EU-DSGVO – Der Bußgeld-Hammer hat wieder zugeschlagen!

Erst vor wenigen Tagen hat die deutsche Datenschutzaufsichtsbehörde ein weiteres Bußgeld in Millionenhöhe erlassen. Aufgrund von Verstößen gegen die Datenschutzgrundverordnung werden stattliche 9,55 Millionen Euro vom Telekommunikationsdienstleister 1&1 Telecom GmbH aus Montabaur verlangt. Es handelt sich somit um das zweite Millionen-Bußgeld in Deutschland seit Geltung der DSGVO.

Doch weder das schnelle Tätigwerden noch die Kooperationsbereitschaft auf Seiten der 1&1 Telecom GmbH konnten ein Bußgeld verhindern. Grund dafür sei ein Verstoß gegen Art. 32 DSGVO. Laut Bundesdatenschutzbeauftragten Ulrich Kelber, “hat das Unternehmen keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können”. Allein durch Angabe des Namens und Geburtsdatums des Kunden war es per Kundenbetreuung des Unternehmens möglich, weitere personenbezogene Daten des Kunden erhalten.

Obwohl die Bußgelder seit dem 14. Oktober 2019 nach der neuen Bußgeldregelung berechnet werden und sich dabei am jährlichen Konzernumsatz orientieren, blieb der Bundesdatenschutzbeauftragte bei der Bemessung der Höhe des Bußgelds im unteren Bereich des möglichen Bußgeldrahmens, da sich die 1&1 Telekom GmbH während des gesamten Verfahrens "einsichtig und äußerst kooperativ" gezeigt hatte.

Halbherzig umgesetzte TOMs haben hohe Bußgelder zur Folge!

Seit dem 25. Mai 2018 gilt die europäische Datenschutz-Grundverordnung. Sie verpflichtet Unternehmen zu einem sorgfältigen Umgang mit personenbezogenen Daten - sonst drohen bekanntlich Bußgelder in Millionenhöhe.

Dabei beschreiben die europäische Datenschutzgrundverordnung und das neue Bundesdatenschutzgesetz eine Reihe von Maßnahmen, wodurch Unternehmen -jeglicher Größe und Branche- die Sicherheit bei der Verarbeitung von personenbezogenen Daten und somit den Datenschutz gewährleisten können.

Diese sogenannten technisch-organisatorischen Maßnahmen, kurz TOMs genannt, werden im Wesentlichen in Art. 32 DSGVO definiert und sind unter der Berücksichtigung von diversen Faktoren einzurichten. Hierzu gehören: der aktuelle Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung von personenbezogenen Daten. Bei der Einrichtung wird der Fokus auf bestimmte Datenschutzziele gelegt, die durch wirksame Sicherheitsmaßnahmen wie:

• die Pseudonymisierung und Verschlüsselung personenbezogener Daten
• die Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste.
• das Verfahren zur Wiederherstellung der Verfügbarkeit der personenbezogenen Daten und den Zugang nach einem physischen oder technischen Zwischenfall
• das Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

erreicht, umgesetzt und rechtskonform dokumentiert werden müssen.

Nichtsdestotrotz wird das Ergreifen geeigneter TOMs in etlichen Unternehmen hinsichtlich der Einhaltung und der Umsetzung der Datenschutzgrundverordnung, insbesondere der TOMs, unterschätzt. Die jüngsten Datenschutzvergehen zeigen, dass halbherzig umgesetzte TOMs immer wieder zu Datenverlusten, Datenschutzvorfällen, Meldungen an Aufsichtsbehörden und eben auch zu hohen Bußgeldern führen.

Starke Authentifizierungsmaßnahmen bieten Schutz vor Sanktionen in Millionenhöhe!

Fakt ist, unzureichend umgesetzte technische und organisatorische Maßnahmen sind ein lukratives Einfallstor für Cyberkriminelle oder wie im Fall 1&1 ein Türöffner für interpersonelle Gewalt wie Stalking. Darüber hinaus können sie massiv geschäftsschädigende Folgen haben, wie ein vorübergehendes Firmenverbot oder hohe Bußgelder, die sich inzwischen am jährlichen Konzernumsatz orientieren und bereits kleinste Abweichungen im Umsatz riesige Geldbußen verursachen.

Daher empfehlen wir Ihnen, geeignete technische und organisatorische Maßnahmen gemäß des Art. 32 DSGVO zu entwickeln und umzusetzen, um hohe Geldstrafen zu vermeiden.

Hierbei kommen unter anderem folgende Möglichkeiten in Betracht:

1. Kundennummer-Authentifizierung: Bei der Kundennummer-Authentifizierung müssen sich Kunden bei allen (Support-) Anfragen mittels ihrer Kundennummer authentifizieren. Diese Nummer wird grundsätzlich immer nur einmal vergeben und ist somit eindeutig dem Kunden zuordenbar.
2. Kontodaten-Authentifizierung: Bei der Kontodaten-Authentifizierung werden teilweise Zahlen aus der IBAN oder Kontonummer abgefragt, die bei den Unternehmen zur Zahlung der Leistung hinterlegt sind.
3. PIN-Code-Authentifizierung: Bei einer PIN-Code-Authentifizierung erhält der Kunde mit dem ersten Vertrag bei einem Unternehmen ein PIN-Code ggf. wählt er selbst einen PIN Code, welche bei (Support-) Anfragen zur Authentifizierung genannt werden muss.
4. Passwort-Authentifizierung: Bei der Passwort-Authentifizierung müssen sich Kunden mittels Eingabe des Benutzernamen und Passworts authentifizieren.
5. SmartCard- Authentifizierung: Die SmartCard-Authentifizierung kann beispielsweise beim Drucken, Scannen und Faxen an Multifunktionsgeräten eingesetzt werden, um Unbefugten den Zugriff zu verwehren.
6. 2-Faktor-Authentifizierung: Bei der 2-Faktor-Authentifizierung werden zwei von drei Faktoren (Wissen, Besitz und Biometrie) miteinander kombiniert, um einen unbefugten Zugang und die Nutzung von Datenverarbeitungssystemen durch Cyberkriminelle zu verhindern.

TOMs umsetzen mit esko-systems

TOMs sind nicht nur im Rahmen der Datenschutzgrundverordnung wirksam und sinnvoll. Mit geeigneten technischen und organisatorischen Maßnahmen, stellen Sie Ihre Datensicherheit sicher und verhindern den Ausfall Ihrer IT-Systeme. Außerdem wahren Sie die Rechte Ihrer Kunden und schützen sich vor riesigen Geldbußen.

Wir von esko-systems stehen Ihnen bei Fragen rund um die EU-DSGVO, TOMs und Datenschutz zur Seite.