Datenschutzverstoß bei Amazon?

Mitarbeiter einer Zeitarbeitsfirma in Polen protokollierten Mitschnitte von mit Alexa geführten Gesprächen.
Im Frühjahr hatten Berichte für Aufsehen gesorgt, wonach sowohl Amazon als auch Wettbewerber wie Google und Apple einzelne Sprachaufzeichnungen der von ihnen betriebenen digitalen Assistenten von ihren Mitarbeitern auswerten lassen.
Laut einem Bericht der Welt am Sonntag vom 05.08.2019 hat Amazon die Schraube sogar noch ein Stückchen weiter gedreht und die Auswertungsaufgaben zum Teil an die polnische Tochter der Zeitarbeitsfirma Randstad ausgelagert. Neben Amazon-Mitarbeitern hörten demnach auch Mitarbeiter von Randstad Polen einzelne Gespräche von Amazon-Kunden ab und werteten diese aus. Die Arbeit konnte unter Umständen sogar vom Home Office der Randstad-Mitarbeiter aus durchgeführt werden. Dabei waren laut Amazon allerdings „strenge Sicherheitsmaßnahmen“ zu beachten. Ob hierdurch die Maßgaben der DSGVO vollumfänglich gewahrt worden sind, ist noch nicht abschließend festgestellt.

Hintergrund für den Einsatz von Menschen bei der Auswertung beim Betrieb von digitalen sprachgesteuerten Assistenten ist, dass letztere viele Befehle noch nicht oder missverstehen. Indem die Mitarbeiter die Ausgabe des Amazon-Algorithmus händisch korrigieren, trainieren sie ihn und sorgen auf diese Weise dafür, dass die Reaktionen von Alexa immer präziser werden.
Amazon hat das Datenschutzportal für Alexa zwischenzeitlich überarbeitet. Unter anderem sollen die Nutzer der Auswertung von Sprachaufnahmen widersprechen können.

Die DSGVO bietet ein umfassendes Instrumentarium, um den Internetgiganten mit der Macht des größten Binnenmarktes der Welt, der Europäischen Union, entgegenzutreten. Man darf gespannt sein, ob sich die EU angesichts des oftmals freizügig erscheinenden Umgangs mit den personenbezogenen Daten der Bürger mit Amazon, einem der größten Unternehmen der Welt, anlegen wird.

100 Millionen Bankdaten gestohlen

Eine Hackerin hat in den USA Daten von 100 Millionen Bankkunden der Capital One Financial Corp. gestohlen. Von diesem Angriff waren außerdem weitere 6 Millionen Kunden in Kanada betroffen.
Dabei konnte die 33-jährige Informatik-Ingenieurin Daten aus den Jahren 2005 bis 2019 erbeuten. Darunter finden sich Adressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten sowie Angaben zur Bonität und Kontostände der Bankkunden. Die Verdächtige konnte von der Bundespolizei FBI festgenommen werden und muss bei einer Verurteilung mit fünf Jahren Haft sowie ca. 250.000 Dollar Geldstrafe rechnen.
Nach Angaben der sechstgrößten Bank in den USA wurden die Daten jedoch nicht weiter veräußert, da das Unternehmen durch einen externen Hinweis nach zwei Tagen den Daten-Diebstahl feststellte. Für die Panne muss die Capital One Financial Corp. im Laufe des Jahres etwa 100 bis 150 Millionen Dollar (ca. 135 Millionen Euro) für Rechtskosten, Benachrichtigungen an Kunden sowie die Umstellung der Technik aufbringen.

Mehr zum Thema finden Sie hier:
https://www.heise.de/newsticker/meldung/Hackerin-prahlt-mit-Bank-Hack-mit-100-Millionen-Betroffenen-4483011.html

Neue Erpressungswelle droht

Die Sicherheitslücke BlueKeep in Microsoft-Betriebssystemen könnte ähnliche Ausmaße annehmen wie bei den Verschlüsselungstrojanern WannaCry oder NotPetya aus dem Jahr 2017. Bereits im Mai hatte das Unternehmen auf die Schwachstelle BlueKeep aufmerksam gemacht und für alle Betriebssysteme einen Patch veröffentlicht. Selbst für die älteren Systeme wie Windows XP und Windows 2003, die eigentlich nicht mehr von Microsoft unterstützt werden, wurde ein Patch bereitgestellt. Die ausgemachte Schwachstelle befindet sich im Microsofts Remote Desktop Protocol (RDP) und könnte als Einfallstor für Erpressung, Sabotage oder Spionage ausgenutzt werden. Die Schadprogramme WannaCry und NotPetya verursachten weltweit Schäden in Millionenhöhe und brachten einige Unternehmen in Existenznöte.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Sicherheitsexperten warnen daher eindringlich vor einem neuen katastrophalen Befall der Systeme. Das BSI fordert alle Anwender dieser Betriebssysteme auf, die Bedrohung durch ein Update zu verhindern. Wer dies nicht tue, setzt sich fahrlässig den wurmartigen Cyber-Angriffen aus, denn noch immer könnten laut BSI mindestens 14.000 Computer in Deutschland von einer Attacke betroffen sein.

Mehr zum Thema finden Sie hier:
https://www.spiegel.de/netzwelt/web/windows-schwachstelle-bluekeep-countdown-zum-naechsten-wannacry-a-1279134.html

oder hier:
https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/Windows-Schwachstelle-Bluekeep_110619.html

Fünf Milliarden Dollar Strafe für Facebook

Facebook muss die höchste jemals verhängte Strafe aufgrund von (wiederholten) Datenschutzverstößen hinnehmen. Auf rund fünf Milliarden Dollar (4,5 Milliarden Euro) hat sich die US-Verbraucherschutzbehörde FTC mit dem Internet-Konzern geeinigt. Die Behörde begründet ihre Strafzahlung damit, dass Facebook die Nutzer über die Kontrolle der eigenen Daten getäuscht habe. Die FTC konzentrierte sich besonders auf den Skandal der Cambridge Analytica vom März 2018, bei dem persönliche Informationen von ca. 87 Millionen Facebook-Nutzern gesammelt wurden.

Darüber hinaus wurde zwischen der Behörde und dem Unternehmen die Einführung weiterer Kontrollmechanismen vereinbart. So soll eine unabhängige Kommission eingerichtet werden, deren Mitglieder nur unter strengsten Vorgaben vom Facebook Verwaltungsrat entlassen werden könnte.

Mehr zum Thema finden Sie hier:
https://www.zeit.de/digital/datenschutz/2019-07/datenschutz-facebook-strafe-verstoss-us-behoerden-verbraucherschutz

DSGVO-Bußgelder in Höhe von fast EUR 320.000.000 verhängt oder angedroht

Kurz vor dem Ausstieg aus der EU macht die britische Datenschutzbehörde mit Strafandrohungen von mehr als EUR 200 Mio. gegenüber British Airways und mehr als EUR 110 Mio. gegenüber der Hotelkette Marriott auf sich aufmerksam.
Bei British Airways hatten Betrüger im Sommer 2018 über 500.000 Datensätze von BA-Kunden erbeutet. Untersuchungen hatten ergeben, dass British Airways den Betrügern die Arbeit durch unzureichende technische und organisatorische Maßnahmen zu einfach gemacht hatte. Die Datenschutzbehörde bewertete den Verstoß mit knapp EUR 400 je erbeutetem Datensatz, insgesamt fast EUR 205 Mio.
Die Hotelkette Marriott war im November 2018 ebenfalls von Hackern angegriffen worden. Dabei wurden weltweit ca. 339 Mio. Datensätze erbeutet, wovon ca. 7 Mio. britische Einwohner betrafen. Das Datenleck hatte vermutlich bereits seit 2014 bestanden. Die Datenschutzbehörde wirft Marriott Hotels vor, die Sicherheitsmaßnahmen für den Schutz der Kundendaten beim Erwerb der Datenbanken nicht sorgfältig genug überprüft zu haben.

