Der öffentliche Nahverkehr in Berlin, die BVG, ist hauptsächlich aufgrund von Verspätungen oder wegen ihrer durchaus kreativen Werbekampagnen in den Medien. Die Aufmerksamkeit der Berliner Beauftragte für den Datenschutz erlangte die BVG nun allerdings aufgrund negativer Presseberichte über den dort praktizierten Datenschutz. Zeitungsartikel, nach denen Führungskräfte unbefugt Zugriff auf sensible Mitarbeiterdaten erhalten haben, gaben Anlass für eine Betriebsprüfung der Aufsichtsbehörde. Die Pressemitteilung ist interessant, da sie Mängel in der Datenschutzorganisation aufzeigt, die vermutlich in vielen Unternehmen vorhanden sind. Vielleicht findet sich auch Ihr Unternehmen hier wieder?
Der Inhalt im Überblick
Führungskraft hatte unbefugt Zugriff auf Daten
Eine Führungskraft der BVG hatte über einen Zeitraum von ca. 2 Wochen unbefugt Zugriff auf ein Laufwerk mit sensiblen Personaldokumenten. Darunter befanden sich Unterlagen des Personalrates, der Schwerbehindertenvertretung und der Frauenbeauftragten und damit zugleich Informationen über den Gesundheitszustand einzelner Mitarbeiter. Die Berliner Datenschutzbeauftragte konnte feststellen, dass mindestens ein Dokument geöffnet und ausgedruckt wurde. Da jedoch von Seiten der BVG keine Protokollierung eingerichtet war, konnten Zugriffe weiterer Personen nicht aufgeklärt werden.
Laut Bericht in der Süddeutschen Zeitung geht die Pressesprecherin der BVG von einem Einzelfall oder Zufall aus. Der Vorfall basiere auf dem Fehler eines IT-Mitarbeiters. Bei der Vergabe von Berechtigungen sei ein Häkchen versehentlich falsch gesetzt worden. Verdi sieht hier hingegen einen gravierenderen Datenschutzverstoß. Demnach werde geprüft, ob Strafanzeige gestellt werden kann.
Vorfall zeigt erhebliche Mängel in der Datenschutzorganisation
Der Vorfall verdeutlicht allerdings auch ohne Kenntnis des konkreten Sachverhaltes mehrere Lücken in der Datenschutzorganisation. Die Berliner Datenschutzbeauftragte hat im Rahmen der Betriebsprüfung gleich mehrere „erhebliche Mängel“ aufgedeckt und folgerichtig hervorgehoben, dass Unternehmen Verstöße künftig nicht mehr auf Fehler einzelner Mitarbeiter schieben können.
Die festgestellten Mängel betreffen die in § 9 BDSG beschriebenen technischen und organisatorischen Maßnahmen:
- Trennungsgebot missachte: Die sensiblen Daten der Beschäftigtenvertretung lagen auf einem gemeinsamen Laufwerk wie die Unternehmensdaten.
- Zugriffskontrolle nicht vorhanden: Die Zugriffskontrolle erfordert, dass nur berechtigte Personen Zugriff auf ein Datenverarbeitungssystem haben. Die Vergabe der Berechtigung hat sich nach dem Need-To-Know-Prinzip zu orientieren. Ebenfalls schützen Maßnahmen der Zugriffkontrolle davor, dass personenbezogene Daten unbefugt gelesen, gelöscht oder verändert werden können. Zu diesem Zweck muss eine Protokollierung der Zugriffe erfolgen. Bei der BVG waren laut Aufsichtsbehörde die Prozesse zur Vergabe von Berechtigungen veraltet, ungeeignet und nicht überprüfbar. Zudem fehlte es an einer Protokollierung.
- Ebenfalls nicht funktioniert hat die Einbindung des Datenschutzbeauftragten. Dieser hatte zunächst überhaupt keine Kenntnis über den Vorfall.
Welche Konsequenzen drohen bei Datenschutzverstößen?
Bei Datenschutzverstößen drohen Unternehmen bisher ein Bußgeldrahmen bis zu 300.000 Euro und ein Imageschaden durch negative Presse. Mit der Datenschutz-Grundverordnung ziehen der Bußgeldrahmen und damit auch die Gewichtung des Datenschutzes merklich an. Dies hat die Berliner Datenschutzbeauftragte nochmals deutlich zum Ausdruck gebracht:
„Bei den festgestellten Problemen handelt es sich leider nicht um einen Einzelfall. In unseren Prüfungen stellen wir häufig strukturelle Mängel in der Datenschutzorganisation fest, die mitunter zu fatalen Datenschutzverstößen führen können, wie das Beispiel der BVG zeigt. Unternehmen sollte bewusst sein, dass sie sich bei solchen Verstößen künftig nicht mehr auf Fehler einzelner Mitarbeiter berufen können. Nach der Datenschutzgrundverordnung, die im Mai 2018 wirksam wird, können mangelhafte technisch-organisatorische Vorkehrungen mit hohen Geldbußen geahndet werden.“
Wie kann mit dem Risiko umgegangen werden?
Es gibt vielerlei Gründe, weshalb es bei Unternehmen an einer funktionierenden Zugriffskontrolle fehlt. Ob das Unternehmen nun schnell gewachsen ist, oder gewissen Strukturen schon seit Generationen nicht mehr hinterfragt wurden – Handlungsbedarf besteht sicherlich an vielen Stellen. Fehlen tut es allerdings häufig an der Priorisierung dieses Themas und an der Schaffung zeitlicher und finanzieller Ressourcen. Unweigerlich ist eine stringente Vergabe von Berechtigungen, die Einrichtung von Protokollierung und die konsequenten Einbindung der Datenschutzbeauftragten mit Aufwand verbunden. Dennoch sollten vorhandene Prozesse im Rahmen der Vorbereitung auf die DSGVO hinterfragt und bestehende Mängel behoben werden. Orientierung bietet hier das Kurzpapier „Maßnahmenplan DSGVO“ der unabhängigen Datenschutzbehörden des Bundes und der Länder.