Die griechische Aufsichtsbehörde Hellenic Data Protection Authority (HDPA) verhängte Anfang 2022 ein Bußgeld in Höhe von 5.850.000 Euro gegen die Cosmote Mobile Telecommunications S.A., Griechenlands größten Mobilfunkanbieter. Hinzu kam ein Bußgeld von 3.250.000 Euro gegen die Muttergesellschaft Hellenic Telecommunications Organization S.A. (OTE). Hintergrund des Bußgelds ist die Annahme diverser Verstöße gegen die DSGVO. Wir zeigen auf, wie andere Unternehmen solche Strafen verhindern können.
Hintergrund des DSGVO-Bußgeldes
Aufmerksam wurde die HDPA auf das Telekommunikationsunternehmen aufgrund einer Datenpanne, welche das Unternehmen der griechischen Aufsichtsbehörde gemeldet hatte. Ein Hacker war in die Systeme von Cosmote eingedrungen und konnte auf eine Datei mit Anrufdaten von über 4 Mio. Cosmote-Kunden zugreifen. Die verlorene Datei enthielt folgende Kundendaten: Telefonnummer, Alter, Geschlecht, Vertragsdaten sowie die Dauer des Anrufs.
Cosmote speicherte diese Daten für 90 Tage zum Zwecke der Störungsbehebung. Danach sollten die Daten anonymisiert werden, um sie für zwölf Monate für statistische Zwecke und zur Verbesserung der Dienstleistung zu nutzen. Tatsächlich wurden die Daten aber nur pseudonymisiert.
Während der Bearbeitung der Datenpanne stellte die Aufsichtsbehörde diverse Verletzungen der DSGVO (Datenschutz-Grundverordnung) durch Cosmote fest:
Der Bußgeldempfänger hatte
- die Daten nicht rechtmäßig verarbeitet,
- die Betroffenen nicht ausreichend über die Verarbeitung informiert,
- die Datenschutzfolgenabschätzung (DSFA) nicht ordnungsgemäß durchgeführt und
- die Daten nicht DSGVO-konform anonymisiert.
Außerdem hatte Cosmote die konzerninterne Verarbeitung der Daten nicht DSGVO-konform mit der Muttergesellschaft geregelt, die an der Sicherheitsinfrastruktur mitwirkte. Es bestand weder ein Auftragsverarbeitungsvertrag noch ein Vertrag zur gemeinsamen Verantwortlichkeit.
Das verhängte Bußgeld setzt sich wie folgt zusammen:
- 1,95 Mio. Euro wegen eines Verstoßes gegen Art. 5 sowie Art. 13 und Art. 14 DSGVO
- 1,3 Mio. Euro wegen eines Verstoßes gegen Art. 35 Abs. 7 DSGVO
- 1,3 Mio. Euro wegen eines Verstoßes gegen Art. 25 Abs. 1 DSGVO
- 1,3 Mio. Euro wegen eines Verstoßes gegen Art. 5 Abs. 2 sowie Art. 26 und Art. 28 DSGVO
Gegen OTE verhängte die griechische Behörde das Bußgeld in Höhe von 3.250.000 Euro aufgrund unzulänglicher technischer und organisatorischer Maßnahmen.
Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!
Datenschutzrechtliche Einschätzung des Bußgeldes
“Verstoß gegen die Grundsätze für die Verarbeitung (Art. 5 DSGVO)”
Gemäß Art. 5 Abs. 1 Buchstabe c DSGVO dürfen nur diese personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck von direkter Relevanz und für dessen Erfüllung erforderlich sind.
In Anbetracht dessen wäre es für die Zwecke der Störungsbehebung nur dann zulässig, die oben genannten Daten aufzubewahren, wenn diese für die Identifizierung und Behebung von technischen Fehlern und Störungen notwendig wären. Dies trifft jedoch auf die von Cosmote gespeicherten Daten (wie Alter, Geschlecht, usw.) nicht zu.
Auch die Speicherdauer der Daten ist im vorliegenden Fall nicht angemessen. Gemäß Art. 5 Abs. 1 Buchstabe e dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Eine Speicherdauer von 90 Tagen kann für die Behebung von technischen Störungen nach Ansicht der Behörde nicht begründet werden.
“Verstoß gegen die Informationspflichten (Art. 13 und 14 DSGVO)”
Cosmote hatte zwar für ihre Kunden ein Informationsschreiben bereitgestellt, dieses war jedoch nicht ausreichend.
Im Informationsschreiben wird für die Verarbeitung der Verkehrsdaten als Zweck die Vertragserfüllung genannt, ohne dass begründet wird, warum die Daten aus Gründen der Störungsbehebung drei Monate aufbewahrt werden.
Weiterhin speichert Cosmote nicht nur Daten ihrer Kunden, sondern auch der Betroffenen, die von ihren Kunden angerufen werden (Standortdaten). In diesem Zusammenhang wäre nicht ein Informationsschreiben gemäß Art. 13, sondern gemäß Art. 14 DSGVO notwendig.
