Die größten unternehmerischen Datenschutzbrüche

Täglich vertrauen Verbraucher Unternehmen online ihre Daten an. Wie verarbeiten Unternehmen diese Daten? Wie gehen sie mit einem Datenschutzverstoß um? Was passiert bei sogenannten Datenschutzpannen? Viele große Unternehmen gerieten in letzter Zeit durch ihren Umgang mit Nutzerdaten in Verruf. Drei große Unternehmen davon haben wir unter die Lupe genommen: Yahoo, Vodafone und LinkedIn.

Yahoo

Das US-Unternehmen Yahoo erklärte Ende September, dass circa 500 Millionen Nutzerdaten gestohlen wurden. Dazu gehören E-Mail-Adressen, Telefonnummern und verschlüsselte Passwörter. Der Hackerangriff ereignete sich wohl 2014. Yahoo erfuhr laut eigenen Angaben Anfang August 2016 von diesem Datenklau als die Hacker die Daten im Internet zum Kauf anboten. Yahoo soll in der Vergangenheit im Auftrag der US-Behörden E-Mails der Kunden nach bestimmten Zeichen und Schlagwörtern gescannt haben. Ein Softwarefehler im Email-Scan-Programm hat die Emails für Hacker angreifbar gemacht, so die Aussage eines ehemaligen Mitarbeiters. ((Lesen Sie mehr dazu auf SPIEGEL Online: “Yahoo nennt Bericht über Scan-Software “irreführend””)) Kunden wurden dazu aufgefordert ihre Passwörter zu ändern. Betroffene Nutzer wurden von Yahoo informiert. Nutzer können selbst überprüfen, ob ihr Account gehackt wurde: Über das Zahnradsymbol rechts im Yahoo-Fenster des eingeloggten Nutzers wählt man die Option „AccountInfo“. Dort klickt man auf Recent Activity, wo man einzelne Sessions auswählen kann. Dort lässt sich nachverfolgen unter welchen IP’s zuletzt ein Zugriff stattgefunden hat. ((Mehr dazu lesen Sie im Artikel “So überprüfen Sie, ob Ihr Yahoo-Konto gehackt wurde”))

Das Scannen von Emails stellt einen Datenschutzverstoß durch Yahoo dar. Da das US-Unternehmen auf dem europäischen Markt Dienste anbietet, muss es für die europäischen Nutzer einen europäischen Datenschutzrahmen gewährleisten. Da für das Scannen der Mails keine Rechtsgrundlage oder eine Einwilligung bestand, war die Aktion rechtswidrig. Unabhängig davon stellt der Datenverlust infolge des Hackerangriffs eine Datenschutzpanne dar. Denn Yahoo speichert personenbezogene Daten und ist verpflichtet diese vor Eingriffen Dritter zu schützen.

Vodafone

Vodafone machte als Opfer eines Datendiebstahls Schlagzeilen. Bei einem Hackerangriff auf die Server des Mobilfunkanbieters im September 2013 wurden 2 Millionen Kundendaten gestohlen. Der Täter hatte dabei Zugriff auf Kundenstammdaten wie Adresse, Geburtsdatum, Bankleitzahl und Kontonummer. Nicht nur Daten aktiver Vodafone-Kunden sondern auch die von ehemaligen Kunden waren betroffen, da Vodafone aus steuerrechtlichen Gründen die Daten ehemaliger Kunden ebenfalls speichert. Laut einer Erklärung von Vodafone war ein solcher Angriff nur mithilfe von Insiderwissen möglich. Der Täter war wohl bei einem Dienstleister beschäftigt, der für Vodafone arbeitet. ((Mehr dazu lesen Sie in der Wirtschaftswoche: “Hacker stiehlt zwei Millionen Kundendaten von Vodafone”))

Nach § 42a BDSG hat das Unternehmen eine Informationspflicht, wenn bestimmte Daten abhandenkommen, so zum Beispiel bei Bank- und Kreditkartendaten nach § 42a S. 1 Nr.4 BDSG. Vodafone hatte seine Kunden dementsprechend in Kenntnis gesetzt. Bei Verstoß gegen die Informationspflicht drohen Unternehmen Bußgelder bis zu 300.000 Euro.

