Mehr Sanktionen, weniger Beratungen. Das droht, wenn die Politik die Datenschutz-Aufsichtsbehörden weiterhin personell und finanziell zu knapp hält. Die bayerische Datenschutzaufsichtsbehörde hat für den Standort Bayern jetzt eine drastische Kursänderung angekündigt.

HAUSHALT BAYERN HEMMT DATENSCHUTZ

Der Standort München gehört zu den besten IT-Standorten in Europa. Dort finden sich zahlreiche Zweigniederlassungen internationaler IT-Firmen wie Microsoft, Adobe, AMD, Apple, Cisco Systems, IBM oder Oracle. Vor dieser illustren Kulisse agierte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bislang äußerst zurückhaltend: Beratungen waren das Hauptgeschäft, Sanktionen die Ausnahme. Inwieweit sich das Verhältnis nun umkehrt, wird die Landespolitik entscheiden müssen.

Das erste Praxisjahr mit der Datenschutz-Grundverordnung (DSGVO) hatte es in sich: Während 2017 rund 3.700 Beratungsanfragen im BayLDA eingingen, waren es 2018 rund 9.200. Ähnlich sieht es auch in anderen Aufsichtsbehörden aus, weshalb sie derzeit darüber diskutieren, ob Beratungen überhaupt zu den Pflichtaufgaben gehören. Grundsätzlich sieht BayLDA-Leiter Thomas Kranig sie positiv, da „wir so erfahren haben, welche Bearbeitungen in der Praxis stattfinden oder geplant sind“. Angesichts des Ansturms sieht er sich jedoch gezwungen, die Anfragen aus Kapazitätsgründen zunehmend abzulehnen.

Der Grund: Der nächste Landeshaushalt sieht keine neuen Personalstellen für die Datenschutzaufsicht vor – es soll bei den gegenwärtig 24 Planstellen bleiben. Anlässlich der Vorstellung seines Tätigkeitsberichts kündigte Kranig die Konsequenz an: Er müsse die Beratungsleistungen der Aufsichtsbehörde nun „weitgehend einstellen“. Für ihn ist das eine Art Kapitulation, da er bisher nach dem Leitsatz gehandelt habe, dass „jede Beratung, die dazu beiträgt, dass kein Datenschutzverstoß begangen wird, viel mehr wert ist als zahlreiche Sanktionen“.

Kranig steht damit nicht allein. Die niedersächsische Landesdatenschutzbeauftragte stellte die individuelle Beratung bereits im November weitgehend ein. Allein Vereine und Verbände werden über eine eigene Hotline noch weiter telefonisch beraten.

MELDUNGEN VON VERSTÖßEN DURCH DSGVO EXPLODIERT

Die Belastung der Mitarbeiter steigt auch mit der neu eingeführten Meldepflicht für Datenschutzverstöße. 2.376 Meldungen gingen nach dem 25. Mai ein, davor waren es seit Jahresanfang lediglich 95 Meldungen. Kranig: „Dies ist ein absoluter Rekordwert in unserer Geschichte als bayerische Aufsichtsbehörde.“ An manchen Tagen würden über 30 Vorfälle gemeldet, von Cyberattacken auf Unternehmen über unverschlüsselte Rechner in Arztpraxen bis zu fehlversendeten Versicherungsschreiben.

Bislang sanktionierte Kranig keine Verstöße gegen die DSGVO, weder mit Warnungen noch mit Verwarnungen, Geldbußen oder Widerrufen von Zertifizierungen. Einige Anweisungen und Anordnungen wurden jedoch erlassen. Das könnte sich ändern, wobei auch Betreiber kleiner Webseiten mit Bußgeldern rechnen können. Einen Vorgeschmack darauf geben die themenspezifischen Prüfbögen, die das BayLDA seit einigen Jahren stichprobenweise an ausgewählte Unternehmen verschickt.