Mehrere Bußgelder gegen Krankenhäuser verhängt

In Portugal wurde bereits im Jahr 2018 ein Krankenhaus mit einem Bußgeld in Höhe von EUR 400.000 belegt. Dort hatte sich das Personal mittels gefälschter Profile rechtswidrig Zugriff auf Patientendaten verschafft. So existierten dort fast eintausend Arztprofile mit entsprechenden Zugriffsrechten, tatsächlich waren an dem Krankenhaus jedoch lediglich 295 Ärzte und Ärztinnen beschäftigt.

Ein noch etwas höheres Bußgeld, insgesamt EUR 460.000, verhängte die Niederländische Datenschutzbehörde ebenfalls gegen ein Krankenhaus. Auch hier wurde beanstandet, dass die Daten der Patienten nicht angemessen geschützt seien.

Deutsche Datenschutzbehörden halten sich bei der Strafhöhe zurück

Die deutschen Datenschutzbehörden fallen bisher eher durch die Anzahl der verhängten Bußen, statt durch deren Höhe auf. So sind bisher aus Deutschland insgesamt 101 Fälle bekannt geworden, in denen die Datenschutzbehörden Bußgelder in Höhe von insgesamt knapp EUR 500.000 verhängt haben. Die Beträge reichen hierbei von EUR 118 bis hinauf zum bisherigen Höchstbetrag (in Deutschland) von EUR 80.000. Für die zweite Jahreshälfte ist davon auszugehen, dass die Datenschutzbehörden zunehmend aktiver werden.

Virtuelle Assistenten schneiden nicht nur private Unterhaltungen mit

Im Internet finden sich immer wieder Geschichten, in denen berichtet wird, wie z.B. Amazons Alexa oder der Google Assistant Unterhaltungen mitschneiden, obwohl sie niemand bewusst dazu aufgerufen hat. Bisher beschränken sich diese Anekdoten stets auf den privaten Bereich, doch auch im geschäftlichen Bereich ist es durchaus vorstellbar, dass Gespräche von virtuellen Assistenten aufgezeichnet werden könnten, ohne dass der Nutzer davon erfährt.

Die Spracherkennung hat in den letzten Jahren große Fortschritte gemacht, so dass die führenden Unternehmen auf diesem Gebiet nicht nur schriftliche Texte sondern auch Tonaufnahmen immer besser und effizienter analysieren können. So durfte sich der Autor dieses Artikels beispielsweise kürzlich darüber freuen, dass der Google Assistant ungefragt eine an ihn gerichtete E-Mail ausgewertet und den darin enthaltenen Hotelaufenthalt (samt Ort und Zeitpunkt) vollautomatisch in seinen Kalender eingetragen hat. Wenn das die werte Gattin gesehen hätte …

Der Gedanke liegt nicht fern, dass bereits jetzt zufällig oder weniger zufällig mitgeschnittene Gespräche mit Hilfe Künstlicher Intelligenz hinsichtlich ihrer Relevanz ausgewertet werden könnten. Vor diesem Hintergrund ist es angeraten und gemäß Art. 32 DSGVO im Übrigen auch geboten, angemessene Vorsichtsmaßnahmen zu treffen, um einen nichtautorisierten Abfluss von personenbezogenen Daten und Geschäftsgeheimnissen zu verhindern.

Eine geeignete Vorsichtsmaßnahme ist es beispielsweise, dass die Smartphones der Teilnehmer einer vertraulichen Besprechung ausgeschaltet am Empfang abgegeben oder zumindest in einem schalldichten Behälter im Raum deponiert werden. Es genügt im Übrigen nicht, Smartphones während einer Besprechung einfach in den Flugmodus zu schalten. Android-Telefone zeichnen laut einem Bericht der Washington Post mindestens den Ort und die Aktivitäten des Nutzers auch während der Flugmodus-Phase auf und übermitteln diese an Google, sobald wieder eine Internetverbindung besteht. Da die Spracherkennung des Google Assistant seit Mai diesen Jahres auch offline funktioniert, ist auch in dieser Hinsicht Vorsicht geboten.

Sicherlich ist es nicht erforderlich bzw. teilweise kaum mehr möglich, komplett auf virtuelle Assistenten zu verzichten. Zumindest wenn sensible Themen besprochen werden, sollte der freundliche kostenlose Helfer jedoch draußen bleiben.

Ein Jahr DSGVO – Fast eine halbe Million Euro Bußgelder verhängt

Laut einer Umfrage der Welt am Sonntag unter den deutschen Datenschutzbehörden wurden in den ersten zwölf Monaten nach Inkrafttreten der DSGVO Bußgelder in Höhe von ca. EUR 485.000 in Deutschland verhängt.

Die Spannbreite reichte hierbei von Bußgeldern in Höhe von wenigen hundert Euro bis hin zu einem vorläufigen Rekordbußgeld in Höhe von EUR 80.000, das der Landesbeauftragte für den Datenschutz in Baden-Württemberg wegen der unsachgemäßen Verarbeitung von Gesundheitsdaten verhängt hat. In Berlin wurde zudem erst im Mai – quasi zum einjährigen Bestehen der DSGVO – ein Bußgeld in Höhe von EUR 50.000 gegen eine Online-Bank verhängt, die unzulässigerweise Daten ehemaliger Kunden auf einer schwarzen Liste geführt haben soll.

Die Bußgelder werden häufig durch Beschwerden betroffener Personen ausgelöst. Allerdings führt nur ein Bruchteil der eingereichten Beschwerden zu einem Bußgeld. So wurden in den ersten zwölf Monaten über 150.000 Beschwerden allein bei deutschen Datenschutzbehörden eingereicht. Eine Steigerung um ein Vielfaches im Vergleich zu den Zahlen vor Einführung der DSGVO.

In anderen EU-Ländern sind bisher wenige Bußgelder auf Grundlage der DSGVO verhängt worden. Allerdings sind die Bußgeldbeträge zum Teil deutlich höher als in Deutschland. Allen voran die französische „Commission Nationale de l’Informatique et des Libertés“oder CNIL, die im Jahr 2018 exakt ein Bußgeld auf Grundlage der DSGVO verhängt hat, nämlich in Höhe von EUR 50 Mio. gegen Google und zwar wegen nicht im Sinne von Art. 13 DSGVO transparenter bzw. nicht vollständiger Datenschutzinformationen. In Portugal, Polen und Norwegen verhängte Bußgelder, die jeweils deutlich im sechsstelligen Bereich liegen, lassen vermuten, dass sowohl die Anzahl der Bußgeldverfahren, als auch die in den Raum gestellten Bußgeldbeträge in Zukunft europaweit steigen dürften.

Am Ende sollte jedoch nicht vergessen werden, dass die Bußgelder keinen Selbstzweck darstellen dürfen. Es schließlich ist das ausdrückliche Ziel der DSGVO, den freien Verkehr personenbezogener Daten in der EU zu fördern – nicht etwa einzuschränken oder gar zu verbieten (Art. 1 Abs. 3 DSGVO).

Eine systematische Ausrichtung anhand der europäischen Datenschutznormen bietet Unternehmen jeglicher Größe Möglichkeit, bei der Datenverarbeitung in der EU – und zunehmend auch in anderen Regionen der Welt mit vergleichbaren Standards (z.B. Kanada, Japan, Australien) – von den durch die DSGVO gesetzten Standards zu profitieren.

Cookies – Einwilligung oder nicht?