LinkedIn

LinkedIn, ein internationales Karriere-Netzwerk, stand ebenfalls in den letzten Jahren wiederholt in der Kritik. 2011 berichtete Zeit Online über Sicherheitslücken bei LinkedIn. ((“Sicherheitslücke bei LinkedIn entdeckt”)) LinkedIn verwendete zur Authentifizierung seiner Nutzer sogenannte Token. Dabei handelt es sich um kurze Textdateien, die wie ein Schlüssel arbeiten. Sie werden wie ein Cookie auf dem Rechner eines Nutzers abgelegt, sobald er sich bei einem Dienst anmeldet. Die Token wurden allerdings unverschlüsselt übertragen, wodurch die LinkedIn-Authentifizierung geknackt wurde. ((Mehr dazu lesen Sie bei Reuters: “LinkedIn site has security vulnerabilities: expert”))

2012 wurden bei einem Hacker-Angriff auf LinkedIn über 100 Millionen Nutzerdaten abgegriffen. Von diesem Ausmaß informierte LinkedIn seine Nutzer jedoch erst im Mai 2016 und forderte die Betroffenen auf, ihre Passwörter zu ändern. ((Mehr dazu lesen Sie in dem Artikel auf Zeit Online: “Sicherheitslücke bei LinkedIn entdeckt”)) Im selben Jahr wurde eine weitere Sicherheitslücke bei LinkedIn bekannt: Die LinkedIn-iOS-App sammelt Kalenderdaten samt persönlicher Inhalte seiner Nutzer auf den eigenen Servern. ((Mehr dazu lesen Sie bei ZDNet: “LinkedIn-App sammelt heimlich Nutzerdaten”)) Dies ist eine unerlaubte Übertragung und Speicherung von Daten. Nach dem BDSG gilt nämlich ein Verbot mit Erlaubnisvorbehalt, d.h. alles was nicht erlaubt ist, ist verboten. Die Speicherung personenbezogener Daten ist nur erlaubt, wenn eine Einwilligung es Betroffenen vorliegt oder eine Rechtsvorschrift dies erlaubt. § 28 BDSG beinhaltet mehrere Erlaubnistatbestände zur Datenverarbeitung. Die Speicherung von Daten durch Social Media Unternehmen kann durch § 28 Abs. 1 Nr.3 BDSG gedeckt sein. Voraussetzung dafür ist jedoch, dass es sich um öffentlich zugängliche Quellen handelt, was bei Daten auf die nur der Nutzer Zugriff hat, nicht der Fall war. Und auch wenn es sich um öffentlich zugängliche Daten handeln würde, dürften die Interessen des Betroffenen Nutzers nicht gegenüber den Interessen des verarbeitenden Unternehmens überwiegen. Die Voraussetzungen des § 28 Abs.1 Nr.3 BDSG lagen jedoch nicht vor.

2013 wurde aufgedeckt, dass LinkedIn E-Mails seiner Nutzer mitlesen kann. ((So berichtete die PC Welt im Artikel “LinkedIn liest Ihre E-Mails mit”)) Dies erfolgt über einen E-Mail-Plug-In „Intro“ auf den iOS-Geräten der Nutzer. Die verschickten E-Mails werden auf LinkedIn-Server geleitet, wo sie analysiert und um passende Daten ergänzt werden, bevor sie zum Empfänger geschickt werden. Dies stellt neben einer Verletzung des Rechts des Nutzers auf informationelle Selbstbestimmung auch einen Verstoß gegen das Brief-/Fernmeldegeheimnis, § 202a, 206 StGB dar. Der Nutzer muss selbst bestimmen können, wem er seine privaten Email-inhalte preisgibt. LinkedIn hat auf die Kritik reagiert und „Intro“ inzwischen wieder aus dem Angebot entfernt. ((Mehr dazu lesen Sie bei Computerworld: “LinkedIn says goodbye to Intro, the email service that sparked security concerns”))

