Bußgeldkatalog

Die teuersten Datenschutz-Fails

12.04.2021 von Dan Swinhoe und Florian Maier

Durch vermeidbare Fehler begünstigte Datenschutz-Debakel haben diese Unternehmen mehr als nur eine Stange Geld gekostet.

Datenschutz-Verstöße sind nicht nur oft mit überschaubarem Aufwand vermeidbar, sondern können richtig teuer zu stehen kommen, wie diese Beispiele zeigen.
Foto: Roka - shutterstock.com

Die Anzahl und Höhe der verhängten Bußgelder im Zusammenhang mit Datenschutz-Verfehlungen legen nahe, dass die staatlichen Regulatoren Unternehmen immer engere Zügel anlegen. Im Jahr 2019 wurden beispielsweise British Airways, Marriott und Equifax mit exorbitanten Geldstrafen belegt. Wir haben einige der bislang teuersten Datenschutz-Debakel im Unternehmensumfeld für Sie zusammengefasst.

Epic Finanzdaten-Fail

Ein ungepatchtes Apache Struts Framework innerhalb einer Datenbank geriet im Jahr 2017 für den US-Finanzdienstleister Equifax zum Datenschutz-Desaster. Der Fehler legte persönliche und finanzielle Daten von knapp 150 Millionen Kunden offen. Der Grund: Das Unternehmen hatte "versäumt", eine kritische Sicherheitslücke zu schließen, obwohl der entsprechende Patch schon seit Monaten zur Verfügung stand. Im Anschluss "versäumte" das Unternehmen schließlich noch über einige Wochen, die Öffentlichkeit über das Datenleck zu informieren.

Im Juli 2019 erklärte sich Equifax bereit, eine Geldstrafe von mindestens 575 Millionen Dollar zu bezahlen (die unter Umständen bis auf 700 Millionen Dollar steigen könnte). Das geschah im Rahmen einer außergerichtlichen Einigung mit den zuständigen, beziehungsweise betroffenen, US-Behörden. 300 Millionen der Bußgeld-Dollars sollen betroffene Equifax-Kunden mit Monitoring Services für ihre Finanzen ausstatten.

Sollte dieser Betrag nicht ausreichen, um alle Kosten zu decken, kann er um weitere 125 Millionen Dollar aufgestockt werden. Auf die 50 US-Staaten entfallen 175 Millionen Dollar - weitere 100 Millionen Dollar auf das Consumer Financial Protection Bureau (CFPB), die US-Verbraucherschutzbehörde für den Finanzsektor. Zudem verpflichtete sich das Unternehmen im Rahmen der Einigung dazu, seine IT-Sicherheitsmaßnahmen alle zwei Jahre durch eine externe Instanz prüfen zu lassen.

Joe Simons, Chef der US-Handelskommission (FTC), hat zu den Vorgängen eine eindeutige Meinung: "Unternehmen, die von persönlichen Daten profitieren, kommt ein Übermaß an Verantwortung zu, diese Daten auch entsprechend zu schützen und abzusichern. Equifax ist an grundlegenden Schritten gescheitert, die die Kompromittierung von 147 Millionen Kunden hätten verhindern können."

In Großbritannien wurde Equifax für dieselbe Datenschutz-Verfehlung bereits zu einer Geldstrafe von 625.000 Dollar verurteilt. Das war die höchstmögliche Strafe des Data Protection Act 1998 vor Inkrafttreten der DSGVO.

Hacking Class mit British Airways

Trotz der gängigen Angstmacherei über die Höhe der Geldstrafen für Verstöße, waren die ersten DSGVO-Monate relativ moderat, wenn es um die tatsächlich verhängten Strafen geht. In Europa gab es einige Fälle, die jedoch zunächst mit Geldstrafen geahndet wurden, die sich nicht wesentlich von denen der Prä-GDPR-Ära unterschieden. Angesichts der massiven Investitionen in Compliance-Maßnahmen und den scheinbar milden Strafen, machte sich vielerorts die Angst breit, die Datenschutzgrundverordnung wäre ein Rohrkrepierer.

Nachdem British Airways in Großbritannien jedoch mit einer Rekordstrafe von 230 Millionen Dollar belegt wurde, änderte sich das. Die britische Datenschutzbehörde ICO verhängte die Strafe, nachdem es der Hackergruppe Magecart mit Hilfe von Skimming-Skripten gelungen war, innerhalb von zwei Wochen die persönlichen Daten und Zahlungsinformationen von 500.000 Kunden zu stehlen.

In seinem Statement zum Datenschutz-Debakel bei British Airways konstatierte das ICO, dass "unzureichende Security-Maßnahmen" den Hackerangriff möglich gemacht hatten.

Einfach Uber-sehen?

Im Jahr 2016 wurden beim Fahrdienstleister Uber circa 600.000 Datensätze von Fahrern und 57 Millionen Kunden-Accounts gehackt. Statt den Vorfall zu melden, entschied sich das Unternehmen dafür, die verantwortlichen Cyberkriminellen mit einem Schweigegeld in Höhe von 100.000 Dollar auszustatten, um den Angriff unter den Teppich zu kehren. Die Folge war eine Geldstrafe in Höhe von 148 Millionen Dollar im Jahr 2018 .

Datenschutz-Fail-Akquise

Der nächste Fall zeigt, dass es sich mit DSGVO-Strafen ein bisschen so verhält wie mit Bussen im öffentlichen Nahverkehr: Erst wartet man eine Ewigkeit, dass einer kommt - dann biegen zwei gleichzeitig um die Ecke. Nur Tage nachdem British Airways mit einer Rekordstrafe belegt wurde, verhängte die britische Datenschutzbehörde ICO eine weitere Geldstrafe wegen eines massiven Datenlecks: Hacker hatten die Zahlungsinformationen und persönlichen Daten von 500 Millionen Kunden der Hotelkette Marriott International kompromittiert. Die Wurzel des Übels lag dabei im Netzwerk der Marriott-Tochtergesellschaft Starwood. Kriminelle Hacker hatten sich dort über vier Jahre eingenistet und blieben auch im Netz, nachdem Starwood von Marriott akquiriert wurde.

Laut ICO habe Marriott verpasst, vor dem Kauf von Starwood die notwendige Schritte im Sinne einer Due Diligence einzuleiten. Zudem seien auch die eigenen Systeme unzureichend abgesichert gewesen. Marriott-CEO Arne Sorenson bezeichnete die verhängte Datenschutz-Geldstrafe als "Enttäuschung" und kündigte an, die Entscheidung anfechten zu wollen. Das Beispiel von Marriott zeigt, dass eine Datenschutz-Verfehlung zu verschiedenen Strafen in unterschiedlichen Ländern führen kann: Auch die türkische Datenschutz-Instanz verhängte eine Strafe gegen den Hotelkonzern über 265.000 Dollar.

Der Datenleck-Gigant

Im Jahr 2013 wurde die gesamte Datenbank des Ex-Internet-Riesen Yahoo gehackt. Mit drei Milliarden betroffenen Accounts war fast die gesamte Nutzerbasis des World Wide Web betroffen. Das Unternehmen hielt die Vorgänge dennoch drei Jahre "unter Verschluss".

Im April 2018 verhängte die US-Börsenaufsichtsbehörde SEC dafür eine Strafe von 35 Millionen Dollar. Im September 2019 konnte Altaba - der neue Eigentümer von Yahoo - eine durch das Datenschutz-Debakel hervorgerufene Sammelklage gegen eine Zahlung von 50 Millionen Dollar zu einer außergerichtlichen Einigung bringen. Bei einer Gesamtstrafe von 85 Millionen Dollar kostete das Unternehmen jeder kompromittierte Datensatz circa 36 Dollar.

Debit-Card-System vs. Datenschutz

Der Finanzarm der britischen Supermarktkette Tesco wurde im Jahr 2018 mit einer Geldstrafe in Höhe von 21,2 Millionen Dollar belegt. Der Grund: Der Diebstahl von drei Millionen Dollar aus circa 9.000 Kundenaccounts im Jahr 2016. Die britische Finanzaufsichtsbehörde FCA bemängelte Defizite im Debit-Card-System des Unternehmens und seine Kontrollmechanismen gegen Finanzbetrug.

Schwarzer Datenschutz-Freitag

Der Retail-Riese Target erklärte sich 2017 im Rahmen einer außergerichtlichen Einigung bereit, 18,5 Millionen Dollar zu zahlen. Vier Jahre zuvor waren im Rahmen einer Black-Friday-Verkaufsaktion 40 Millionen Kreditkartendatensätze gestohlen worden. Im Laufe der Ermittlungen zu diesem Datenschutz-Debakel kam heraus, das persönliche Informationen von weiteren 70 Millionen Kunden ebenfalls entwendet wurden. Die Gesamtkosten dieses Datenlecks summieren sich auf über 200 Millionen Dollar.

Das Einmaleins der IT-Security

Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter

Dokumentation
Vollständige und regelmäßige Dokumentation der IT

Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.

Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.

E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.

Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.

Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.

Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.

Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.

Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.

Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.

Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.

Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.

Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien

Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten

Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates

Logfiles
Kontrolle der Logfiles

Datensicherung
Auslagerung der Datensicherung

Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen

Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe

WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste

Firewalls
Absicherung der Internetverbindung durch Firewalls

Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie

Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation

Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme

Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe

Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten

Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme

Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme

Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten

Unversichert gegen Hacker

Der US-Versicherungskonzern Anthem wurde im Jahr 2015 Opfer eines Datendesasters, das 79 Millionen Kunden betraf. Persönliche und medizinische Informationen - inklusive Sozialversicherungsnummern - wurden dabei gestohlen. In der Konsequenz wurde das Unternehmen vom US-Gesundheitsministerium wegen des Verstoßes gegen die HIPAA-Richtlinie zur Zahlung von 16 Millionen Dollar verpflichtet. Das war angesichts der 115 Millionen Dollar, die für die Beilegung einer Sammelklage aufgewendet werden mussten, allerdings nur ein Tropfen auf den heißen Stein.

DSGVO-Bußgeld-Spitzenreiter

In Sachen DSGVO-Geldstrafen in Deutschland war von November 2019 bis Februar 2021 die Wohnungsgesellschaft Deutsche Wohnen führend. Die Datenschutzbehörde in Berlin verhängte eine Strafe in Höhe von 14,5 Millionen Euro, weil das Unternehmen kein Löschkonzept für nicht mehr gebrauchte persönliche Daten vorweisen konnte. Das führte dazu, dass die Deutsche Wohnen diverse persönliche Informationen von Kunden und Interessenten speicherte, auch wenn schon seit Jahren kein Mietverhältnis mehr Bestand hatte.

Noch bevor die DSGVO in Kraft trat, wurde das Unternehmen bezüglich seiner Datenpraktiken gerügt - im März 2019 war in dieser Hinsicht allerdings immer noch nichts passiert. Anfang 2021 entschied das Landgericht Berlin allerdings, dass der Bußgeldbescheid der Datenschutzbehörde Berlin unwirksam ist. Vom Tisch ist der Fall damit jedoch nicht, da die Behörde gegen die Einstellung des Verfahrens Beschwerde eingelegt hat.

Zum Video: Die teuersten Datenschutz-Fails

1&1 macht Datenschutz-Fail

Nicht nur in Großbritannien und den USA werden Geldstrafen wegen Datenschutzverstößen verhängt. Der BfDI belegte den Webhoster 1&1 mit einer Geldstrafe in Höhe von 9,55 Millionen Euro, nachdem bekannt wurde, dass es für Personen ohne Berechtigung ein relativ leichtes Unterfangen darstellte, über die Service-Hotline an (fremde) Kundendaten zu gelangen. Die Behörden bemängelten die von 1&1 getroffenen technischen und organisatorischen Maßnahmen zum Schutz der Daten als unzureichend. 1&1 hat gegen die Entscheidung der Datenschutzbehörde Klage eingereicht - aus Sicht des Unternehmens sei das Bußgeld "unverhältnismaßig und verstößt gegen das Grundgesetz".

Das Landgericht Bonn entschied Ende 2020 im folgenden Gerichtsverfahren, die Geldbuße für das Unternehmen auf 900.000 Euro zu reduzieren, da die verhängte Strafe "nicht im Verhältnis zur Schwere des Verstoßes" stehe.

Der Datenschutz-Todesstoß

Normalerweise wird der Suchmaschinenriese Google eher mit Geldstrafen in Zusammenhang gebracht, wenn es um Monopolstellung oder Anti-Trust geht. 2020 musste der Konzern jedoch 7,5 Millionen Dollar bezahlen, um Sammelklagen wegen des mittlerweile eingestellten Google+-Netzwerks beizulegen. Eingestellt wurde Google+ auch, weil im Oktober 2018 bekannt wurde, dass ein Bug in der API den Zugriff auf private Daten erlaubt. Zwar ging der Konzern weiter davon aus, dass diese Schwachstelle nicht ausgenutzt wurde - musste aber zugeben, dass der Bug sich auf über 400 verschiedene Applikationen erstreckte, die die Google+ API nutzten. Damit waren potenziell mehr als 500.000 Nutzeraccounts betroffen.

Nur zwei Monate später musste Google einen weiteren Bug eingestehen - diesmal waren allerdings 52,5 Millionen User betroffen. Das führte dazu, dass Google+ rund vier Monate vor dem Plan eingestellt wurde. Im Jahr 2018 wurden zwei Sammelklagen eingereicht - die später "fusioniert" wurden, bevor es im Januar 2020 zu einer außergerichtlichen Einigung kam: Jeder Google+-Nutzer, der zwischen Januar 2015 und April 2019 von einem der Datenlecks betroffen war, erhielt zwischen fünf und zwölf Dollar.

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.