Wie mehrere Medien berichteten, hat die britische Datenschutzbehörde (Information Commissioner’s Office, kurz ICO) eine Strafe von £ 120.000,- gegen den Flughafen London-Heathrow verhängt.
Vorgeschichte
Laut des leitenden Beamten hat ein Mitarbeiter des Flughafens einen USB-Stick mit vertraulichen Informationen verloren. Unter den über 1.000 abgespeicherten Dateien fanden sich unter anderem:
- Personenbezogene Daten wie Namen, Geburtsdaten und Reisepassnummern von zehn Personen aus einem Trainingsvideo
- Personaldaten von bis zu 50 Sicherheitsmitarbeitern
Weiters wurde berichtet, dass auf diesem USB-Stick auch Reisedaten der britischen Queen abgespeichert wären, wobei diese Information nicht von der britischen Datenschutzbehörde ICO bestätigt wurde.
Der verlorengegangene Datenträger wurde von einem britischen Bürger gefunden und nach Begutachtung an eine Zeitung übergeben. So kam der Stein ins Rollen.
Rechtliche Beurteilung
Warum wurde nun diese hohe Strafe verhängt? Das Verlieren eines USB-Sticks durch einen Mitarbeiter kann auch durch beste technische und organisatorische Maßnahmen nicht verhindert werden. Die DSGVO fordert jedoch ein Schutzniveau am „Stand der Technik“. Diese Formulierung ist nicht exakt und verändert sich fortlaufend im Wandel der Zeit. Für den aktuellen Zeitraum ist eine Verschlüsselung von Wechseldatenträgern, wie USB-Sticks, externe Festplatten, etc., mit Sicherheit notwendig. Das Speichermedium des Flughafens war jedoch weder mit Verschlüsselung noch mit einem Zugriffsschutz ausgestattet. Durch diesen Mangel in der DSGVO-Umsetzung war der Zugriff auf den USB-Stick für unberechtigte Personen möglich.
Wäre der Datenträger hingegen verschlüsselt gewesen, dann wäre der Zugriff nur mit dem festgelegten Passwort möglich gewesen. Der Finder des USB-Sticks hätte die Daten nur löschen können, ein Zugriff hingegen wäre ausgeschlossen gewesen.
Aufgrund der fehlenden Verschlüsselung ist die Datenschutzbehörde aktiv geworden, da es sich um eine Verletzung der britischen Datenschutzbestimmungen handelt.
Ermittlungen
Der Datenschutz-Verstoß wurde vom Flughafen an die Datenschutzbehörde gemeldet. Eine solche Meldung muss innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls erfolgen, so sieht es die DSGVO vor.
Im Zuge der Nachforschungen der Datenschutzbehörde wurde festgestellt, dass nur ca. 2% der Heathrow-Mitarbeiter im Bereich Datenschutz geschult wurden. Zudem war das Kopieren von Daten auf ungeschützte USB-Sticks eine weit verbreitete Praxis am Flughafen, obwohl dieser Vorgang durch die Richtlinien untersagt wurde. Laut Datenschutzbehörde hätte durch Datenschutz- Schulungen diese Praxis verhindert werden können.
Damit Datenschutz nicht nur bei Vorstandssitzungen thematisiert wird, sind entsprechende Richtlinien und Trainings unerlässlich, damit die personenbezogenen Daten der Mitarbeiter und Kunden optimal geschützt sind.
Während der Ermittlungen wurde vom Flughafen Heathrow ein Internet-Monitoring betrieben. Dabei wurde aktiv nach den verlorengegangenen Daten gesucht, um zu überprüfen, ob diese im Internet oder Darkweb veröffentlicht wurden.
Folgen
Die britische Datenschutzbehörde legte das Strafmaß auf £ 120.000,- fest. Dabei wurde das alte Datenschutzgesetz, welches eine Höchststrafe von £ 500.000,- vorsah und damit deutlich unter der Höchststrafe der DSGVO liegt, als Bemessung herangezogen. Diese beträgt £ 17.000.000,- (€ 20.000.000) bzw. 4% des weltweiten Jahresumsatzes. Der Flughafen gab bekannt das Strafausmaß zu akzeptieren.
Fazit
Die Datenschutzverletzung des Flughafen Heathrows wäre leicht zu verhindern gewesen. Durch Verschlüsselung von Datenträgern wäre kein unautorisierter Zugriff auf die personenbezogenen Daten möglich gewesen. Stattdessen wurde festgestellt, dass die unternehmensweite Richtlinie zum Thema Datenschutz von den Mitarbeitern nicht- bzw. nur teilweise eingehalten wird. Es zeigt sich, dass es nicht ausreicht Richtlinien zum Thema Datenschutz auszuarbeiten, mann muss auch deren Durchsetzung überwachen.
Der Flughafen kam in diesem Fall mit einer geringen Strafe davon. Bei einem Umsatz von ca. 4 Milliarden Pfund betrug die Strafe nur £ 120.000,- und damit lediglich 0,00003% des Jahresumsatzes. Strafmildernd war mit Sicherheit, dass der Datenschutzverstoß fristgerecht gemeldet und durch Monitoring überprüft wurde, ob die verlorenen Daten durch Dritte veröffentlicht wurden.