Ein größeres Unternehmen aus dem Gesundheitssektor verfügte über eine aus dem Internet zugängliche Schnittstelle für den Zugriff auf die E-Mailkonten des Unternehmens. Aufgrund einer Beschwerde wurde die Datenschutzbehörde darauf aufmerksam, dass verschiedene Funktions-E-Mail-Adressen mit einem einfachen Passwort wie „123456“ gesichert waren. Mit Kenntnis der EMail- Adresse und der dazugehörigen Domäne war aus dem Internet ein Zugriff auf die Inhalte der E-Mail-Postfächer möglich.
Mehrere der so zugänglichen Postfächer waren leer oder enthielten keine sonderlich sensiblen Daten. Einzelne Postfächer enthielten jedoch umfangreiche Bewerbungsunterlagen und Gesundheitsdaten Dritter. Für solche Daten gilt die (zweithöchste) Schutzstufe D nach dem Schutzstufenkonzept des LfD Niedersachsen, da die unsachgemäße Handhabung solcher Daten die datenschutzrechtlich Betroffenen in ihrer gesellschaftlichen Stellung oder ihren wirtschaftlichen Verhältnissen erheblich beeinträchtigen und zu einer Existenzgefährdung führen könnte.
Die Zugänglichkeit mit einfachen Passwörtern stellt einen Verstoß gegen den Grundsatz der Vertraulichkeit dar: Das Unternehmen hatte nicht die erforderlichen technischen und organisatorischen Maßnahmen ergriffen, um zu verhindern, dass auf die E-Mail-Konten zugegriffen werden konnte. Das Unternehmen stellte die Verstöße nach Kenntniserlangung zeitnah ab. Im Verlauf des Verfahrens wurde deutlich, dass die technisch-organisatorischen Maßnahmen im Übrigen überdurchschnittlich ausgeprägt sind. Der Geldbuße in Höhe von 115.000 € ging eine Erörterung zwischen dem Unternehmen und der Behörde voraus.
Quelle: Der Landesbeauftragte für den Datenschutz Niedersachsen
Sind Sie sich sicher, ob Ihr Unternehmen oder Ihre Behörde im Hinblick auf Datenschutz und Datensicherheit richtig aufgestellt ist, so wie es der geschilderte Fall nahelegt?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks