Die Aufsichtsbehörde Datatilsynet in Oslo hat am 29.3.2019 eine (rechtskräftige) Geldstrafe von 1.600.000,-- norwegischer Kronen (ca. EUR 170T) wegen unzureichender Datensicherheits-maßnahmen gegen die Stadt Bergen verhängt.
Der Vorfall
Der Vorfall betrifft Computerdateien mit Benutzernamen und Passwörtern für über 35.000 Benutzerkonten im Computersystem der Gemeinde Bergen. Die Benutzerkonten betreffen sowohl Schüler*Innen in den Grundschulen als auch die Mitarbeiter*Innen dieser Schulen.
Aufgrund unzureichender Sicherheitsmaßnahmen waren diese Dateien ungeschützt und offen zugänglich. Das Fehlen von Sicherheitsmaßnahmen im System ermöglichte es jedem, sich in die verschiedenen Informationssysteme der Schule einzuloggen und so auf verschiedene Kategorien von personenbezogenen Daten von Schüler*Innen und Mitarbeiter*Innen der Schulen unberechtigt zuzugreifen.
Unzureichende Datensicherheitsmaßnahmen
Datatilsynet stellte fest, dass unzureichende Datensicherheitsmaßnahmen der Gemeinde Bergen zum Schutz der personenbezogenen Daten in den Computer-Dateisystemen einen Verstoß gegen Art 5 Abs 1 lit f DSGVO („Integrität und Vertraulichkeit“) und Art 32 DSGVO („Sicherheit der Verarbeitung“) darstellt, und verhängte eine Geldstrafe im Gegenwert von EUR 170.000,--.
„Die Sicherheit im Login-System ist so gering, dass Unbefugte auf der Lernplattform und in den Verwaltungssystemen der Schule Zugang zu Benutzernamen und Passwörtern erhalten konnten“, sagt der Direktor der Aufsichtsbehörde Bjørn Erik Thon.
Das betreffende System enthält Informationen über Name, Passwort, Geburtsdatum, Adresse, Schulzugehörigkeit und Schulnoten. Wenn sich Mitarbeiter*Innen und Schüler*Innen einloggen, erhalten sie Zugang zu verschiedenen Systemen, zum Beispiel zur zentralen digitalen Lernplattform, in welchen Leistungen der Schüler*Innen und die Bewertungen dieser Leistungen durch die Lehrer*Innen dokumentiert und abrufbar sind.
Anzahl der Datensätze, besonders schutzwürdige Personen
Erschwerend war, dass die Sicherheitsverletzung personenbezogene Daten von über 35 000 Personen betraf, von denen die meisten Kinder sind.
Die Gemeinde war auch mehrfach sowohl von der Behörde als auch von einem „Whistleblower“ gewarnt worden, dass die Datensicherheitsmaßnahmen unzureichend seien
„In der DSGVO werden Kinder als eine besonders gefährdete Gruppe definiert, die einen besonderen Schutz erhält. Es ist wichtig, dass sich die Gemeinden und andere öffentliche Einrichtungen, die personenbezogene Daten verarbeiten, ihrer Verantwortung bewusst sind. Behörden verarbeiten oft Informationen über uns, die wir nicht kontrollieren, und wir haben auch keine Wahl, ob diese Informationen anderen zugänglich gemacht werden oder nicht. Wir sollten dem öffentlichen Sektor vertrauen können“, sagt der Direktor der Aufsichtsbehörde Bjørn Erik Thon.
Laut einer Mitteilung der Gemeinde Bergen wird diese gegen die Entscheidung kein Rechtsmittel erheben.
Die Information der norwegischen Aufsichtsbehörde.
06.04.2019, Autor:
Michael Schweiger, zert. DSBA
Kommentar schreiben