10 Dinge, die Sie im Datenschutz besser nicht machen sollten
Inhaltsverzeichnis
Die europäische Datenschutzbehörde hat kürzlich ein Dokument der französischen Datenschutzaufsichtsbehörde CNIL veröffentlicht, das zeigt, wie man Datenschutz besser NICHT praktizieren sollte. Es handelt sich um eine Untersuchung eines Vorfalls bei einem Unternehmen, bei dem zehn Datenschutzverstöße festgestellt wurden. Dieses Dokument könnte als Jobanzeige für einen Datenschutzbeauftragten gesehen werden, denn mit einem solchen wäre das wahrscheinlich nicht passiert. Das Bußgeld? 150.000 Euro - genug, um einen guten Berater zu bezahlen.
Der Hintergrund
Das Unternehmen bietet verschiedene Wahrsagerdienste an, von Aurasehen über Channeling bis hin zu Witchboard/Automatischem Schreiben. Jährlich nutzen über zehn Millionen Menschen in Frankreich solche Dienste. Das Unternehmen hat seinen Sitz in Frankreich und hat bereits in mehrere Länder expandiert. Daher hat die französische Datenschutzbehörde CNIL die Untersuchung geleitet.
Ein wichtiger Hinweis
Der folgende Text enthält viele Verstöße, die Unternehmen möglicherweise aus eigener Erfahrung kennen. Daher ist er eine wertvolle Lektüre für ein "How to not". Um die Verständlichkeit zu verbessern, wurden Hintergrundinformationen hinzugefügt. Dies hat Auswirkungen auf die Länge des Textes. Aber es lohnt sich.
Der Auslöser
Auslöser für die Ermittlungen gegen das Unternehmen war eine Benachrichtigung eines Journalisten. Am 29. September 2020 informierte er das Unternehmen per E-Mail über ein Datenleck auf der Webseite, über die die Dienstleistungen abgewickelt wurden. Durch einen versehentlich geöffneten Port waren eine große Anzahl von Kundendatensätzen mit verschiedenen Informationen wie Identifikations- und Kontaktdaten sowie Gesprächsinformationen mit Kunden frei im Internet zugänglich.
Nachdem das Unternehmen diese Information erhalten hatte, führte es eine interne Untersuchung durch, schloss die Sicherheitslücke und ließ die Angelegenheit ansonsten auf sich beruhen.
Der Journalist veröffentlichte daraufhin einen Artikel über den Vorfall, der wiederum die Ermittlungen der CNIL auslöste.
Es folgte ein reger Schriftverkehr zwischen der CNIL und dem betroffenen Unternehmen. Es fanden Daten- und Live-Audits der Webseite sowie der Datenschutzprozesse im Unternehmen statt.
Im Juni 2023 veröffentlichte die CNIL schließlich ihre Ergebnisse zu dem Fall. Für Fachleute im Bereich Datenschutz waren diese Ergebnisse äußerst interessant.
Insgesamt wurden zehn Verstöße festgestellt.
1. Verstoß gegen Artikel 5 Absatz 1 c) DSGVO (Datenminimierung)
Das in Artikel 5 DSGVO formulierte Prinzip der Datenminimierung besagt, dass die Verarbeitung personenbezogener Daten dem Zweck angemessen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.
Es dürfen also immer nur die Daten verarbeitet werden, die für die Zweckerfüllung tatsächlich notwendig sind.
Das Unternehmen hat systematisch alle Telefonate zwischen Callcenter-Mitarbeitern und Interessenten sowie zwischen Wahrsagern und Kunden aufgezeichnet. Das Unternehmen behauptete, dies diene der Überprüfung der Servicequalität, dem Nachweis von Vertragsabschlüssen und der Erfüllung möglicher gerichtlicher Anordnungen.
Die französische Datenschutzbehörde hingegen argumentierte, dass die Aufzeichnung aller Anrufe im Verhältnis zum verfolgten Zweck übermäßig sei. Insbesondere wurde bemängelt, dass das Unternehmen auch die Erfassung von Bankdaten der Kunden aufgezeichnet hat, obwohl dies für Qualitätskontroll- oder Beweiszwecke nicht gerechtfertigt war. Die CNIL stufte dies als Verstoß gegen die Datenminimierung ein.