BUßGELDER FÜR NICHT IMPLEMENTIERTE SSL-VERSCHLÜSSELUNG

Vor kurzem konnte man im Blog der Projekt29 einen Artikel über Abmahnungen wegen fehlender SSL-Verschlüsselung lesen. Die Frage, ob das Fehlen von SSL-Verschlüsselungen ein Verstoß gegen die DSGVO darstellen kann, ist nach Ansicht der Datenschutzaufsichtsbehörden geklärt: Das BayLDA hat die Problematik in ihren aktuellen Prüfkatalog aufgenommen. So prüfte es zwischen Februar und August vergangenen Jahres 172 Webseiten darauf, ob sie das weit verbreitete Content-Management-System WordPress verwendeten. 18 Webseiten, die WordPress tatsächlich einsetzten, wurden hinsichtlich der HTTPS-Implementierung, der aktuellen Version der WordPress-Installation und der eingesetzten WordPress-Plugins überprüft. Alle Webseiten wiesen Mängel auf. Bei vier Seiten war die WP-Version so veraltet, dass sie zahlreiche längst bekannte Sicherheitslücken enthielt. Sechs Webseiten verfügten nicht über eine HTTPS-Verschlüsselung, teilweise konnte sogar der Admin-Bereich unverschlüsselt aufgerufen werden.

Zwar stellten die Betreiber die Mängel nach einem Anschreiben der Behörde zunächst ab. Eine Nachprüfung Ende 2018 zeigte aber, dass einzelne Verantwortliche anschließend trotz neuer Sicherheitslücken wieder keine Patches durchgeführt hatten. Die Behörde erwägt künftig, in solchen Fällen die Betreiber nicht mehr erneut zu kontaktieren, sondern direkt Bußgeldverfahren einzuleiten.

Ob auch andere Organisationen in solchen Fragen tätig werden können, ist noch nicht klar: Derzeit verschickt die IGD Interessengemeinschaft Datenschutz e.V. im größeren Stil Abmahnungen in Höhe von 285,60 Euro wegen fehlender SSL-Verschlüsselungen auf Webseiten. Aus Sicht des baden-württembergischen Landesdatenschützers Stefan Brink ist das „der erste breitere Versuch, nach der DSGVO Abmahnungen auszusprechen“. Sie sind rechtlich fragwürdig, weil die Wettbewerbswidrigkeit von DSGVO-Verstößen vom Bundesgerichtshof noch nicht abschließend geklärt wurde. Mehrere Landgerichte sprachen sich bislang dagegen aus, das OLG Hamburg jedoch dafür.

PATCH-MANAGEMENT PRÜFEN

Im Fokus des BayLDA steht jedoch nicht die Frage, ob eine Sicherheitslücke besteht, sondern ob Sicherheitslücken regelmäßig behoben werden. Kann ein Betreiber zeigen, dass er sich um das Patch-Management kümmert, hat er nichts zu befürchten. Im November 2018 wurde beispielsweise eine sehr kritische Sicherheitslücke im WP GDPR Compliance Plugin bekannt, mit dem Webseitenbetreiber eigentlich Vorgaben der DSGVO einhalten wollten. Die Lücke bestand bis einschließlich Version 1.4.2. Das BayLDA startete kurzfristig einen automatisierten Prüflauf bei über 1.000 Webseiten in Bayern. 23 Webseiten, die eine unsichere Plugin-Version nutzten, wurden in einem Anschreiben mit drei Fragen konfrontiert: In welcher Version wird WordPress als CMS für den Betrieb der Webseite verwendet? Kommt das WP GDPR Compliance Plugin zum Einsatz? Falls ja, wurde das Plugin bereits aktualisiert?

ONLINESHOPS WERDEN GEZIELT UNTER DIE LUPE GENOMMEN

Ähnlich ging das BayLDA auch zwischen Oktober und Dezember 2018 bei der Prüfung von Onlineshops mit der Software Magento vor. Dabei prüfte es die Installationen von 20 Anbietern dahingehend, ob alle verfügbaren wichtigen Sicherheitspatches eingespielt und bekannte kritische Schwachstellen behoben wurden. Die Webseitenbetreiber sollten außerdem über einen geregelten Prozess zum Patch Management verfügen und die datenschutzrechtlichen Verpflichtungen im Umgang mit Sicherheitsverletzungen umsetzen können.

Zu den Prüffragen gehörte unter anderem, ob „HTTPS in ausreichender Konfiguration zum Einsatz“ komme und ob eine aktuelle Magento-Version eingesetzt werde. Im Ergebnis stellte die Aufsichtsbehörde fest, dass 15 der Shops „zum Teil gravierende Mängel“ aufwiesen. Vor allem wichtige Sicherheitspatches waren nicht installiert worden. Auch gab es in wenigen Fällen Backend-Pfade wie das Administratorenverzeichnis /admin/, die nicht ausreichend geschützt waren.

