Im Jahr 2019 ist die Anzahl der Bußgelder, die bei Datenschutzverstößen ausgesprochen wurden, stark angestiegen. So verhängten die deutschen Datenschutzaufsichtsbehörden im Jahresverlauf 187 Bußgelder – im Jahr zuvor waren es erst 40.
Diese Zahlen stammen aus einer Umfrage unter den Datenschutzbeauftragten der deutschen Bundesländer, die das Handelsblatt vor kurzem veröffentlichte*. In Nordrhein-Westfalen gab es demnach die meisten Bußgelder – nämlich 64 –, wohingegen die Aufsichtsbehörden in Bayern nur ein einziges Bußgeld verhängten und damit auf dem vorletzten Platz vor Schleswig-Holstein und Bremen landeten.
Einen Spitzenplatz unter den Bundesländern nimmt Bayern dagegen bei der Anzahl der Datenpannen ein. 2019 wurden den bayerischen Datenschutz-Aufsichtsbehörden rund 5.000 Datenpannen gemeldet. Dabei ging es, nach Aussage des Bayerischen Landesbeauftragten für den Datenschutz, Prof. Dr. Petri, häufig um Fehladressierungen, zum Beispiel, wenn vertrauliche Dokumente in das falsche Kuvert gerieten oder wenn E-Mails an falsche Adressaten versendet wurden. Es waren aber auch ernste Sicherheitsprobleme darunter, weswegen Petri nun in mehreren Fällen die Einleitung von Bußgeldverfahren prüft.
Sicherheitsvorfälle im Dezember 2019
Erst im Dezember 2019 gab es wieder Sicherheitsvorfälle mit gravierenden Auswirkungen. So fand zum Beispiel ein schwerwiegender Hackerangriff auf ein Klinikum in Bayern statt. Der Angriff führte dazu, dass der Krankenhausbetrieb einige Tage lang stark eingeschränkt werden musste. Operationen wurden verschoben, Patienten konnten nicht mehr aufgenommen werden, die reguläre Versorgung von Notfällen war nicht mehr möglich. Die Internetverbindung des Klinikums wurde vorsorglich gekappt.
Offline war auch eine große Stadtverwaltung in Hessen, nachdem in Folge eines Cyberangriffs das gesamte IT-System ausgefallen war. Das Bürgeramt der Stadt musste für den Publikumsverkehr geschlossen werden, so dass unter anderem keine Pässe und Personalausweise mehr beantragt werden konnten. Auch die Online-Services waren nicht mehr erreichbar.
An einer Universität in Hessen legte ein Schadprogramm die IT-Systeme lahm. Die internen Netzwerke, das Internet und das E-Mail-System fielen aus. Tausende von Nutzern waren davon betroffen und vor Kurzem teilte die Universität mit, dass wegen der Auswirkungen des Sicherheitsproblems ein Normalbetrieb auch in den kommenden Wochen nicht möglich sei. Und ebenfalls im Dezember 2019 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Kraftwerksbetreiber vor erheblichen Sicherheitslücken in einer Steuerungssoftware, die der Antivirusexperte Kaspersky gefunden hatte. Einige dieser Sicherheitslücken waren so gravierend, dass Hacker die Stromversorgung hätten gefährden können.
Datenschutz und Informationssicherheit ernst nehmen
Diese Beispiele zeigen, dass Datenschutz und Informationssicherheit ernstzunehmende Themen sind, die auch bayerische Kommunen und Kommunalunternehmen betreffen. Denn wenn Bürgerämter geschlossen werden müssen, Kliniken keine Notfälle mehr aufnehmen können oder der Strom ausfällt, wird nach Ursachen geforscht und Verantwortlichen gesucht. Wenn sich dann herausstellt, dass ein Behördenleiter die erforderlichen Datenschutz- und Informationssicherheitsmaßnahmen nicht getroffen hat, hat das gravierende Konsequenzen.
Die DSGVO ist seit Mai 2018 in Kraft. Sie verlangt nicht nur, dass personenbezogene Daten rechtmäßig verarbeitet werden, sondern auch, dass Maßnahmen zur Sicherheit der IT-Systeme getroffen werden. Wer also die DSGVO noch nicht umgesetzt hat, sollte sich beeilen. Fehlt das notwendige Fachpersonal und Fachwissen zur Umsetzung der DSGVO, so kann auch professionelle Hilfe in Anspruch genommen werden.
Die GKDS, die Gesellschaft für kommunalen Datenschutz mbH , ein Tochterunternehmen der AKDB, unterstützt bei der Umsetzung der DSGVO, stellt einen externen Datenschutzbeauftragten bereit und hilft bei der Erstellung eines Informationssicherheitskonzepts (ISK).