiken, welche zu erheblichen Folgeschäden für das Unternehmen führen können. Hierbei sollte nicht nur an die potentiell drohenden Bußgelder gedacht werden, sondern auch an Schadensersatzansprüche von Betroffenen sowie an Schäden, die durch das Abgreifen von Informationen (z.B. Geschäftsgeheimnissen) entstehen können. So könnten Hacker die Situation für Erpressungsversuche ausnutzen.

 

2. Zugriff auf Gesundheitsdaten

Immer wieder sind auch Fälle bekannt geworden, in denen keine hinreichenden Maßnahmen getroffen wurden, um eine Zugriffsmöglichkeit auf Gesundheitsdaten einzuschränken. Dabei handelt es sich bei Gesundheitsdaten um eine besondere Kategorie personenbezogener Daten (Art. 9 Abs. 1 DSGVO), welche einem besonders hohen Schutzniveau unterliegt.

Seit Wirksamwerden der DSGVO haben die Datenschutzbehörden immer wieder Sanktionen ausgesprochen. Das erste Bußgeld dieser Art wurde in Portugal gegen ein öffentliches Krankenhaus verhangen, da Gesundheitspersonal uneingeschränkt Zugriff auf die Gesundheitsdaten der Patienten hatte – zum Teil sogar durch gefälschte Profile. Das Bußgeld belief sich auf 400.000 EUR. Seitdem sind immer wieder derartige Fälle bekannt geworden – beispielsweise in den Niederlanden oder Norwegen. Insbesondere in Schweden wurden diesbezüglich fünf verschiedene Bußgelder verhangen. Das höchste davon gegen das Capio St. Göran Krankenhaus in Höhe von 30. Millionen SEK (2,9 Mio. EUR).

Zu dem Pflichtenkatalog des Art. 32 DSGVO gehört es auch, die Daten vor einem unbefugten, internen Zugriff zu schützen. Vor allem dann, wenn es sich um „sensible“ Daten wie Gesundheitsdaten handelt. Die Gefahr eines Abgriffs der Daten ergibt sich nicht immer nur von außen durch Hackerangriffe, sondern stellt auch im Unternehmen selbst ein reales Risiko dar. Dem muss entgegengewirkt werden. Auch müssen die Schutzmaßnahmen dem potentiellen Risiko, welches vor allem beim unbefugten Verarbeiten von „sensiblen“ Daten droht, entsprechend angepasst werden.

 

3. 1&1 Telecom GmbH

Besondere Bekanntheit dürfte der Fall der 1&1 Telecom GmbH („1&1“) erlangt haben. Nicht nur weil zunächst ein Bußgeld in Höhe von 9,55 Millionen EUR durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit („BfDI“) erlassen wurde, sondern auch, weil es der erste Fall eines DSGVO-Bußgeldes ist, welcher in Deutschland von einem ordentlichen Gericht entschieden wurde. Der BfDI verhing 2019 gegen 1&1 ein Bußgeld in Höhe von 9,55 Millionen EUR. Hintergrund war, dass, aus Sicht des BfDI, die Authentifizierungsanforderungen im Callcenter von 1&1 nicht hinreichend waren. So fragte 1&1 zur Authentifizierung damals lediglich den Namen und das Geburtsdatum ab, wodurch die ehemalige Lebensgefährtin eines Kunden mit Kenntnis dieser Daten die Telefonnummer und den Entsperrungstermin bei 1&1 ausfindig machen konnte. Das Bonner Landgericht sah die Verhängung eines Bußgeldes als gerechtfertigt an, allerdings erschien ihm die Höhe unangemessen. Das Bußgeld wurde auf 900.000 EUR heruntergesetzt.

Der 1&1-Fall ist jedoch nicht der erste, der sich mit unzureichenden Authentifizierungsmaßnahmen auseinandersetzt. In den Niederlanden gab es einen ähnlichen Fall, bei dem gegen die Arbeitnehmerversicherungsagentur (UWV) ebenfalls ein Bußgeld in Höhe von 900.000 EUR verhangen wurde, da der Authentifizierungsprozess für das Onlineportal unzureichend war. Dadurch konnten die Daten der Arbeitnehmer abgeschöpft werden. Ebenso gab es in ein Frankreich den Fall um SERGIC. Dabei konnten ohne vorherige Authentifizierung sensible Daten potenzieller Mieter abgerufen werden. Die französische Datenschutzbehörde CNIL verhing ein Bußgeld in Höhe von 400.000 EUR.

Unternehmen sind mithin aufgefordert, nicht nur ein Authentifizierungsverfahren zu wählen, welches die Wahrscheinlichkeit eines Missbrauchs verhindert, sondern welches mit dem Stand der Technik fortentwickelt und stetig verbessert wird. Dies gilt auch für alle anderen technischen und organisatorischen Maßnahmen.

 

Fazit

Die Beispiele verdeutlichen, dass eine hinreichende Cyber Security Struktur im Unternehmen unumgänglich ist, nicht nur zum Schutz von personenbezogenen Daten, sondern auch zum Schutz von Geschäfts- und Betriebsgeheimnissen oder zum Schutz der Kunden. Mangelnde Cyber Security ist nicht nur ein datenschutzrechtliches, sondern ein Compliance-Risiko für das gesamte Unternehmen, welches mit der zunehmenden Digitalisierung steigt. Bislang lag Cyber Security nur rudimentär im Fokus der Unternehmensleitung. Besonders das Beispiel Mariott zeigt, dass bei allen Geschäftsentscheidungen, wie beispielsweise dem Kauf eines Unternehmens, die Cyber Security beachtet und als potentielles Risiko erkannt werden muss, um Schäden für das Unternehmen vorzubeugen.