Die Vorfälle zeigen, dass die Sensibilisierung für Datenschutz zwar grundsätzlich vorhanden ist, jedoch besteht noch viel Verbesserungsbedarf. Dies bestätigen auch zwei weitere Datenschutzpannen, die in jüngster Vergangenheit für Schlagzeilen sorgten: Das Car Sharing von BMW sowie Comdirect.

Carsharing BMW

In einem Gerichtsverfahren gegen einen Fahrer, der mit einem BMW von Carsharing einen Radfahrer überfahren hat, legte BMW der Strafkammer das Bewegungsprofil des Fahrers vor, obwohl es den Carsharing-Nutzern erklärte, solche Daten nicht zu sammeln. Aufgrund dieses Bewegungsprofils wurde der Fahrer wegen fahrlässiger Tötung verurteilt.

Das Bewegungsprofil zeigt an, welcher Fahrer welche Strecke wann gefahren ist. Es handelt sich um personenbezogene Daten nach § 3 Abs. 1 BDSG. Ohne Einwilligung oder entsprechende Rechtsgrundlage ist die Erhebung dieser Daten rechtswidrig. Hier käme nur eine Einwilligung in Betracht. Diese lag jedoch gerade nicht vor, da die Kunden keine Kenntnis davon hatten, dass Bewegungsprofile erstellt werden. Folglich konnten sie dafür auch keine Einwilligung erteilen. ((Lesen Sie mehr dazu auf Zeit Online: “Speichern Autos Bewegungsprofile?”))

Comdirect

Die größte Angst beim Online-Banking: ein Fremder erhält Zugriff auf das eigene Konto. Privatsphäre und Sicherheit sollten gerade bei Banken eine hohe Priorität haben. Doch durch eine IT-Panne bei der Comdirect am 18.07.2016 wurde das Bankgeheimnis zeitweise praktisch ausgehöhlt. Zahlreiche Kunden landeten nach dem Einloggen in einem fremden Account. Ungeklärt blieb, wie weit die Zugriffsmöglichkeiten auf das fremde Konto gingen. Jedenfalls konnte der Kontostand fremder Nutzer eingesehen werden und interne Überweisungen, beispielsweise von einem Tagesgeld auf ein Girokonto vorgenommen werden, da für derartige Aktionen keine TAN nötig ist.

Nach Abgaben von Comdirect ist das Datenleck nach einem Update nun wieder behoben. Die betroffenen Nutzer wurden nach Angaben des Kreditinstituts informiert.

Da das Bankgeheimnis verletzt wurde, können die Kunden kündigen, Auskunft darüber verlangen, wer Einsicht in ihre Daten hatte, eine strafbewehrte Unterlassungserklärung veranlassen und die entstandenen Rechtsverfolgungs- und Kündigungskosten verlangen. Schadensersatzansprüche für die Verletzung des Bankgeheimnisses gibt es jedoch nur, wenn ein nachweisbarer Vermögensschaden entstanden ist. Da keine externen Überweisungen vorgenommen wurden, wird das in diesem Fall regelmäßig nicht der Fall sein.

Image-Schaden

Dies sind nur einige Beispiele von öffentlich bekannt gewordenen Verletzungen datenschutzrechtlicher Regelungen durch Unternehmen. Datenschutzpannen haben eine gewisse Regelmäßigkeit: So berichtet das Projekt Datenschutz u.a. über Bankdaten, die in den Nachrichten der Tauschbörse Kleiderkreisel eingesehen werden konnten, oder über gehackte Meilenkonten der Deutsche Lufthansa AG. Weitere Fauxpas im Bereich Datenschutz erlaubten sich zum Beispiel Telekom und Kabel Deutschland mit der Weitergabe von Kundendaten an Callcenter sowie Lidl mit der Speicherung von Krankheitsdaten seiner Mitarbeiter.