Zusammenfassend hat das Unternehmen gegen Artikel 5 Absatz 1 Buchstabe c) der DSGVO verstoßen, indem es Daten aufgezeichnet und gespeichert hat, die über das für die verfolgten Zwecke Erforderliche hinausgingen.
Praxishinweis:
Es ist wichtig, sensible Daten wie Telefonnummern, E-Mail-Adressen und Geburtsdaten kritisch zu hinterfragen, bevor sie in Kundeninformationssystemen gespeichert werden. Oftmals werden solche Daten unnötigerweise verarbeitet, da sie für den Vertragsabschluss mit dem Kunden nicht zwingend erforderlich sind und keine rechtliche Grundlage dafür besteht.
Daher müssen die verarbeiteten Daten immer wieder kritisch hinterfragt werden. Hierzu ist ein gewisses datenschutzrechtliches Fachverständnis notwendig, um solche Verstöße zu vermeiden. Damit unterstützen wir Sie gerne.
2. Verstoß gegen Artikel 5 Absatz 1 e) DSGVO (Speicherbegrenzung)
Personenbezogene Daten dürfen nur für den Zeitraum gespeichert werden, der für den Verarbeitungszweck erforderlich ist.
Die CNIL hatte zuerst den Umfang der gespeicherten Daten bemängelt (siehe 1.). Anschließend wurde überprüft, wie lange die Daten gespeichert wurden. Dabei stellte sich heraus, dass das Unternehmen Kundendaten über einen unangemessen langen Zeitraum aufbewahrt hatte.
Obwohl das Unternehmen in seinen Speicher- und Datenschutzrichtlinien festgelegt hatte, dass Kundendaten maximal drei Jahre nach der letzten Kundenbeziehung gelöscht werden sollten, fand die CNIL bei ihrer Überprüfung Daten, die länger als fünf Jahre im aktiven Managementsystem gespeichert waren.
Die CNIL erklärte den Verstoß damit, dass solche Daten nach Ablauf der Frist aus dem Managementsystem gelöscht werden müssten. Wenn sie weiteren Aufbewahrungspflichten unterliegen, sollten sie in einem separaten Archivsystem gespeichert oder im aktiven System durch eine logische Trennung separiert werden. Beides war nicht gegeben.
Zusammenfassend hat das Unternehmen Kundendaten über einen Zeitraum aufbewahrt, der über das für die verfolgten Zwecke erforderliche Maß hinausging. Dies stellt einen Verstoß gegen die Speicherbegrenzungsprinzipien der DSGVO gemäß Artikel 5 Absatz 1 Buchstabe e) dar.
Praxishinweis:
Die Umsetzung eines Löschkonzepts in einem Unternehmen ist in der datenschutzrechtlichen Beratungspraxis oft eine große Herausforderung, insbesondere wenn kein dokumentiertes Löschkonzept vorhanden ist.
Vor allem kleine und mittlere Unternehmen verfügen oft nicht über die Infrastruktur und technischen Möglichkeiten, um Löschprozesse automatisiert durchzuführen. Fehlt diese Automatisierung, sind Umsetzungsfehler auf Dauer fast unvermeidlich.
Die Entwicklung eines Löschkonzepts ist umfangreich und erfordert Erfahrung. Ob es um eine Prozessbeschreibung, eine schriftliche Anweisung oder eine Checkliste geht, in unserem Datenschutzhandbuch finden Sie die entsprechenden Werkzeuge. Wir haben sie bereits mehrfach umgesetzt. Wenn Sie möchten, unterstützen wir Sie gerne dabei.
3. Verstoß gegen Artikel 6 DSGVO (Rechtmäßigkeit der Verarbeitung)
Laut Artikel 6 der DSGVO ist die Verarbeitung personenbezogener Daten nur dann erlaubt, wenn mindestens eine der genannten Bedingungen erfüllt ist. Dazu gehört beispielsweise die Einwilligung der betroffenen Person oder die Notwendigkeit der Verarbeitung zur Vertragserfüllung.
In diesem Fall hat das Unternehmen die Bankdaten seiner Kunden über den eigentlichen Transaktionszeitraum hinaus gespeichert, um zukünftige Käufe von Credits zu erleichtern. Die CNIL hat zu Recht kritisiert, dass diese Vorgehensweise nicht mit dem ursprünglichen Vertrag in Verbindung steht und somit nicht durch Artikel 6 Absatz 1 Buchstabe c) abgedeckt ist, der die Verarbeitung im Rahmen der Vertragserfüllung regelt. Für eine längerfristige Speicherung wäre daher die Einwilligung der betroffenen Person erforderlich gewesen, die jedoch nicht eingeholt wurde. Somit wurden die Bankdaten ohne rechtliche Grundlage verarbeitet.
Damit hat das Unternehmen gegen das Prinzip der rechtmäßigen Verarbeitung gemäß Artikel 6 der DSGVO verstoßen, indem es die Bankdaten seiner Kunden ohne deren Zustimmung über den eigentlichen Transaktionszeitraum hinaus gespeichert hat.
Praxishinweis:
Auch in diesem Fall lässt sich sagen: Das war ein Fehler. Es ist oft schwierig für Nicht-Experten zu verstehen, dass Datensätze nicht als Ganzes betrachtet werden können und dass bestimmte Daten je nach Verarbeitungszweck unterschiedlich behandelt werden müssen. Die Trennung von Zahlungsdaten und Adressdaten ist noch eine vergleichsweise einfache Situation. In Unternehmen, in denen die Digitalisierung eine große Rolle spielt, gibt es jedoch viele komplexe Sachverhalte, bei denen die Frage "Darf ich das überhaupt?" nur mit entsprechender datenschutzrechtlicher Expertise sicher beantwortet werden kann.
4. Verstoß gegen Artikel 9 DSGVO (Speicherung von besonderen Kategorien personenbezogener Daten ohne Einwilligung)
Das Unternehmen hat auch gegen Artikel 9 der Datenschutz-Grundverordnung (DSGVO) verstoßen, indem es besondere Kategorien personenbezogener Daten ohne die ausdrückliche Einwilligung der betroffenen Personen verarbeitet hat.
Diese besonderen Kategorien umfassen Informationen zur rassischen und ethnischen Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, Gewerkschaftszugehörigkeit, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung.
Bei einem Datenaudit stellte die CNIL fest, dass die Wahrsager in den Gesprächsnotizen der Kundendatenbank Gesundheitsdaten und Informationen zur sexuellen Orientierung der betroffenen Personen gespeichert hatten. Das Unternehmen konnte jedoch nicht nachweisen, dass es zuvor die ausdrückliche Einwilligung der betroffenen Personen zur Verarbeitung dieser sensiblen Daten eingeholt hatte, was jedoch gemäß der DSGVO erforderlich ist.
Das Unternehmen argumentierte, dass die Daten aufgrund der spontanen Offenlegung durch die Kunden während der Telefonate erfasst wurden. Die Datenschutzbehörde wies jedoch darauf hin, dass die spontane Offenlegung solcher Daten nicht bedeutet, dass das Unternehmen von seiner Verpflichtung befreit ist, eine ausdrückliche Einwilligung für deren Verarbeitung einzuholen.
5. Verstoß gegen Artikel 12 DSGVO (Verpflichtung zur transparenten Information über die Verarbeitung)
Laut Artikel 12 der DSGVO muss der Datenverantwortliche sicherstellen, dass Informationen und Kommunikationen zur Verarbeitung personenbezogener Daten in einer klaren und einfachen Sprache präzise, transparent, verständlich und leicht zugänglich bereitgestellt werden.
Im konkreten Fall wurde festgestellt, dass das Unternehmen gegen diese Anforderungen verstoßen hat. Bei der Einrichtung eines Kundenkontos gab es keinen Hinweis auf die Datenschutzerklärung. Stattdessen musste der Benutzer den Registrierungsprozess abbrechen, zur Homepage zurückkehren, bis zum Ende der Seite scrollen und auf die Allgemeinen Geschäftsbedingungen klicken, um dort nach den Informationen zum Schutz personenbezogener Daten zu suchen.
Die CNIL urteilte, dass solche Aktionen, die Nutzer durchführen müssen, um umfassende Informationen zum Datenschutz zu erhalten, nicht als leicht zugänglich betrachtet werden können. Das Unternehmen hat daher gegen die Transparenzanforderungen der DSGVO verstoßen, indem es die Informationen zum Datenschutz nicht in einer klaren, verständlichen und leicht zugänglichen Form bereitgestellt hat.
6. Verstoß gegen Artikel 13 DSGVO (Informationspflicht bei Erhebung personenbezogener Daten)
Artikel 13 DSGVO regelt, welche Informationen der Verantwortliche bei der Erhebung personenbezogener Daten an die betroffene Person zu geben hat. Dazu gehören beispielsweise die Identität und Kontaktdaten des Verantwortlichen, die Zwecke der Datenverarbeitung, die rechtliche Grundlage, die Empfänger der Daten sowie die Absicht des Verantwortlichen, Daten in ein Drittland zu übertragen.
Die CNIL hat bereits festgestellt, dass die Datenschutzerklärung nicht in einer leicht zugänglichen Form bereitgestellt wurde. In einem weiteren Schritt hat sie überprüft, ob zumindest alle geforderten Informationen bereitgestellt wurden, wie es in Artikel 13 der DSGVO festgelegt ist.
Da jedoch wichtige Informationen zur Dauer der Datenspeicherung, den Rechten der betroffenen Personen in Bezug auf ihre Daten und dem Hinweis auf die Aufzeichnung von Gesprächen fehlten, hat die CNIL auch dies als Verstoß gegen die Informationspflicht des Unternehmens gewertet.
Es wurden nicht alle erforderlichen Informationen gemäß Artikel 13 der DSGVO transparent bereitgestellt.
Praxishinweis:
Die Bereitstellung der Informationen gemäß Artikel 13 der DSGVO (und auch gemäß Artikel 14 der DSGVO bei Fremderhebung) kann oft herausfordernd sein, da sich Verarbeitungen im Laufe der Zeit ändern und an die Entwicklung und Rechtsprechung angepasst werden müssen.
7. Verstoß gegen Artikel 28 DSGVO (Auftragsverarbeitung)
Wenn personenbezogene Daten von einem Dritten im Auftrag eines Verantwortlichen verarbeitet werden, müssen bestimmte Regelungen gemäß Artikel 28 DSGVO eingehalten werden.
Auftragsverarbeitungen sind alltäglich in der Datenschutzpraxis. Dazu zählt beispielsweise der Betrieb der Unternehmenswebseite bei einem Hoster oder die Wartung der Kundendatenbank durch einen externen IT-Dienstleister.
In dem konkreten Fall hat die CNIL die Auftragsverarbeitungsverträge überprüft und festgestellt, dass zwei Verträge vom Auftragsverarbeiter nicht gegengezeichnet wurden und in anderen Verträgen verpflichtende Regelungen fehlten oder nicht mit den Vorgaben der DSGVO übereinstimmten.
Das Unternehmen hat somit gegen die Anforderungen der DSGVO in Bezug auf die Regelung der Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter verstoßen, indem es nicht alle erforderlichen Vertragsklauseln gemäß Artikel 28 der DSGVO korrekt bereitgestellt hat.
Praxishinweis:
Bei diesem Verstoß liegt der Verweis auf das Johannes-Zitat "Wer von euch ohne Sünde ist, werfe als Erster einen Stein auf sie." nahe. Auftragsverarbeitungen sind komplexe datenschutzrechtliche Vorgänge und die Anforderungen aus Artikel 28 DSGVO machen sie nicht einfacher.
Deshalb ist die Prüfung uns vorgelegter Verträge ein hochgradig standardisierter Vorgang. Es ist noch besser, wenn wir die Verträge selbst gestalten können. Andernfalls sind Fehler in der Form vorprogrammiert, die zu einem ähnlichen Ergebnis führen können wie im obigen Beispiel.
8. Verstoß gegen Artikel 32 DSGVO (Sicherheit der Verarbeitung)
Artikel 32 der Datenschutz-Grundverordnung (DSGVO) legt fest, dass der Verantwortliche technische und organisatorische Maßnahmen ergreifen müssen, um ein angemessenes Schutzniveau für die Verarbeitung personenbezogener Daten zu gewährleisten. Dabei sind der Stand der Technik, die Implementierungskosten, der Umfang und die Art der Verarbeitung sowie das Risiko für die Rechte und Freiheiten der betroffenen Personen zu berücksichtigen.