DATENSCHUTZ IN KFZ-WERKSTÄTTEN DÜRFTIG

Eine wegweisende Entwicklung der Prüftätigkeiten besteht darin, dass das BayLDA über den Tellerrand der IT-Branche blickt: Es führte bereits 2017 die ersten Datenschutzprüfungen zu Fahrzeugdaten durch: Fahrzeugdaten gelten dann als personenbezogene Daten, wenn sie mit der Fahrgestellnummer oder den Kundendaten verknüpft werden. Die im Fahrzeug generierten Daten werden in der Werkstatt für die Inspektion oder die Reparatur benötigt, aber dabei zum Teil an die Kfz-Hersteller übermittelt.

Vom Juni bis Oktober 2017 stellte das BayLDA einschlägige Prüffragen an 12 Kfz-Werkstätten. Dazu gehörte beispielsweise die Frage: „Welche Daten werden bei einem Werkstattbesuch aus dem Fahrzeug erhoben und in den Systemen der Werkstatt gespeichert?“, „Wird der Kunde von der Speicherung in Kenntnis gesetzt und wenn ja, wie?“ und „Zu welchem Zweck werden Daten weitergeleitet?“ Dabei stellte sich heraus, dass einige Werkstätten von den Kunden unzureichende Einwilligungen einholten. Insbesondere wurden die Kunden nicht genügend informiert. Das BayLDA hält im Übrigen eine zentrale Führung der elektronischen Service- und Reparaturhistorie beim Automobilhersteller nur auf Vertragsbasis für zulässig. Gleiches gilt für die Teilnahme an Vergütungs- und Bonusprogrammen. Behördenleiter Thomas Kranig will demnächst zusammen mit den Verbänden der Kfz-Werkstätten und der Automobilindustrie einheitliche Verfahrensweisen abstimmen.

KEIN BUßGELDKATALOG

Die bayerische Aufsichtsbehörde zeichnete sich bislang dadurch aus, vor allem in Beratungen und Verhandlungen mit den Unternehmen auf Fortschritte zu drängen, während die Prüfbögen vor allem auf kleine Unternehmen abzielten. Bußgelder wurden äußerst selten verhängt. Das könnte sich nun mit der angedrohten Einstellung der Beratungen ändern. Die Politik hat es in der Hand, mit der personellen Ausstattung der Aufsichtsbehörden deren Reaktionsweisen zu lenken: Wer mehr Personal hat, kann auch mehr beraten.

Mit welchen Sanktionen die Unternehmen nun rechnen müssen, ist nicht ausgemacht. Noch gibt es keinen einheitlichen Bußgeldkatalog in Deutschland. Wie viel also ein fehlendes SSL-Zertifikat kostet oder eine Schlamperei im E-Mail-Verteiler, ist offen. Klar ist nur, dass es richtig teuer werden kann, sobald strafrechtliche Aspekte wie Betrug oder Ausspähung eine Rolle spielen. Das deutsche Rekordbußgeld von 1,3 Millionen Euro verhängte die rheinland-pfälzische Datenschutzbehörde gegen den Versicherer Debeka im Jahr 2014. Dabei ging es um den Vorwurf, dass Mitarbeiter des öffentlichen Dienstes an die Debeka Daten angehender Beamter gegen Entlohnung weitergegeben hätten. Ein Großteil des Bußgeldes wurde dafür verwendet, um an der Universität Mainz einen Lehrstuhl für Datenschutz einzurichten.

Das Verfahren wurde damals von Stefan Brink geleitet, der jetzt die Aufsichtsbehörde in Baden-Württemberg leitet. Er ist es auch, der die zwei bisher höchsten Bußgelder nach der DSGVO verhängt hat: 80.000 Euro in einem Fall, bei dem Gesundheitsdaten versehentlich ins Internet gelangten, sowie 20.000 Euro gegen das Internet-Unternehmen knuddels.de wegen einer Datenpanne, bei der die Daten von über 330.000 Nutzern entwendet wurden. Den aktuellen Rekord hält die französische Datenschutzbehörde CNIL mit 50 Millionen Euro gegen Google. Die deutschen Aufsichtsbehörden arbeiten daran, sich auf einen gemeinsamen Bußgeldrahmen zu verständigen. Die niederländische Datenschutzbehörde hat bereits ihren Katalog veröffentlicht, in dem sie den Bußgeldrahmen nach vier abstrakt gehaltenen Kategorien einteilt. Letztendlich werden sich die europäischen Aufsichtsbehörden über eine einheitliche Anwendung der Sanktionsbestimmungen verständigen müssen