Wie funktioniert die Bußgeldberechnung?
Die Berechnungsgrundlage zeigt eine sehr starke Orientierung an der Größe des betroffenen Unternehmens. Dazu sind verschiedene Klassen und Unterklassen definiert. Hinzu kommen verschiedene Aspekte, die das Bußgeld mit einem Faktor multiplizieren. Diese Faktoren sind in Art. 83, Abs. 2 der DSGVO aufgeführt.
Es ergeben sich also gewollt sehr hohe Bußgelder, die von weiteren, nur unklar definierten Faktoren abhängen. Dadurch entsteht eine Unsicherheit, die zu unterschiedlichen Reaktionen führt. Insgesamt lassen sich drei Fälle unterscheiden:
- Die Bußgelder werden akzeptiert.
Die betroffenen Firmen sehen ihr Fehlverhalten ein oder halten einen Widerspruch für wenig erfolgversprechend.
- Es wird Einspruch eingelegt.
Einspruch wird von einigen Firmen eingelegt, wenn die für das Bußgeld angenommene Schwere des Vorfalls und die ergriffenen Maßnahmen aus Sicht des Unternehmens falsch eingeschätzt wurden.
- Der Vorfall wird verschleiert oder totgeschwiegen.
Manche Betroffenen gehen aus Angst vor Bußgeldern so weit, einen Vorfall nicht zu melden. Aktuelle Beispiele sind Arztpraxen, die Patientendaten an falsche Empfänger versenden, z.B. wegen Tippfehlern.
Man kann sich in einigen Fällen in die Lage der Betroffenen versetzen und zumindest nachvollziehen, dass eine Vorgehensweise präferiert wird. Im Folgenden soll ein aktuelles, interessantes Beispiel erläutert werden:
Ein Extremfall mit vielen Beteiligten
Ein besonderer Fall, bei dem es Probleme an vielen Stellen und Schnittstellen gab, wurde vor Kurzem aufgedeckt ([3]):
In einer Arztpraxis wurde ein VPN-Server betrieben, der auf Port 443, also dem „HTTPS-Port“ erreichbar war. Dieser Port musste nach außen geöffnet sein, wozu der mitgelieferte Router des Providers genutzt wurde.
Ein Fehler in der Firmware dieses Routers führte dazu, dass bei der Nutzung der HTTPS-Freigabe nicht nur ein Port weitergeleitet wurde, sondern alle Ports von 440 bis 449. Dies ist zunächst ein ärgerlicher Bug, aber bei dediziertem VPN-Server wenig problematisch.
Die Arztpraxis hat aber auf diesem Server Patientenakten abgelegt und per Dateifreigabe verfügbar gemacht. Dabei fand keinerlei Zugriffskontrolle statt! Jeder mit Zugriff auf die Freigabe konnte die Daten einsehen. Und Freigaben sind über Port 445 erreichbar. Damit waren die Daten durch den Bug in der Router-Firmware von außen erreichbar und das Datenleck war da. Die in solchen Fällen vorgesehene Meldefrist von 72 Stunden nach Bekanntwerden eines Vorfalls überzog die Arztpraxis um Wochen!
Die fehlerhafte Router-Firmware war dem Provider schon länger bekannt und es existierte ein Firmware-Update, das diese Lücke behob. Hier ergab sich aber ein Problem auf Hersteller-Seite: Das Update konnte zwar eingespielt werden, aber ohne einen Reset auf Werkseinstellungen blieb das bisherige, unsichere Port-Forwarding des Routers aktiv! Dieses Verhalten wurde erst spät verändert.
Damit ergeben sich viele verschiedene Aspekte, die erst im Zusammenspiel zum großen Datenleck führte:
- Die Arztpraxis hat den Zugriff auf die Daten nicht ausreichend abgesichert. Weder wurde ein dediziertes System eingesetzt, noch gab es Einschränkungen beim Zugriff auf diese Daten. Außerdem wurde die vorgesehene Meldefrist nicht eingehalten.
- Der Provider wusste von der Lücke in seinem Router und hat keine entsprechenden Hinweise an seine Kunden ausgegeben. Speziell der Umstand eines notwendigen Resets des Routers wurde nicht ausreichend kommuniziert.
- Der Hersteller des Routers hat die Lücke zwar vergleichsweise schnell geschlossen. Einen Reset auf Werkseinstellungen zum Schließen einer so kritischen Lücke zu verlangen, ist aber bei wenig technikaffinen Kunden problematisch.
Also tragen alle Beteiligten eine gewisse Mitschuld an dem Vorfall. Wie genau sich diese Schuld aufteilt, wird sich wahrscheinlich erst nach Verhängen eines Bußgelds und den vermutlich darauf folgenden Gerichtsverfahren ergeben.
Das vorläufige Fazit nach eineinhalb Jahren DSGVO
Es gibt immer mehr interessante Fälle, in denen auch hohe Bußgelder wegen Verstoß gegen die DSGVO verhängt werden. Die damit verbundenen Gerichtsverfahren werden weitreichende Auswirkungen haben und sollten verfolgt werden.
Bei den im Raum stehenden Bußgeldern stellt sich auch die Frage, ob sich der Mehraufwand für eine korrekte Umsetzung überhaupt lohnt, wenn es selbst bei geringen Verstößen zu hohen Strafen kommen kann. Diese Frage muss auf jeden Fall mit JA beantwortet werden, da die (nicht) vorhandenen Maßnahmen einen starken Einfluss auf das Bußgeld haben können. Positiv für das Unternehmen können sich z.B. auswirken:
- Maßnahmen zur Minderung des Schadens
- Umfang und Art der Zusammenarbeit bei der Aufklärung
Auf der anderen Seite gibt es auch Aspekte, die die Strafen deutlich erhöhen können:
- Fahrlässigkeit bzw. Vorsatz
- Wiederholte Auffälligkeiten
- Nichteinhalten von Fristen
Außerdem: Maßnahmen zur Einhaltung der DSGVO dienen auch immer der Verbesserung der IT-Sicherheit und sind daher in jedem Fall ein Mehrwert für Ihr Unternehmen.
Verweise
[1] Spiegel Online, „Missbrauch von Mieterdaten – Deutsche Wohnen muss Millionenstrafe zahlen“, November 2019
[2] Datenschutzkonferenz, „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“, Oktober 2019.
[3] Heise Online, „Dr. Datenleck“, Oktober 2019
