Datenschutz­woche

#134

107. Sitzung der Datenschutzkonferenz steht bevor

Am 14. und 15. Mai 2024 wird die Datenschutzkonferenz in Bremerhaven zum 107. Mal tagen. Den Vorsitz der Tagung teilen sich in diesem Jahr die Landesbeauftragte für Datenschutz Schleswig-Holstein, Dr. h. c. Marit Hansen, und der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel. Die spontane Bildung einer Doppelspitze war notwendig geworden, nachdem die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen, Dr. Imke Sommer, den Konferenzvorsitz aufgrund ihrer Wahl zur Präsidentin des Bremer Rechnungshofs nicht mehr ausüben konnte.

Laut Pressemitteilung wird sich die Datenschutzkonferenz insbesondere mit folgenden Themen befassen:

  • Regelungslücken beim Umgang mit Patientendaten im Zuge von Krankenhausschließungen
  • Regelungslücken bei der Verarbeitung personenbezogener Daten zu Zwecken der wissenschaftlichen Forschung
  • Smart Meter

Auf der Agenda stehen außerdem das Standard-Datenschutzmodell, Rahmenbedingungen für die digitale Nutzung wichtiger Dienstleistungen, Verhaltensregeln für Auskunfteien sowie Künstliche Intelligenz.

Griechenland: Angriff mit Ransomware offenbart Datenschutzverstöße

In der vergangenen Woche hatten wir bereits in aller Kürze darüber berichtet, dass die griechische Datenschutzaufsichtsbehörde gegen die griechische Post ein Bußgeld in Millionenhöhe verhängt hat. Nun liegen weitere Erkenntnisse zum Hintergrund der aufsichtsbehördlichen Entscheidung vor.

Ausgangspunkt des Bußgeldverfahrens war, dass die griechische Post der Datenschutzaufsichtsbehörde zwei Datenschutzverletzungen gemeldet hatte. Zum einen war das Unternehmen Opfer eines Ransomware-Angriffs geworden, also einer böswilligen Datenverschlüsselung mit dem Ziel, Lösegeld zu erpressen. Zum anderen hatten die Angreifer personenbezogene Daten ausgespäht und anschließend im Dark Web veröffentlicht.

Eine Analyse des Cyberangriffs ergab, dass sich die Angreifer über unzureichend gesicherte Systeme Fernzugriff auf Workstations und Dateien verschafft hatten, anschließend Passwörter für Administratorkonten abgreifen konnten und in der Folge unberechtigt auf Daten zugreifen und Schadsoftware installieren konnten.

Die griechische Datenschutzaufsichtsbehörde sah in der unzureichenden Absicherung der Systeme einen Verstoß gegen die Pflicht zur Gewährleistung der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO) sowie gegen die Pflicht, geeignete technische und organisatorische Maßnahmen zur Datensicherheit zu treffen (Art. 24 Abs. 1, 32 Abs. 1 DSGVO) und diese nachzuweisen (Art. 5 Abs. 2 DSGVO). Die Schwere der festgestellten Datenschutzverstöße bewertet die Datenschutzaufsichtsbehörde als erheblich.

Aufgrund der Feststellungen wurde gegen die griechische Post eine Geldbuße gemäß Art. 83, 58 Abs. 2 lit. i DSGVO verhängt. Bei der  Bußgeldbemessung wurden die Leitlinien 4/2022 EDPB angewandt. Die Höhe der Geldbuße bewegt sich am unteren Ende des Bußgeldrahmens für besonders schwere Verstöße und beträgt ein Prozent des letzten weltweit erzielten Jahresumsatzes (hier: 2.995.140 Euro).

Hervorzuheben ist, dass es zwischen einem erfolgreichen Angriff mit Ransomware  und der Annahme, dass Schutzmaßnahmen nicht ausreichend waren, keinen Automatismus gibt. Vielmehr muss immer im Einzelfall geprüft werden, ob die technischen und organisatorischen Maßnahmen ausreichend waren. Ein Bußgeld kann nur bei unzureichenden Schutzmaßnahmen verhängt werden.

Internationale Nachrichten

  • Finnland: Die finnische Datenschutzaufsichtsbehörde hat gegen ein eCommerce-Unternehmen ein Bußgeld in Höhe von 856.000 Euro verhängt, weil das Unternehmen keine Löschfrist für Kundendaten festgelegt hatte.

Aktuelle Gerichtsentscheidungen

  • OLG Karlsruhe, Urteil vom 26.04.2022, Az. 14 U 136/21 (juris): Ein Verstoß gegen die DSGVO stellt nicht bereits den Eintritt eines – auch immateriellen – Schadens dar.
  • FG Berlin-Brandenburg, Urteil vom 20.03.2024, Az. 16 K 12118/21 (juris): Ein Antrag auf Auskunft ist nicht missbräuchlich, wenn andere als die in ErwG 63 Satz 1 DSGVO genannten Ziele verfolgt werden.
  • OLG München, Beschluss vom 25.04.2024, Az. 34 Wx 90/24 e (juris): Kein Anspruch auf Löschung von in der Gesellschafterliste enthaltenen und gesetzlich nicht zwingend erforderlichen Daten gegenüber dem Registergericht.

Neuigkeiten aus den Aufsichtsbehörden