In der Praxis umfassen die Anforderungen des Artikel 32 DSGVO eine Vielzahl von Regelungen. Diese reichen von allgemeinen Vorgaben wie dem Aktivieren des Bildschirmschutzes beim Verlassen des Arbeitsplatzes bis hin zu spezifischen Anforderungen an die verschlüsselte Datenübertragung in Funknetzwerken eines Unternehmens.
Ein zentraler Aspekt, der häufig diskutiert wird, ist der "der Stand der Technik". Es gibt etablierte Standards, die zur Bewertung herangezogen werden können. Die in dem konkreten Fall monierte Verwendung eines Ein-Zeichen-Passworts sowohl bei den Datenbanknutzern als auch bei den Datenbankadministratoren erfüllt definitiv nicht diese Anforderung.
Darüber hinaus wurde festgestellt, dass personenbezogene Daten, einschließlich Bankverbindungsdaten, unverschlüsselt übertragen und nicht nach aktuellen Standards verschlüsselt gespeichert wurden. Auch die fehlerhafte Konfiguration des Datenbankzugriffs, die zur Veröffentlichung von Kundendatensätzen im Internet führte, fällt unter diesen Verstoß. Ebenso mangelte es an ausreichender Absicherung gegen sogenannte SQL-Injections in der Webdatenbank, die oft als Einfallstor für Hacking-Angriffe auf Webseiten dienen.
In diesem Fall wurden grundlegende technische Mängel bei einem Unternehmen festgestellt, das hauptsächlich im Online-Bereich tätig ist. Es wurden keine angemessenen Schutzmaßnahmen ergriffen, um die Daten der Kunden und Interessenten vor unbefugtem Zugriff zu schützen.
Praxishinweis:
In diesem konkreten Fall lässt sich feststellen, dass das Vorgehen des Unternehmens nicht sehr professionell war. Wenn Fachleute sich um die technischen und organisatorischen Maßnahmen zur Verarbeitung personenbezogener Daten kümmern, sollten solche Mängel normalerweise nicht in diesem Ausmaß auftreten. Aus Erfahrung ist zu vermuten, dass der Grund für diese Missstände wahrscheinlich im strategischen Verhalten der Unternehmensleitung liegt, die der Sicherheit der Datenverarbeitung nicht ausreichend Aufmerksamkeit geschenkt und vermutlich auch nicht genügend Ressourcen dafür bereitgestellt hat.
9. Verstoß gegen Artikel 33 DSGVO (Meldung von Datenpannen an die Aufsichtsbehörde)
Laut Artikel 33 der Datenschutz-Grundverordnung (DSGVO) muss eine Verletzung des Schutzes personenbezogener Daten innerhalb von maximal 72 Stunden an die Aufsichtsbehörde gemeldet werden. Diese Frist gilt auch für Vorfälle, die sich über ein Wochenende erstrecken.
Am 29. September 2020 erhielt das Unternehmen eine Benachrichtigung über ein Datenleck. Allerdings versäumte es, die Aufsichtsbehörde über den Datenschutzverstoß zu informieren. Die Begründung des Unternehmens, dass das Leck bereits vor dem 29. September behoben wurde, wurde von der Aufsichtsbehörde nicht akzeptiert. Die DSGVO sieht keine Regelung vor, die besagt, dass eine Meldung entfällt, wenn keine Rechte und Pflichten von Betroffenen verletzt wurden.
Daher hat das Unternehmen gegen die Meldepflicht gemäß Artikel 33 der DSGVO verstoßen, indem es die Aufsichtsbehörde nicht rechtzeitig über den festgestellten Datenschutzverstoß informiert hat.
Praxishinweis:
Ein kurzer Praxistipp: Die Meldung eines Datenschutzvorfalls an die Aufsichtsbehörde kann ärgerlich und aufwändig sein. Allerdings kann das Unterlassen der Meldung noch ärgerlichere und aufwändigere Konsequenzen zur Folge haben, wie der geschilderte Fall zeigt. Daher ist es ratsam, eine Verletzung personenbezogener Daten zu melden, wenn angenommen wird oder offensichtlich ist, dass eine solche stattgefunden hat. Dies ist der richtige Weg und wird von der Aufsichtsbehörde in einer möglichen Diskussion positiv bewertet, wie die Erfahrung zeigt.
