START  |   KONTAKT   |   IMPRESSUM  |   DATENSCHUTZERKLÄRUNG


HIER FINDEN SIE



Downloads


Gesetzestexte


Adressen der Landesbeauftragten für den Datenschutz


Aktuelles






LfDI Baden-Württemberg verhängt sein erstes Bußgeld in Deutschland nach der DS-GVO

22.11.2018: Wegen eines Verstoßes gegen die nach Art. 32 DS-GVO vorgeschriebene Datensicherheit hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 21.11.2018 gegen einen baden-württembergischen Social-Media-Anbieter eine Geldbuße von 20.000,- Euro verhängt und – in konstruktiver Zusammenarbeit mit dem Unternehmen – für umfangreiche Verbesserungen bei der Sicherheit der Nutzerdaten gesorgt.

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Das Unternehmen setzte innerhalb weniger Wochen weitreichende Maßnahmen zur Verbesserung ihrer IT-Sicherheitsarchitektur um und brachte damit die Sicherung ihrer Nutzerdaten auf den aktuellen Stand der Technik. Zudem wird das Unternehmen innerhalb der nächsten Wochen in Abstimmung mit dem LfDI zusätzliche Maßnahmen zur weiteren Verbesserung der Datensicherheit durchführen.

Durch die Speicherung der Passwörter im Klartext verstieß das Unternehmen wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DS-GVO.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprach die sehr gute Kooperation mit dem LfDI in besonderem Maße zu Gunsten des Unternehmens. Die Transparenz des Unternehmens war ebenso beispielhaft wie die Bereitschaft, die Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit, Dr. Stefan Brink, umzusetzen. Auf diese Weise konnte in sehr kurzer Zeit die Sicherheit der Nutzerdaten des Social-Media-Dienstes deutlich verbessert werden. In Abstimmung mit dem LfDI wird die Sicherung der Nutzerdaten in den kommenden Wochen noch weiter ausgebaut. Bei der Bemessung der Geldbuße wurde neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen berücksichtigt. Bußgelder sollen nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein. Unter Einbeziehung der aufgewendeten und avisierten Maßnahmen für IT-Sicherheit hat das Unternehmen einschließlich der Geldbuße infolge des Verstoßes einen Gesamtbetrag im sechsstelligen Euro-Bereich zu tragen.

„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, betonte Dr. Brink abschließend. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Quelle: https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-ds-gvo/

Erstes empfindliches Bußgeld wegen Datenschutzverletzungen verhängt

23.10.2018: Eine Strafe in Höhe von 400.000,- € muss ein Krankenhaus in Portugal wegen Verletzung der DS-GVO zahlen, da zu viele Mitarbeiter Zugriff auf die Gesundheitsdaten der Patienten haben.
Obwohl in dem Krankenhaus lediglich 295 Ärzte beschäftigt sind, hatten 995 Personen die Möglichkeit, über einen "Ärztezugang" die Patientendaten einzusehen, so die portugiesische Aufsichtsbehörde CNPD. Weiterhin hatten mindestens neun Vertreter von Sozialdiensten Zugang zu den sensiblen medizinischen Patientendaten, obwohl hierfür kein ersichtlicher Grund vorlag. Auch Personen, die nur als „technische Mitarbeiter“ angemeldet waren, konnten laut CNPD die Patientenakten einsehen. Auch wurden Ärzteaccounts von bereits ausgeschiedenen Medizinern nicht gelöscht.

Dokumentationspflichten nach der Europäischen Datenschutz-Grundverordnung

Mit der EU-Datenschutz-Grundverordnung (DS-GVO) kommt auf die Unternehmen eine Reihe neuer Verpflichtungen zu:
  • Verpflichtung zu Dokumentationen wie im Qualitätsmanagement (QM),
  • Verpflichtung zu Garantieleistungen,
  • Verpflichtung zu Konzepten des Datenschutzes durch Technikgestaltung,
  • Verpflichtung zur Datenschutzfolgenabschätzung,
  • Verpflichtung zur Sicherstellung der Betroffenenrechte und
  • Verpflichtung zur Rechenschaftspflicht.
Wir helfen Ihnen gern, die erforderlichen Dokumentationen zu erstellen und Ihre innerbetrieblichen Strukturen an die rechtlichen Vorgaben anzupassen.


Bußgeldhöhen

Gemäß Artikel 83 Abs. 1 muss jede Aufsichtsbehörde sicherstellen, dass verhängte Geldbußen "in jedem Einzelfall wirksam, verhältnismäßig und abschreckend" sind.

Verstöße können gemäß der EU-Datenschutz-Grundverordnung mit Geldbußen bis zu 20.000.000,- Euro oder 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden - je nachdem, welcher der Beträge höher ist.


Gütesiegel des Unabhängigen Landeszentrums für Datenschutz (ULD)

Ab dem 25. Mai 2018 können aufgrund der veränderten Rechtslage das Datenschutz-Gütesiegel Schleswig-Holstein und das Audit-Verfahren in der bisherigen Form nicht mehr angeboten werden. Für Organisationen in Schleswig-Holstein plant das Unabhängige Landeszentrums für Datenschutz (ULD) zeitnah, Zertifizierungen nach Datenschutz-Grundverordnung anzubieten. Bitte beachten Sie, dass alle bisher erteilten Zertifizierungen (Datenschutz-Gütesiegel und Audit) des ULD auf der Rechtslage vor dem 25. Mai 2018 bzw. vor Gültigkeit der Datenschutz-Grundverordnung beruhten.


SKYCOMP IT-Solutions, Blessenberg 18, D-23701 Eutin, Fon: +49 (0) 4521 8301410, E-Mail: info@ds-easy.de