Welche Anforderungen stellt Art. 32 DSGVO an die Datensicherheit?

18.12.2018 | JS – Online-Redaktion, Forum Verlag Herkert GmbH

articleimage
Im November 2018 wurde erstmals ein DSGVO-Bußgeld gegen ein deutsches Unternehmen verhängt. Eine Chat-Plattform hatte die Vorgaben des Art. 32 DSGVO verletzt. Lesen Sie, was genau das betroffene Unternehmen falsch gemacht hat und welche Anforderungen Art. 32 DSGVO an die Sicherheit der Verarbeitung von personenbezogenen Daten stellt.

Meldung einer Datenpanne enthüllte DSGVO-Verstoß 

Die virtuelle Chat-Plattform knuddels.de hatte bereits am 8. September 2018 eine Datenpanne an den Landesbeauftragten für den Datenschutz und die Informationstechnik (LfDI) Baden-Württemberg gemeldet: Hacker hatten laut offiziellen Angaben des LfDI personenbezogene Daten von rund 330.000 Nutzern – darunter auch Passwörter und E-Mail-Adressen – abgegriffen und auf einer Filesharing-Website veröffentlicht. 

Die Chat-Plattform reagierte vorbildlich: Wie es die DSGVO verlangt, informierte das Unternehmen seine Nutzer unverzüglich und umfassend über den Datendiebstahl und legte dem LfDI gegenüber sowohl die internen Datenverarbeitungs- und Unternehmensstrukturen sowie das eigene Verschulden offen. Dabei stellte der LfDI fest, dass das Unternehmen gegen seine Pflicht zur Gewährleistung der Datensicherheit gemäß Art. 32 DSGVO verstoßen hatte

Passwörter der Nutzer waren unverschlüsselt abgespeichert 

Der LfDI strafte die Chat-Plattform mit dem ersten DSGVO-Bußgeld in Deutschland in Höhe von 20.000 Euro ab, weil im Rahmen der Meldung der Datenpanne aufgefallen war, dass das Unternehmen die Passwörter der Nutzer im Klartext, also unverschlüsselt und unverfremdet, gespeichert hatte. Dabei verfolgte das Unternehmen durchaus das Ziel, die Nutzerdaten zu schützen: Die Abspeicherung der Passwörter in Klartext hatte den Zweck, einen Passwort-Filter zu nutzen, um eine Übermittlung der Passwörter an unberechtigte Dritte zu verhindern. 

Guter Wille hin oder her: Dadurch verstieß das Unternehmen „wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 lit a DSGVO“, wie es in der Pressemitteilung des LfDI heißt. Allerdings verzichtete die Datenschutzbehörde darauf, den vollen Bußgeldrahmen auszuschöpfen, der nach Art. 83 DSGVO möglich gewesen wäre: „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Erstes DSGVO-Bußgeld fällt aufgrund Kooperation verhältnismäßig niedrig aus

Die Strafe blieb aber nicht nur aus diesem Grund so niedrig. Entscheidend war, dass die Chat-Plattform sofort und sehr gut mit der Behörde kooperierte, um die Datensicherheit zu verbessern: Das Unternehmen zeigte sich der Behörde gegenüber völlig transparent und war bereit, die Vorgaben und Empfehlungen des LfDI umzusetzen. Bei der Bemessung des Bußgeldes hat der LfDI zudem die finanzielle Gesamtbelastung des Unternehmens aufgrund des Vorfalls – Anwaltskosten und Kosten für die Implementierung neuer Systeme – berücksichtigt. 

Dieses Beispiel zeigt sehr gut, dass die Aufsichtsbehörden nicht daran interessiert sind, nur Geldbußen zu verteilen, sondern durchaus abwägen, ob ein Bußgeld verhältnismäßig ist und welche Maßnahmen am sinnvollsten sind, um die Datensicherheit zu verbessern. Die bisher (Stand: 18.01.19) höchste verhängte DSGVO-Einzelstrafe betrug 80.000 Euro.

Damit Unternehmen aber gar nicht in die Situation kommen, Opfer eines Datendiebstahls zu werden oder eine Datenpanne melden zu müssen, wurde „Das Datenschutz-Paket“ entwickelt. In diesem Paket sind neben einem Handbuch, das alle neuen Datenschutzvorschriften leicht verständlich und kommentiert abbildet, auch Merkblätter und Checklisten zur rechtskonformen Umsetzung enthalten. 

Wie ist die Sicherheit personenbezogener Daten gemäß Art. 32 DSGVO zu gewährleisten? 

Doch wie verhalten sich Unternehmen bezüglich der Datensicherheit richtig, um die Regelungen des Art. 32 DSGVO nicht zu verletzen? Dieser Artikel verpflichtet sowohl die Verantwortlichen für den Datenschutz als auch die Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. 

Für ein angemessenes Schutzniveau müssen Unternehmen folgende Maßnahmen ergreifen: 

  • Die Systeme zur Verarbeitung der personenbezogenen Daten müssen dem aktuellen Stand der Technik entsprechen.  
  • Die Implementierungskosten sollten im Verhältnis zu der anzunehmenden Gefährdung stehen. 
  • Bei der Bewertung der Angemessenheit sind Art, Umfang, Umstände und Zwecke der Verarbeitung zu berücksichtigen. 

Diese Maßnahmen schließen gemäß Art. 32 DSGVO u. a. folgende konkrete Handlungen ein: 

  • Personenbezogene Daten dürfen nur pseudonymisiert und verschlüsselt gespeichert werden.
  • Unternehmen müssen sicherstellen, dass die Systeme und Dienste, die zur Verarbeitung personenbezogener Daten verwendet werden, stets verfügbar und belastbar sind sowie dem aktuellen Stand der Technik entsprechen. 
  • Die verwendeten Systeme und Dienste müssen gewährleisten können, dass bei einem physischen oder technischen Zwischenfall die personenbezogenen Daten sowie der Zugang zu ihnen schnell wieder hergestellt werden können. 
  • Unternehmen müssen Verfahren etablieren, mit denen regelmäßig die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung überprüft, bewertet und evaluiert werden. 
  • Im Rahmen der Beurteilung der Angemessenheit, müssen Unternehmen insbesondere die Risiken berücksichtigen, die mit der Verarbeitung verbunden sind. Es gilt zu vermeiden, dass personenbezogene Daten „unbeabsichtigt oder unrechtmäßig“ vernichtet werden, verloren gehen, verändert oder von unbefugten Dritten offengelegt werden können. 
  • Verantwortliche für den Datenschutz oder Auftragsverarbeiter müssen sicherstellen, dass Personen, die ihnen unterstellt sind und personenbezogene Daten verarbeiten, nur auf Anweisung des Verantwortlichen Daten verarbeiten. (Es sei denn sie sind zur Verarbeitung verpflichtet.)  

(juse)

Quellen: LfDI Baden-Württemberg, „Datenschutz 2018“

Mehr zu den Themen: Datenschutz DGSVO