Im Telekom-Fall 2009 haben die Vertriebspartner der Telekom Daten an Callcenter ins Ausland übertragen, ohne von der Telekom eine Genehmigung hierfür zu haben. Die Telekom ging gerichtlich gegen die betreffenden Vertriebspartner vor. Zwischen Telekom und den Callcentern gab es keine Autorisierung zur Datenverarbeitung. Mangels Auftragsdatenverarbeitungsvertrag (ADV) nach § 11 BDSG zwischen Telekom und CallCenter lag auch hier ein Datenschutzverstoß vor.

Diese und andere öffentlich bekannt gewordenen Datenschutzbrüche gefährden das Vertrauen der Verbraucher enorm und können für Unternehmen sehr kostspielig werden. LinkedIn musste beispielsweise rund 13 Millionen Euro Schadensersatz für Spam-Emails zahlen. ((Mehr dazu lesen Sie auf Gruenderszene: “LinkedIn muss 13 Millionen US-Dollar für Spam-Mails zahlen”))

Existenzbedrohung für KMU

Auch in kleinen und mittelständischen Unternehmen (KMU) kann es zu einem Datenschutzverstoß kommen. Laut einer Studie der Unternehmensberatung PWC war jedes fünfte mittelständische Unternehmen schon einmal Opfer einer Cyber-Attacke. ((Mehr dazu lesen Sie in der PwC-Studie aus 2014: “Mittelstand unterschätzt Cyber-Risiken”)) Gerade KMU sind ein beliebtes Ziel von Hacker-Angriffen, da diese Unternehmen die Gefahr häufig unterschätzen und deshalb geringere Sicherheitsstandards haben.((Die genauen Statistiken dazu können Sie in dieser Kaspersky-Studie für IT-Sicherheitsrisiken aus 2013 einsehen.))

So erging es dem mittelständischen Unternehmen Reifen-Markt.com: Der Online-Shop, der personenbezogene Daten in einer Cloud speicherte, wurde durch Hacker angegriffen. Daten wurden durch den Trojaner „Locky“ verschlüsselt und waren für das Unternehmen nicht mehr zugänglich. Die Hacker forderten Lösegeld. Dieses wurde nicht gezahlt, denn der von Reifen-Markt.com beauftragte Programmierer entdeckte eine Schwachstelle und konnte so die Daten retten. Dennoch hatte das Unternehmen hohe Umsatzeinbußen infolge des Hacker-Angriffs. Mit einem entsprechenden Sicherheitskonzept hätte diese Gefahr eingedämmt werden können.

Kleineren Unternehmen droht nicht „nur“ ein Imageschaden, sondern die finanziellen Folgen können die Existenz eines kleinen Unternehmens gefährden. Bei der Minimierung von Datenschutzpannen hilft die Bestellung eines Datenschutzbeauftragten, der auf datenschutzkonforme Prozesse achtet sowie die notwendigen Konzepte (Sicherheitskonzept, Verfahrensverzeichnis, etc.) erstellt. Die Investition lohnt sich, denn der Schaden, der dem Unternehmen im Falle einer Datenschutzpanne droht, kann dem Unternehmen teuer zu stehen kommen.

Das Bundesdatenschutzgesetz (§ 4f Abs.2 BDSG) sieht zwei Möglichkeiten vor: Ein Datenschutzbeauftragter kann intern durch einen Unternehmensmitarbeiter oder extern durch einen Berater außerhalb des Unternehmens bestellt werden. mip Consult bietet die Bestellung eines externen Datenschutzbeauftragten an. Informieren Sie sich hier über unser Angebot.

Wenn Sie Hilfe benötigen, kontaktieren Sie uns.

Der richtige Weg zum Beratungsgespräch

Schreibe einen Kommentar