10. Verstoß gegen Artikel 82 des französischen Datenschutzgesetzes
Artikel 82 des französischen Datenschutzgesetzes besagt, dass "alle Teilnehmer oder Nutzer eines elektronischen Kommunikationsdienstes in klarer und vollständiger Weise informiert werden müssen, sofern sie nicht zuvor vom für die Verarbeitung Verantwortlichen oder seinem Vertreter informiert worden sind:
- Über den Zweck jeder Maßnahme, die darauf abzielt, auf bereits in ihrem elektronischen Kommunikationsendgerät gespeicherte Informationen elektronisch zuzugreifen oder Informationen auf dieses Gerät zu schreiben.
- Die Möglichkeit, wie Einspruch dagegen erhoben werden kann [...].
Auch im deutschen Recht gibt es eine ähnliche Bestimmung im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG), das im Dezember 2021 in Kraft trat.
Im Rahmen eines Online-Audits im April 2021 stellte die Aufsichtsbehörde fest, dass auf der Webseite ein Verstoß gegen das nationale französische Datenschutzrecht vorlag. Obwohl Cookies auf dem Rechner des Webseitenbesuchers gesetzt wurden, gab es keinen Banner mit entsprechenden Informationen. Im Juni 2021 wurde bei einem weiteren Online-Audit zwar ein Banner gefunden, jedoch enthielt es unzureichende Informationen und es fehlte der Hinweis, was eine Verweigerung von Cookies zur Folge hat und wie diese verweigert werden können.
Die Aufsichtsbehörde bemängelte insbesondere, dass es wesentlich aufwändiger war, die Annahme von Cookies zu verweigern als sie zu akzeptieren.
Um Cookies abzulehnen, mussten die Nutzer fünf Aktionen durchführen:
- Klick auf die Schaltfläche "Meine Einstellungen ändern", um auf die Schnittstelle zur Cookie-Verwaltung zuzugreifen
- Klick auf die Registerkarte "Funktions-Cookies"
- Klick die Registerkarte "Überwachungs- und Leistungs-Cookies"
- Klick auf die Registerkarte "Targeting- und Werbe-Cookies", um zu entscheiden, ob diese Cookies gespeichert werden sollen, und
- Klick auf die Schaltfläche "Meine Einstellungen speichern"
Zu guter Letzt hat das Unternehmen auch gegen die Bestimmungen des französischen Datenschutzgesetzes in Bezug auf Cookies und andere Tracking-Technologien verstoßen, indem es den Nutzern nicht die notwendigen Informationen und Zustimmungsoptionen in einer transparenten und benutzerfreundlichen Weise bereitgestellt hat.
Fazit
Respekt an diejenigen, die den gesamten Text bis hierhin gelesen haben! Der Artikel ist sehr umfangreich, genauso wie die Verstöße, die dem Unternehmen vorgeworfen werden.
Aus datenschutzrechtlicher Sicht ist der Vorfall bemerkenswert und dient als Lehrbuch für das "How not to". Die verantwortliche Leserin oder der verantwortliche Leser wird sich an einigen Stellen sicherlich ertappt gefühlt haben, da ähnliche Situationen im eigenen Arbeitsalltag schnell auftreten können. Viele dieser Probleme hätten jedoch vermieden werden können, wenn die Geschäftsführung dem Datenschutz mehr Aufmerksamkeit geschenkt hätte. Dadurch wäre der Vorfall sicherlich nicht so eskaliert.
Insgesamt musste das Unternehmen eine Strafzahlung von 150.000 Euro leisten. Davon entfielen 120.000 Euro auf die ersten neun Verstöße gegen die DSGVO und die verbleibenden 30.000 Euro auf den zehnten Verstoß gegen nationales, französisches Datenschutzrecht. Dieser Betrag hätte sinnvoller in den Aufbau eines effektiven Datenschutzmanagements investiert werden können, was langfristig nachhaltiger gewesen wäre.