Wer eine Webseite betreibt, ist früher oder später über diese Problematik gestolpert: wird eine Einwilligung für den Einsatz von Cookies benötigt oder nicht? Und wenn ja, wie hat diese auszusehen?

Die Rechtslandschaft auf diesem Gebiet gestaltet sich alles andere als übersichtlich. Da ist die in aller Munde befindliche Datenschutzgrundverordnung (DSGVO). Dann gibt es eine E-Privacy-Richtlinie (EPrivRL). Daneben gibt es das Telemediengesetz (TMG). Auch gehört hat man vielleicht etwas von der geplanten E-Privacy-Verordnung (EPrivVO).

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat kürzlich eine aktualisierte Stellungnahme für Anbieter von Telemedien herausgegeben, zu finden unter

https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf.

Gesetzliche Grundlagen:

Der etwas hölzerne Begriff „Telemedien“ ist legaldefiniert in § 1 Abs. 1 TMG und umschließt das Betreiben von Webseiten.

Spezifische Regelungen über elektronische Kommunikation finden sich in der EPrivRL und im TMG.

Die EPrivRL ist eine von der europäischen Kommission erlassene Richtlinie, die von der Legislative der Mitgliedstaaten in nationales Recht übertragen werden muss. Eine europäische Richtlinie ist vor deren nationaler Umsetzung noch kein für jedermann anwendbares Gesetz und kann allenfalls Signalwirkung bei der Interpretation der nationalen Gesetze entfalten.

Das TMG ist ein vom Bundestag seit 2007 in Kraft getretenes Gesetz, das den Umgang mit Informations- und Kommunikationsdiensten regelt.

Die DSGVO regelt den allgemeinen Umgang mit personenbezogenen Daten, ist also auch grundsätzlich anwendbar auf elektronisch anfallende personenbezogene Daten, und hat grundsätzlich Vorrang vor anderen Gesetzen außer in konkret in der DSGVO geregelten Ausnahmen. Vorrang wird insbesondere den Regelungen eingeräumt, die aufgrund der EPrivRL erlassen wurden, Art. 95 DSGVO. Wenn also das TMG die Umsetzung der EPrivRL darstellt, hätte das TMG als Ausnahme Vorrang vor der DSGVO.

Was wird in diesen Gesetzen vorgeschrieben?

Die EPrivRL verpflichtet die Mitgliedstaaten in Art. 5 Abs. 1 EPrivRL dazu, die Vertraulichkeit von Daten zu gewährleisten, die bei der elektronischen Kommunikation anfallen. Die Speicherung soll nur dann zulässig sein, wenn es sich gemäß Art. 5 Abs. 3 EPrivRL um technisch notwendige Daten handelt. Im Übrigen kann eine darüber hinaus gehende Verarbeitung nur durch eine informierte Einwilligung des Nutzers gerechtfertigt werden.

Das TMG erlaubt die Verarbeitung zu „Zwecke[n] der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien“, § 15 III TMG solange, bis der Nutzer dem widerspricht.

Die bislang überwiegend angewandte Praxis des sogenannten Cookie-Banners, in dem darauf hingewiesen wird, dass Cookies verwendet werden und innerhalb der Datenschutzerklärung auf die Widerspruchsmöglichkeit hingewiesen wird, beruht auf dieser Regelung.

Praktisch umgesetzt bedeutet dies:
Nach der EPrivRL dürfen Sie erst Cookies platzieren, nachdem der Nutzer eingewilligt hat. Nach dem Telemediengesetz dürfen Sie Cookies platzieren, bis der Nutzer dem widerspricht. Ein großer Unterschied!

Nach der DSGVO könnte die Datenverarbeitung aufgrund eines berechtigten Interesses des Webseiten-Betreibers gerechtfertigt sein, hierzu bedarf es allerdings einer Interessenabwägung. Andernfalls kommt nur eine Einwilligung in Betracht, die aktiv vom Nutzer kundgetan werden muss.

Telemediengesetz Vorrang?

Das TMG hat nur dann Vorrang, wenn es als Umsetzung der EPrivRL zu werten ist. Der deutsche Gesetzgeber sagte bislang, dass die EPrivRL trotz der unterschiedlichen Ausgestaltung ausreichend durch das TMG umgesetzt worden sei. Das TMG verbiete die Datenverarbeitung grundsätzlich und erlaube die Verarbeitung nur im Ausnahmefall. Damit sei der Grundsatz der EPrivRL ausreichend umgesetzt.

Die Datenschutzkonferenz hat im März 2019 klar Stellung bezogen, dass sie das TMG nicht als nationalen Umsetzungsakt betrachtet und dementsprechend keinen Anwendungsvorrang des TMG anerkennt.

Regelungen der DSGVO

Damit bleiben bis zum Inkrafttreten der EPrivVO als Bewertungsmaßstab für die Rechtmäßigkeit der Verwendung von Cookies nur die allgemeinen Regelungen der DSGVO.

Gegebenenfalls lässt sich die Nutzung von Cookies auf Ihr überwiegendes berechtigtes Interesse stützen. Hierfür muss geprüft werden,

  1. ob ein berechtigtes Interesse Ihrerseits vorliegt
  2. ob die Datenverarbeitung zur Wahrung Ihres Interesses erforderlich ist
  3. ob die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person entgegen stehen

Als Ihr berechtigtes Interesse kann vieles angenommen werden, angefangen von Warenkorb-Funktionen über die Einbindung von fremdem Kontext, über Analysedienste zur Verbesserung Ihrer Webseite wie Reichweitenmessung oder statistische Analysen und vieles mehr.

Bereits auf der zweiten Stufe ist dann allerdings zu fragen, ob die getroffene Maßnahme erforderlich ist für die Erreichung Ihres Zwecks. Das Mittel muss geeignet sein, das Ziel zu erreichen, wobei kein milderes und gleich effektives Mittel zur Verfügung steht. Wenn hierbei Dienste eingebunden werden, die Nutzungsdaten über die eigene Webseite hinweg mit Nutzungsdaten anderer Webseiten zusammenführen, geht dies weit über das Ziel hinaus und dürfte damit schon an der Erforderlichkeit scheitern.

Schlussendlich muss geprüft werden, inwiefern die Interessen des Nutzers dagegen überwiegen. Wie tiefgreifend ist der Eingriff in das Persönlichkeitsrecht des Nutzers? Habe ich zusätzliche Funktionen implementiert, die die Selbstbestimmung des Nutzers schützen, wie Maßnahmen zur Anonymisierung oder ähnliches? Kann der Nutzer wissen, worauf er sich einlässt, habe ich ihn ausreichend informiert? Sind an die Datenverarbeitung negative Folgen für den Nutzer verknüpft (Preisdiskriminierung)?

Viele der Datenverarbeitungen, die momentan über den Cookiebanner abgewickelt werden, dürften dabei herausfallen.

Damit bleibt lediglich übrig, die Datenverarbeitung über eine Einwilligung der betroffenen Person zu rechtfertigen. Diese muss nach der DSGVO ausdrücklich erfolgen. Ein Nichtstun muss zur datensparsamsten Verarbeitung führen. Der Cookie darf demnach erst eingesetzt oder abgefragt werden, wenn der Nutzer ausdrücklich seine Einwilligung erteilt.

Der Vollständigkeit halber sei erwähnt, dass sich diese Ausführungen auf sämtliche Werbe-, Marketing- und Trackingmaßnahmen beziehen, also auch die Nutzung von digital-Fingerprinting-Methoden und ähnliches. Diese sind zudem als tieferer Eingriff zu betrachten, da der Nutzer kaum Möglichkeiten hat, dies von sich aus zu unterbinden.

Aussicht:

Die EPrivVO ist auch ein von der Europäischen Kommission ausgehender Rechtsakt und wird der Nachfolger der EPrivRL werden. Als Verordnung ist sie allerdings wie die DSGVO unmittelbar in den Mitgliedsstaaten anwendbares Recht, ohne dass es hierzu einer nationalen Umsetzung bedarf. Nach der sehr unterschiedlichen Umsetzung der EPrivRL durch die einzelnen Mitgliedstaaten war der Bedarf nach einer einheitlichen Regelung groß. Allerdings ist die EPrivVO noch nicht verabschiedet, da sich die Einigung aufgrund der sehr unterschiedlichen Interessenlagen immer wieder verzögert. Mit dem Inkrafttreten ist vor 2020 nicht zu rechnen. Wir informieren Sie über die weitere Entwicklung.

Empfehlung:

Vor dem Hintergrund des in diesem Artikel dargestellten Sachstandes empfehlen wir Ihnen, Ihre Webseite kritisch zu prüfen und zu hinterfragen. Wenn Sie außer den technisch notwendigen Cookies weitere Tools verwenden, empfehlen wir Ihnen ein Gespräch mit Ihrem Datenschutzbeauftragten.

Ass.iur. Nicole Krause
Juristische Mitarbeiterin bei GINDAT GmbH

ISO 27018 – Sicherheitsstandard für Cloud Computing gewinnt an Bedeutung

Im August 2014 hat die Internationale Standardisierungsorganisation (ISO) ihre Norm „ISO/IEC 27018:2014 – Code of Practice for Protection of Personal Identifiable Information (PII) in Public Clouds as PII-processors“ eingeführt, die allgemein anerkannte Kontrollziele, Kontrollmechanismen und Leitlinien für die Umsetzung von Maßnahmen zum Schutz personenbezogener Daten in der Cloud definiert.

Im Gegensatz zu den sehr technisch orientierten Normen ISO 27001 und ISO 27002 verfügt ISO 27018 über eine eher organisatorische und konzeptionelle Ausrichtung. Während erstere als Hauptnormen zudem auf ein recht breites Anwendungsspektrum ausgerichtet sind, beschäftigt sich ISO 27018 sehr spezifisch mit dem Teilaspekt der Verarbeitung von personenbezogenen Daten in der Cloud. Sie enthält Kontrollen und Leitlinien für die Schutzanforderungen an die Verarbeitung personenbezogener Daten in der Public Cloud, die von den Kontrollen beispielsweise der ISO 27002 nicht berücksichtigt werden.

Für Anbieter und Nutzer von Cloud-Lösungen ist die ISO 27018 unter anderem deshalb interessant, weil sie weitgehend mit den Bestimmungen von Art. 28 DSGVO übereinstimmt, die für Cloud Computing relevant sind. Mit einer Zertifizierung nach ISO 27018 kann die DSGVO-konforme Umsetzung technischer und organisatorischer Maßnahmen daher standardisiert und nachhaltig dokumentiert werden. Dies erleichtert auch den Nachweis und die Bewertung der DSGVO-Konformität beim Abschluss von Auftragsverarbeitungsverträgen.

Die Anforderungen der ISO 27018 an die Betreiber von Cloud Computing-Diensten spiegeln die Anforderungen von Art. 28 DSGVO weitgehend wider. Die Norm kann daher als Wegweiser dienen, der das Unternehmen auf dem teilweise komplizierten Pfad des Datenschutzes leitet.

ISO 27018 stellt unter anderem folgende Anforderungen an die Anbieter von Clouds:

  • Personenbezogene Daten müssen stets nach den Anweisungen des Kunden verarbeitet werden.
  • Vor der Verarbeitung personenbezogener Daten für Marketing- oder Werbezwecke ist eine gültige Einwilligung der betroffenen Person einzuholen.
  • Der Cloud-Anbieter muss seinen Kunden unterstützen, wenn eine von der Datenverarbeitung betroffene Person ihr Recht auf Zugang zu ihren Daten geltend macht.
  • Personenbezogene Daten aus der Cloud sollten den Strafverfolgungsbehörden nur dann zur Verfügung gestellt werden, wenn dies gesetzlich vorgeschrieben ist.
  • Im Falle einer Datenschutzverletzung muss der Anbieter den Kunden bei der Meldung an die Datenschutzbehörden unterstützen.
  • Es müssen Richtlinien für die sichere Rückgabe, Übermittlung und Entsorgung personenbezogener Daten vorhanden sein.
  • Datenschutzaudits müssen in regelmäßigen Abständen durchgeführt werden.
  • Der Cloud-Anbieter muss sicherstellen, dass Mitarbeiter, die Zugang zu personenbezogenen Daten haben, Vertraulichkeitsvereinbarungen unterzeichnen und hinsichtlich Datenschutz und Datensicherheit geschult werden.

ISO 27018 Zertifizierungen werden von diversen Dienstleistern angeboten. Neben großen Anbietern wie T-Systems, IBM und Amazon/AWS lassen sich zunehmend auch mittlere und kleine Unternehmen zertifizieren. Das ISO 27018-Zertifikat (aufbauend auf ISO 27001) schafft Vertrauen bei den Kunden und hilft ihnen, sich im immer härter werdenden Wettbewerb zu differenzieren.

Clouds speichern bereits heutzutage enorme Mengen von Daten. Eine Entwicklung, die sich in naher Zukunft noch auf bisher unvorstellbare Weise beschleunigen wird. Diese Entwicklung erfordert einen umfassenden systematischen und standardisierten Schutz der in den Clouds verarbeiteten personenbezogenen Daten. Die dramatischen Folgen von Datenschutzverletzungen können den Verlust von Rechten und Freiheiten, Identitätsdiebstahl, Geldbußen und einen enormen Reputationsverlust für die von der Datenverarbeitung betroffenen Personen umfassen. Die Einhaltung der ISO 27018 trägt zum Schutz der personenbezogenen Daten bei und stellt sicher, dass personenbezogene Daten in der Cloud in Übereinstimmung mit den gesetzlichen Bestimmungen verarbeitet werden.

Lediglich 42 Bußgelder auf Grund von DS-GVO-Verstößen

Ein Jahr nach Inkrafttreten der Datenschutzgrundverordnung der Europäischen Union (DS-GVO) sind in Deutschland bisher nur 42 Verstöße mit Bußgeldern verhängt worden. Die Gesamthöhe mit rund einer halben Million Euro bleibt damit überschaubar klein. Das große Schreckgespenst der massenhaften Abmahnungen blieb damit erst einmal aus. Lediglich 54 Verwarnungen wurden in Deutschland aufgrund von Missachtung der DS-GVO ausgesprochen. Damit verfolgten deutsche Behörden jede Nichteinhaltung der Verordnung immer noch intensiver als alle anderen europäischen Länder. Zum Vergleich: in Lettland wurden nur zwölf Bußgelder verhängt, in Frankreich zehn und in den Niederlanden wurde nur ein einziger Fall bestraft. Allerdings haben unsere Nachbarn den höchsten Bußgeldbescheid innerhalb der EU erlassen und die meisten Verwarnungen ausgesprochen. In Zukunft werden die europäischen Aufsichtsbehörden jedoch die Umsetzung der DS-GVO schärfer überwachen und zu höheren Bußgeldzahlungen greifen. So hat die französische Aufsichtsbehörde im Januar dieses Jahres ein Bußgeld in Höhe von 50 Millionen Euro gegen einen amerikanischen Suchmaschinenbetreiber auf Grund seiner mangelnden Transparenz- und Informationspflicht verhängt.

Mehr zum Thema finden Sie hier:
https://www.ey.com/de/de/newsroom/news-releases/ey-20190524-ein-jahr-dsgvo-behoerden-halten-sich-europaweit-mit-bussgeldern-noch-zurueck