Tipp: Lesen Sie dazu auch unsere Anleitung zu Ihren Informationspflichten.
“Verstoß gegen die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung (Art. 35 Abs. 7 DSGVO)”
Bei der Datenschutzfolgenabschätzung (DSFA) werden die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten der Betroffenen geprüft und am Ende dieser Prüfung wird eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung vom Datenschutzbeauftragten (DSB) abgegeben. Dies dient der Bewertung von Risiken und deren möglichen Folgen. Auf dieser Basis sollen bereits frühzeitig angemessene Maßnahmen getroffen werden, um die Risiken für die Persönlichkeitsrechte der Betroffenen einzudämmen.
Cosmote hatte eine DSFA durchgeführt. Diese war jedoch fehlerhaft und nicht ausreichend.
Eine DSFA muss unter anderem eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck, enthalten. Cosmote hatte jedoch diesbezüglich keine ausreichende Bewertung abgegeben.
Weiterhin wurden nicht sämtliche Risiken der Rechte und Freiheiten der betroffenen Personen identifiziert. Demnach konnten auch keine Abhilfemaßnahmen, einschließlich Garantien und Sicherheitsvorkehrungen, getroffen werden, durch die der Schutz personenbezogener Daten sichergestellt werden soll.
Tipp: Wie eine Datenschutz-Folgenabschätzung funktioniert, lesen Sie in unserer umfangreichen DSFA-Anleitung.
“Verstoß gegen den Datenschutz durch Technikgestaltung (Art. 25 Abs. 1 DSGVO)”
Eine Überprüfung des Anonymisierungsverfahrens ergab, dass die für die statistischen Zwecke verwendeten Daten nicht anonymisiert, sondern nur pseudonymisiert wurden.
Gemäß diesem Verfahren wird eine kryptografische Hash-Funktion auf die Identitäten jedes Teilnehmers unter Verwendung eines geheimen Schlüssels (sogenannter Salt) angewendet, der separat gespeichert wird.
Cosmote kennt jedoch die Identitäten seiner Kunden, so dass das Unternehmen jederzeit jeden Wert mit der entsprechenden ID der Kunden abgleichen kann. Demnach handelt es sich um einen klassischen Fall von Pseudonymisierung, da die Daten wieder zuordenbar gemacht werden können.
Wobei die Zuordnung durch Einsatz eines geheimen Schlüssels, welcher zur Pseudonymisierung verwendet wird, wieder ermöglicht werden kann und der Schlüssel deswegen unbedingt geschützt werden muss. Nach Beschreibung von Cosmote wird dieser gesondert aufbewahrt. Cosmote hat somit die Daten lediglich pseudonymisiert.
Pseudonymisierte Daten gelten weiterhin als personenbezogene Daten und somit greift hier auch die DSGVO, nach deren Bestimmungen diese Art der Verarbeitung nicht rechtmäßig ist.
Dies stellt einen Verstoß gegen Art. 25 Abs. 1 DSGVO durch Cosmote dar, da zum Zeitpunkt der Bestimmung der Verarbeitungsmittel und zum Zeitpunkt der Verarbeitung keine angemessenen technischen und organisatorischen Maßnahmen ergriffen wurden, um die korrekte Durchführung des Anonymisierungsverfahrens sicherzustellen.
Tipp: Lesen Sie dazu auch unseren Artikel zur Unterscheidung von Anonymisierung und Pseudonymisierung.
“Verstoß gegen die Definition der Verantwortlichkeiten (Art. 5 Abs. 2, Art. 26 und Art. 28 DSGVO)”
Die beiden beanstandeten Unternehmen arbeiten nach eigenen Angaben gemeinsam an den Systemen, aber jeweils unabhängig voneinander. Die Tatsache, dass die Zusammenarbeit von Unternehmen zumindest in Bezug auf Sicherheitsmaßnahmen nicht geregelt ist, steht nicht im Einklang mit dem Grundsatz der Rechenschaftspflicht des Art. 5 Absatz 2 DSGVO. Es wird nicht klar, welche der kooperierenden Stellen für die Auswahl der Zwecke und Mittel der Verarbeitung verantwortlich ist. Die Zusammenarbeit der beiden Stellen und die Aufteilung ihrer Zuständigkeiten sollte entweder auf einem Vertrag zur gemeinsamen Verarbeitung nach Art. 26 DSGVO oder einem Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Wie sich herausstellte, bestanden solche Vereinbarungen nicht.
Fazit
Das nicht gerade unerhebliche Bußgeld gegen Cosmote und die Muttergesellschaft zeigt, dass Unternehmen bei allen Datenverarbeitungen der DSGVO-Compliance größte Aufmerksamkeit schenken sollten.
Die verschiedenen Beanstandungen der Aufsichtsbehörde zeigen zudem, dass die Datenschützer nach einem Anfangsverdacht durchaus tief graben. Das kann gerade für Konzernunternehmen mit vielfachen Verflechtungen zur Herausforderung werden. Hier ist professionelle datenschutzrechtliche Beratung unbedingt angeraten!
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!