IT-Sicherheit ernst nehmen und Bußgelder vermeiden
Ein gutes halbes Jahr nach Inkrafttreten der DSGVO wurden jetzt die ersten substanziellen Geldstrafen wegen Verstößen verhängt. Zwei Beispiele zeigen, wie wichtig das Thema IT-Sicherheit ist.
Krankenhaus in Portugal: Unstimmiges Berechtigungskonzept
So hat die portugiesische Datenschutzbehörde am 22.10.2018 mitgeteilt, dass ein Krankenhaus in der Nähe von Lissabon eine Strafe in Höhe von insgesamt 400.000 € zahlen soll. Ein Großteil des Betrags soll insbesondere eine Strafe dafür sein, dass zu viele Personen Zugriff auf Patientendaten gehabt hätten. Der Krankenhausbetreiber habe laut der Datenschutzbehörde „bewusst“ IT-Technikern Zugang zu Daten ermöglicht, die eigentlich nur für Ärzte hätten einsehbar sein dürfen. Durch einen Test sei festgestellt worden, dass ein Profil mit unbegrenztem Zugang zu den Ärzten vorbehaltenen Daten einfach erstellt werden konnte. Außerdem seien in dem System insgesamt 985 aktive Benutzer mit dem Profil „Arzt“ registriert gewesen, obwohl in dem Krankenhaus nur 296 Ärzte arbeiten. Mithin passte das Berechtigungskonzept des Krankenhauses überhaupt nicht. Das Krankenhaus selbst weist die Vorwürfe wohl zurück und möchte gerichtlich gegen die Entscheidung vorgehen.
Soziales Netzwerk „Knuddels.de“: Angreifer erbeutet 30.000 Mitgliederdaten
Aber auch in Deutschland wurde jetzt die erste Strafe verhängt. Das soziale Netzwerk „Knuddels.de“ muss ein Bußgeld in Höhe von 20.000 € zahlen. Das Unternehmen hatte sich Anfang September selbst bei der Datenschutzbehörde gemeldet und mitgeteilt, dass - allerdings bereits im Sommer - ein Angreifer Daten von über 300.000 Mitgliedern der Plattform erbeutet hatte, die unverschlüsselt gespeichert waren. Kurz bevor das Unternehmen sich an die Datenschutzbehörde gewandt hatte, waren bereits die ersten Informationen öffentlich im Internet aufgetaucht. Ab diesem Zeitpunkt arbeitete das Unternehmen dann aber eng mit den Behörden zusammen. Der größte Vorwurf an das Unternehmen war der bisher viel zu lasche Umfang mit den Daten ihrer Nutzer. Damit habe das Unternehmen klar gegen datenschutzrechtliche Regelungen verstoßen, die für die Sicherheit von personenbezogenen Daten sorgen sollen. Die Kooperation mit der Datenschutzbehörde hat sich dann aber strafmildernd ausgewirkt.
Fazit
Seit dem 25.5.2018 können europaweit bei Verstößen gegen die Regelungen der DSGVO Bußgelder bis 20 Mio. € oder 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr verhangen werden. Die ersten Bußgelder zeigen einerseits, dass die Datenschutzorganisation stimmen muss. Ein Krankenhaus mit einem Berechtigungskonzept, bei dem jeder die höchsten Rechte hat, hat keine ordnungsgemäße Datenschutzorganisation. Anderseits liegt das vielleicht größte Risiko in externen IT-Angriffen. Hier müssen die IT-Sicherheitsmaßnahmen auf ein angemessenes Niveau gebracht und stetig geprüft und verbessert werden. Auch wenn es keine absolute Sicherheit gibt, so sind beispielsweise unverschlüsselte Datenspeicherungen wie bei Knuddels.com ein eindeutiger Verstoß gegen die DSGVO, der künftig noch deutlich schärfer geahndet werden dürfte.
Sollte es trotz angemessener Maßnahmen zu einem Datenschutzvorfall kommen, so empfiehlt sich eine Kooperation mit der Aufsichtsbehörde. Zudem sollte versucht werden, die Datensicherheitsmaßnahmen im Bereich des Datenschutzvorfalls nach einer Überprüfung zu erhöhen.