Die italienische Datenschutzbehörde (Garante per la protezione dei dati personali, Case: 10025835) verhängte ein Bußgeld in Höhe von 30.000 € gegen ein Unternehmen, welches auf Verpackungen, Dekoration und Einrichtungszubehör spezialisiert ist. Dieses hatte ein veraltetes und für Cyberangriffe anfälliges Customer-Relationship-Management-Tools (CRM) im Einsatz gehabt, was zu einem Datenschutzvorfall und daher zum Bußgeld geführt hatte.
Erster Datenschutzvorfall
Bereits im Sommer 2022 wandte sich eine Privatperson an die italienische Datenschutzaufsicht wegen des Erhalts unerwünschter Werbe-E-Mails. Obwohl sie das Unternehmen über die Geltendmachung ihrer Betroffenenrechte informiert hatte, erhielt sie statt einer Rückmeldung hierzu sieben weitere E-Mails von dem für die Datenverarbeitung verantwortlichen Unternehmen.
In der Folge erklärte das Unternehmen gegenüber der Aufsichtsbehörde auf die Betroffenenanfrage nicht geantwortet zu haben, da die E-Mail als Spam markiert worden sei. Ferner habe die betroffene Person ihr Einverständnis in den Erhalt von Werbe-E-Mails erteilt. Sie sei mit ihrer E-Mailadresse im CRM-System bzw. der zugrundeliegenden Datenbank gespeichert gewesen und habe ausdrücklich vorab ihre Zustimmung für Direktwerbung gegeben. Gleichzeitig wurde mitgeteilt, die betroffene Person sei mit ihren Daten aus der Datenbank gelöscht worden.
Weitere E-Mails trotz Datenlöschung
Nach dieser Datenlöschung erhielt der Beschwerdeführer eine weitere E-Mail des Unternehmens mit der Aufforderung, die E-Mailadresse zu bestätigen, um sich für einen Newsletter anzumelden. Das Unternehmen rechtfertigte dies gegenüber der Datenschutzaufsicht, dass vermutlich ein Dritter die E-Mailadresse der betroffenen Person zur Newsletteranmeldung genutzt hatte.
Im Mai 2023 erhielt die betroffene Person weitere 39 E-Mails mit identischem Inhalt. Sie wurde von dem Unternehmen aufgefordert, ihre Telefonnummer zu bestätigen. Nach diesem Vorfall forderte die Datenschutzbehörde den Verantwortlichen auf, Klarheit zu schaffen, da er eigentlich nicht im Besitz der Telefonnummer der betroffenen Person sein sollte. Wie sich nach weiteren Überprüfungen herausstellte, hatte ein unautorisierter Zugriff auf das CRM-Systeme stattgefunden. Die 39 E-Mails waren vermutlich von unberechtigten Dritten gesendet worden, nachdem sie die persönlichen Daten der betroffenen Person durch diesen unberechtigten Zugriff auf System des Unternehmens abgegriffen hatten.
Sicherheitslücken und unautorisierte Zugriffe
Die Datenschutzbehörde stellte nach weiterer Beschwerde fest, dass hier ein veraltetes und für Cyberangriffe anfälliges CMS zur Verwaltung der Websitebei dem Unternehmen im Einsatz war und dies auch noch im Zeitpunkt des behördlichen Aufsichtsverfahren. Die Version des genutzten CMS war absolut veraltet und wies zahlreiche, zum Teil sehr schwerwiegende Sicherheitslücken auf. Insofern implizierte dessen Nutzung nach Auffassung der Aufsichtsbehörde ein hohes Risiko für Datenschutzverletzungen.
Verstöße gegen die DSGVO
Die Datenschutzbehörde beanstandete daher, dass das Unternehmen keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hatte. Dies verstößt gegen Art. 5 Abs. 1 Buchst. f und Art. 24 Abs. 1 der DSGVO. Zudem wurde der Vorfall nicht ordnungsgemäß gemeldet, was einen Verstoß gegen Art. 33 DSGVO darstellt.
Fehlende Transparenz und Rechenschaftspflicht
Das Unternehmen konnte der betroffenen Person keine Informationen über die Herkunft ihrer Daten geben und hatte keine rechtliche Grundlage für die Verarbeitung zu Marketingzwecken. Dies führte zu weiteren Verstößen gegen die DSGVO und das italienische Datenschutzgesetz und letztlich zu einer Geldbuße in Höhe von 30.000 €.
Konsequenzen und Empfehlungen
Die verhängte Geldstrafe und die Anordnung zur Verbesserung der Sicherheitsmaßnahmen sollen sicherstellen, dass der Schutz personenbezogener Daten künftig gewährleistet ist. Unternehmen sollten regelmäßige Sicherheitsüberprüfungen durchführen und sicherstellen, dass ihre IT-Infrastrukturen auf dem neuesten Stand sind. Hier zu sparen, kann einerseits zu Geldbußen, aber auch zu Reputationsschäden führen. In der Meldung der Garante per la protezione dei dati personali wird das betroffene Unternehmen namentlich erwähnt.
Fazit
Fälle wie dieser zeigen die Risiken veralteter IT-Systeme und die Notwendigkeit einer strikten Einhaltung der Datenschutzvorgaben. Unternehmen sollten sich ihrer Verantwortung bewusst sein und entsprechende Maßnahmen ergreifen, um solche Vorfälle zu vermeiden.
Dazu gehören der richtige Umgang mit Schwachstellen im Unternehmen (siehe auch https://www.rmprivacy.de/schwachstellen-ueberpruefen-und-beseitigen/) sowie ein entsprechendes Datenpannenmanagement.
Nachfolgend finden Sie ergänzend 5 typische Fehler bei einer Datenpanne:
1. Fehler: Nicht-Meldung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde
Maßnahme:
- Sofortige Erkennung, Bewertung und Meldung
- Notfallplan mit klaren Verantwortlichkeiten
2. Fehler: Keine Benachrichtigung bei hohem Risiko
- Standardverfahren zur Benachrichtigung
- Vorbereitete Vorlagen und Kommunikationskanäle
- Nicht-Benachrichtigung der Betroffenen
3. Fehler: Unzureichende Dokumentation der Datenpanne
- Kontinuierliches Protokoll aller Datenpannen
- Nutzung geeigneter Softwarelösungen
Relevanz: Audits von Kunden, Vendor Due Diligence, Audits der Aufsichtsbehörde – Art. 5 Abs. 2 DSGVO
4. Fehler: Mangelhafte technische und organisatorische Maßnahmen
- Richtlinie zur Datenpannenmeldung
- Schulungen / Trainings
- interner Audits und Penetrationstests
- kontinuierlicher Verbesserungsprozess
5. Fehler: Unklare Prozesse und Zuständigkeiten zur Meldung von Datenpannen
- Internes Meldesystem mit definierten Rollen
- Regelmäßige Kommunikation der Prozesse
Bildnachweis: KI generiert
AUTOR
Matthias Rosa ist als externer Datenschutzbeauftragter und Datenschutzberater bei der RMPrivacy GmbH für Unternehmen und Konzerne tätig. Darüber hinaus ist er Rechtsanwalt und Fachanwalt für IT-Recht bei der Kanzlei Bette Westenberger & Brink in Mainz sowie Dozent zu datenschutzrechtlichen Themen beim Mainzer Medieninstitut im Rahmen des Masterstudiengangs Medienrecht.