Am 14.01.2013 hat die oberste Datenschutzaufsichtsbehörde Großbritanniens
gegen Sony ein Bußgeld in der Höhe von 250.000 Pfund verhängt. Grund für die
Strafe sind die Vorkommnisse um einen Hackerangriff auf das Sony Playstation
Network im April 2011, bei dem die Angreifer persönliche Daten von Millionen
von Playstation Network-Nutzer gestohlen hatten. Immerhin gibt es über 100
Millionen Sony-Kunden weltweit.
Das Unternehmen musste nach dem Hackerangriff einräumen,
dass nicht ausgeschlossen werden könne, dass der/die Angreifer Name, Anschrift,
Geburtsdatum, Anmeldeinformationen (Login, Passwort, Sicherheitsfragen zum
Passwort), Kaufhistorie, Rechnungsanschrift und möglicherweise sogar
Kreditkartendaten entwendet habe.
Im Anschluss daran wurde das Playstation Network
vorübergehend abgeschaltet und Sony informierte alle Nutzer des Playstation
Networks per E-Mail über diesen Vorfall. Mir ist sogar ein Fall bekannt, in
welchem eine Bank vorsorglich eine Kreditkarte gesperrt hatte, mit welcher
Zahlungen über das Network durchgeführt wurden. Gleichwohl erwähnt die oberste
Datenschutzaufsichtsbehörde UK in ihrem Bericht, dass wohl kein Fall einer
unberechtigten Kreditkartendatennutzung bekannt geworden sei.
Die oberste Datenschutzaufsichtsbehörde führt in ihrer
Begründung aus, dass die Sicherheitsanforderungen des Playstation Networks zum
Zeit des Angriffs nicht dem damaligen Stand der Technik entsprachen („…failes
to ensure that the Network Platform service provider kept up with technical
developments“), obwohl zum damaligen Zeitpunkt bereits Möglichkeiten bestanden
hätten, die Sicherheitslücken zu schließen. Weiter wird ausgeführt, dass die
damals ergriffenen Datensicherheitsmaßnahmen von ihrem Sicherheitsniveau nicht
dem Schadensrisiko entsprochen hätten, das bei der Durchbrechung der
bestehenden Sicherheitsanforderungen drohte. Mit anderen Worten: Die ergriffenen
IT-Sicherheitsmaßnahmen standen nicht im Verhältnis zur Sensibilität der zu
schützenden Daten.
Ferner wird dem für die IT-Sicherheit des Playstation
Networks Verantwortlichen vorgeworfen, auch trotz zuvor bereits stattgefundenen
DDos (denial of service)-Angriffen keine weitergehenden Sicherheitsmaßnahmen
ergriffen zu haben, insbesondere weil dieser mit weiteren Angriffen auf das
Netzwerk hätte rechnen müssen.
Grundsätzlich wäre ein entsprechendes Vorgehen der deutschen
Datenschutzaufsichtsbehörden denkbar und rechtlich möglich – ähnlich wie bei
anderen bekanntgewordenen Datenschutzvergehen in anderen Unternehmen. Warum
dies offensichtlich nicht der Fall ist, ist nicht bekannt. Nach Bekanntwerden
der Datenpanne bei Sony hat sich zwar das Bundesamt für Sicherheit in derInformationstechnik (BSI) – mehr oder weniger erfolgreich - an Sony gewandt und
auch Selbstschutzmaßnahmen für Bürger veröffentlicht. Ansonsten scheint hier
aber von deutscher Seite aber wenig passiert zu sein.
Immerhin: Wenn das Unternehmen das Bußgeld bis zum
13.02.2013 an die oberste britische Datenschutzaufsichtsbehörde zahlt, bekommt
das Unternehmen einen „early payment discount“ von 20%. Das ist ja auch was…
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe