Bußgelder gegen Sony wegen Datenschutzvergehen in UK

Am 14.01.2013 hat die oberste Datenschutzaufsichtsbehörde Großbritanniens gegen Sony ein Bußgeld in der Höhe von 250.000 Pfund verhängt. Grund für die Strafe sind die Vorkommnisse um einen Hackerangriff auf das Sony Playstation Network im April 2011, bei dem die Angreifer persönliche Daten von Millionen von Playstation Network-Nutzer gestohlen hatten. Immerhin gibt es über 100 Millionen Sony-Kunden weltweit.

Das Unternehmen musste nach dem Hackerangriff einräumen, dass nicht ausgeschlossen werden könne, dass der/die Angreifer Name, Anschrift, Geburtsdatum, Anmeldeinformationen (Login, Passwort, Sicherheitsfragen zum Passwort), Kaufhistorie, Rechnungsanschrift und möglicherweise sogar Kreditkartendaten entwendet habe.

Im Anschluss daran wurde das Playstation Network vorübergehend abgeschaltet und Sony informierte alle Nutzer des Playstation Networks per E-Mail über diesen Vorfall. Mir ist sogar ein Fall bekannt, in welchem eine Bank vorsorglich eine Kreditkarte gesperrt hatte, mit welcher Zahlungen über das Network durchgeführt wurden. Gleichwohl erwähnt die oberste Datenschutzaufsichtsbehörde UK in ihrem Bericht, dass wohl kein Fall einer unberechtigten Kreditkartendatennutzung bekannt geworden sei. 

Die oberste Datenschutzaufsichtsbehörde führt in ihrer Begründung aus, dass die Sicherheitsanforderungen des Playstation Networks zum Zeit des Angriffs nicht dem damaligen Stand der Technik entsprachen („…failes to ensure that the Network Platform service provider kept up with technical developments“), obwohl zum damaligen Zeitpunkt bereits Möglichkeiten bestanden hätten, die Sicherheitslücken zu schließen. Weiter wird ausgeführt, dass die damals ergriffenen Datensicherheitsmaßnahmen von ihrem Sicherheitsniveau nicht dem Schadensrisiko entsprochen hätten, das bei der Durchbrechung der bestehenden Sicherheitsanforderungen drohte. Mit anderen Worten: Die ergriffenen IT-Sicherheitsmaßnahmen standen nicht im Verhältnis zur Sensibilität der zu schützenden Daten. 

Ferner wird dem für die IT-Sicherheit des Playstation Networks Verantwortlichen vorgeworfen, auch trotz zuvor bereits stattgefundenen DDos (denial of service)-Angriffen keine weitergehenden Sicherheitsmaßnahmen ergriffen zu haben, insbesondere weil dieser mit weiteren Angriffen auf das Netzwerk hätte rechnen müssen.

Grundsätzlich wäre ein entsprechendes Vorgehen der deutschen Datenschutzaufsichtsbehörden denkbar und rechtlich möglich – ähnlich wie bei anderen bekanntgewordenen Datenschutzvergehen in anderen Unternehmen. Warum dies offensichtlich nicht der Fall ist, ist nicht bekannt. Nach Bekanntwerden der Datenpanne bei Sony hat sich zwar das Bundesamt für Sicherheit in derInformationstechnik (BSI) – mehr oder weniger erfolgreich - an Sony gewandt und auch Selbstschutzmaßnahmen für Bürger veröffentlicht. Ansonsten scheint hier aber von deutscher Seite aber wenig passiert zu sein.

Immerhin: Wenn das Unternehmen das Bußgeld bis zum 13.02.2013 an die oberste britische Datenschutzaufsichtsbehörde zahlt, bekommt das Unternehmen einen „early payment discount“ von 20%. Das ist ja auch was…

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

Sichere Drittstaaten im Sinne des Bundesdatenschutzgesetzes

Wer mit Datenschutz zu tun hat, kommt des Öfteren mit dem Begriff "Drittstaat" in Berührung.

Diese Informationen sollten zum Beispiel in jedem Verfahrensverfahrensverzeichnis vorhanden sein oder etwa bei der Meldepflicht nach § 4e Satz 1 Nr. 8 BDSG.

Darüber hinaus ist dies ein ganz wichtiger Punkt bei der Beurteilung der Befugnis der Übermittlung personenbezogener Daten ins Ausland gemäß § 4b BDSG.

Bei der Frage, ob eine Übermittlung personenbezogener Daten ins Ausland erfolgen darf, ist die etwas komplizierte und verschachtelte Prüfungsreihenfolge, welche § 4b BDSG vorsieht, zu beachten. Sofern hier keinen Datenexport in ein EU-Mitgliedsstaat vorliegt, ist gemäß § 4b Abs. 2 Satz 2 BDSG zu prüfen, ob der Empfängerstaat ein "angemessenes Datenschutzniveau" innehat.

Diese Angemessenheit eines Datenschutzniveaus eines Drittstaates stellt hierbei die EU-Kommission fest. Die Anzahl dieser Staaten mit festgestelltem angemessenen Datenschutzniveau ist allerdings sehr überschaubar. Bisher sind dies die Staaten Andorra, Argentinien, Australien, Färöer, Israel, die Isle of Man, Kanada, Guernsey, Jersey, die Schweiz und seit Herbst letzten Jahres auch Uruguay.

Vor kurzem nun hat aber die EU-Kommission ein angemessenes Datenschutzniveau im Sinne von § 4b BDSG bei Neuseeland festgestellt.

Bei all diesen Staaten mit von der EU-Kommission festgestelltem "angemessenem Datenschutzniveau" handelt es sich um "sichere Drittstaaten" im Sinne des Bundesdatenschutzgesetzes.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe

Die Befugnisse der Datenschutz-Aufsichtbehörden gegenüber Unternehmen

Bekanntermaßen ist eine der Säulen zur Überwachung der Einhaltung des Datenschutzes in der Bundesrepublik Deutschland die staatliche Aufsicht in Gestalt der Datenschutz-Aufsichtsbehörden. Die Aufsichtsbehörden haben nicht nur die Befugnisse, die in § 43 BDSG genannten Ordnungswidrigkeiten in Form der Verhängung von Bußgeldern zu verfolgen.

Die Datenschutz-Aufsichtsbehörden haben darüber hinaus noch weitere Möglichkeiten, gegenüber Unternehmen zu agieren.

Zum einen besteht gemäß § 38 Abs. 3 BDSG ein Auskunftsrecht der Aufsichtsbehörden und damit korrelierend also eine Auskunftspflicht des Unternehmens über bestimmte datenschutzrechtlich relevante Sachverhalte. Über solch einen Fall berichtet das Verwaltungsgericht Leipzig in einer Pressemitteilung, nach welcher der sächsische Datenschutzbeauftragte von einem Unternehmen eine "Darstellung aller Geschäftsprozesse, welche die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zum Gegenstand haben" verlangt. Diese Auskunft erstreckt sich in dem geschilderten Fall auf praktisch alle datenschutzrechtlich relevanten Verarbeitungsprozesse im Unternehmen und kommt damit eigentlich dem Inhalt des sogenannten internen Verfahrensverzeichnisses gleich. Die Rechtmäßigkeit dieses sehr weiten Auskunftsbegehren hat das Verwaltungsgericht Leipzig bestätigt. Anbei die Pressemitteilung des Verwaltungsgerichts Leipzig:

Im Verfahren 5 L 1308/12 wandte sich die U. Holding GmbH gegen die vom Sächsischen Datenschutzbeauftragten auf der Grundlage des § 38 Abs. 3 Bundesdatenschutzgesetz (BDSG) verlangte »Darstellung aller Geschäftsprozesse, welche die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zum Gegenstand haben«. Mit Beschluss vom 3. Dezember 2012 lehnte die 5. Kammer des Verwaltungsgerichts Leipzig den auf einstweiligen Rechtschutz gerichteten Antrag ab und bestätigte die Rechtmäßigkeit des Auskunftsverlangens des Datenschutzbeauftragten. Ein weiteres Verfahren der U. GmbH mit ähnlichem Sachverhalt steht kurz vor dem Abschluss.

Darüber hinaus sind noch weitere Verfahren anhängig. Hier geht es darum, dass U. und ihre Tochterfirmen sich gegen die vom Sächsischen Datenschutzbeauftragten verlangte Bestellung eines externen Datenschutzbeauftragten wenden. Ein hierzu anhängiges Eilverfahren soll demnächst entschieden werden.

Es ist darauf hinzuweisen, dass die verwaltungsgerichtlichen Verfahren und die Ermittlungsverfahren der Staatsanwaltschaft unabhängig voneinander geführt werden.
(Quelle: Pressemitteilung des VG Leipzig vom 13.12.2012)

Darüber hinaus ist eine Datenschutz-Aufsichtsbehörde gemäß § 38 Abs. 4 BDSG befugt, während der Betriebs- und Geschäftszeiten Grundstücke und Geschäftsräume des Unternehmens zu betreten und dort Prüfungen und Besichtigungen vorzunehmen. Hierbei darf die Datenschutz-Aufsichtsbehörde auch geschäftliche Unterlagen, die Verfahrensverzeichnisse und die gespeicherten personenbezogenen Daten und Datenverarbeitungsprogramme einsehen.

Stellt die Datenschutz-Aufsichtsbehörde Datenschutzverstöße im Unternehmen fest, dann kann sie deren Beseitigung verlangen (§ 38 Abs. 5 BDSG) und auch die Änderung technischer oder organisatorischer Maßnahmen gemäß § 9 BDSG (und Anlage) verlangen.

Ein Beispiel hierfür ist die erlassene Verfügung des unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD) gegen Facebook. Diese angeordneten Maßnahmen können mit den Mitteln des Verwaltungsvollstreckungsrechts (also unter anderem mit der Verhängung von Zwangsmitteln wie zum Beispiel Zwangsgeld) durchgesetzt werden.

Darüber hinaus hat die Datenschutz-Aufsichtsbehörde die Befugnis, einen nicht den Erfordernissen des § 4f BDSG (also in der Regel mangelnde Fachkunde, Interessenkonflikt oder schlichtweg Untätigkeit) genügenden Datenschutzbeauftragten abzuberufen.

RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe