Geldstrafe von 120.000,-- Pfund für verlorenen USB-Stick

Daten außerhalb der Kontrolle des Flughafens -

Unverschlüsselten Datenstick verloren -> Geldstrafe von 120.000,-- Pfund wegen mangelnder Schulung von Mitarbeiter*Innen

Im Fall des Data-Breach der Heathrow Airport Limited vom 16. Oktober 2017 wurde eine Entscheidung gefällt.

 

Der Data-Breach am Flughafen Heathrow.

Die Firma, die den Flughafen in London betreibt, war Mitte Oktober 2017 in einen Datenskandal verwickelt. Ein Mitarbeiter hat einen nicht-verschlüsselten USB-Stick mit mehr als 76 Ordnern und 1000 Dateien verloren, berichtete das ICO (Information Commissioner’s Office .

 

Eine unbekannte Person fand diesen USB-Stick in Kilburn, West London, nahm diesen Stick mit, und steckte  – getrieben von Neugier - diesen Datenträger in einer öffentlichen Bibliothek an. Dann gab diesen dann an eine nationale Zeitung weiter. Diese informierte den Verantwortlichen, machte eine Kopie des USB-Sticks und weigerte sich, diese herauszugeben.

 

Am USB Stick waren 76 Ordner mit über 1000 Dateien von Heathrow Airport Limited. Rund 1% der Daten waren personenbezogene Daten, wobei auch „sensible Daten“ dabei waren. Es gab zB Training-Videos mit Namen, Geburtsdaten, Fahrzeugregistrierungsdaten, Nationalität, Passnummern und Passdaten, Mobil-Telefonnummern von 10 Personen und Details über 12 bis 50 (eine genauer Anzahl konnte nicht festgestellt werden) Personen, die für den Sicherheitsdienst des Flughafen arbeitet (Namen, Stellung, Gewerkschaftszugehörigkeit).

 

Die Daten waren für ca 3 Sek auf einem Video zu sehen.

 

Über die Medien erfuhr das ICO (die zuständige Behörde) vom Vorfall und kontaktierte den Verantwortlichen.

 

Genauere Information zu den verlorenen Daten und den Fehlern, die Heathrow Airport Limited jetzt zu verantworten hat, finden Sie unter: https://ico.org.uk/media/action-weve-taken/mpns/2259955/mpn-heathrow-airport-20181008.pdf

 

 

Anwendung der relevanten Bestimmungen und Geldstrafe.

Der Vorfall hat sich am 16. Oktober 2017 ereignet und wurde daher nicht nach der DSGVO 2018 beurteilt, sondern nach dem Data Protection Act 1998 von Großbritannien. Die Strafe in der Höhe von 120.000 Pfund wurde nach Section 55A DPA 1998 verhängt, der u.a. eine Maximalstrafe von 500.000 Pfund vorsah:

 

Nach 55A DPA 1998 dürfen Geldstrafen für einen Data-Breach verhängt werden, wenn der Verantwortliche, gegen die Auflagen des Gesetzes verstoßen hat, wissen hätte müssen, dass er in seinem Tun nicht an Selbiges hält. (Fahrlässigkeit)

 

Warum wurde die Geldstrafe verhängt?

Zwei Dinge, die unterlassen wurden, muss man bei diesem Vorfall besonders hervorheben:

 

1.    Mangelnde Schulung / Unterweisung der Mitarbeiter*Innen.

Es wurden nur ungefähr 2% aller 6.500 Mitarbeiter im Datenschutz geschult und dadurch konnte sich dieser Vorfall auch erst ereignen.

 

Alle Organisationen müssen die Mitarbeiter*Innen in den Anforderungen der DSGVO schulen. Es bestehen gewisse gesetzlichen Anforderungen an eine wirksame Mitarbeiterschulung für Datenschutz (Art. 24 Abs. 1 und 2 und Art. 39 Abs. 1 lit a DSGVO).

 

Gibt es derartige Schulungen nicht und sind diese nicht ausreichend dokumentiert, dann verstößt mE die Organisation gegen die DSGVO.

 

Folgende Ziele sollten mit den Schulungen verfolgt werden:

  • Mitarbeiter*Innen sollen sich bewusst sein, dass personenbezogene Daten schutzwürdig sind.
  • Mitarbeiter*Innen sollen Informationssicherheits-Aspekte verstehen, berücksichtigen und einhalten
  • Mitarbeiter*Innen sollen verstehen, was personenbezogene Daten sind, wie sie damit umgehen müssen, d.h. was sie müssen / dürfen/ nicht dürfen. D.h. Wissen bei den Mitarbeiter*Innenn, was sie in kritischen Situationen tun bzw. unterlassen sollen
  • Mitarbeiter*Innen sollen Betroffenenrechte verstehen (Welche Auswirkungen haben diese Rechte auf meine tägliche Arbeit?  Was muss ich dazu beachten?)
  • Kenntnis der Mitarbeiter*innen von der entsprechenden Ansprechperson (Datenschutzbeauftragter/koordinator; wie/wann/ wo kann ich ihn erreichen?)
  • Permanente Wissens-Vermittlung und -erweiterung durch laufende Awareness-Trainings
  • In Österreich kommt die Verpflichtung zum Datengeheimnis gem. § 6 DSG hinzu.

 

2.    Kein verschlüsselter Datenträger.

heathrow Airport Limtied traf keinerlei Vorkehrungen um die Daten, die auf diesem USB gespeichert waren, zu verschlüsseln. Der Datenträger war weder verschlüsselt, noch wurde er einem Datenträger, der sensible Daten enthält, entsprechend verwahrt.

 

Die Verschlüsselung von mobilen Datenträgern wird eine Anforderung sein, die die Aufsichtsbehörde in der EU einfordern werden, wenn auf Datenträgern personenbezogene Daten abgelegt werden.

 

 

Diese zwei organisatorischen und technischen Fehler haben Heathrow International Limited nun 120.000 Pfund gekostet, das sind 24% der Höchststrafe (500.000 Pfund). Legt man den Maßstab der DSGVO mit einer Maximalstrafe von 20.000.000,-- Euro (oder 4 % des Jahresumsatzes) an, dann ergäbe sich eine Geldstrafe von 4.800.000,-- Euro.

 

 

Autor:
Michael Schweiger, zert DSBA