In der IT-Abteilung eines Unternehmens werden die An- und Abmeldeprotokolle der Mitarbeitenden ausschließlich für die Zugriffskontrolle erhoben — so steht es in der Datenschutzerklärung. Eines Tages nutzt die Personalabteilung genau diese Protokolle, um die Anwesenheitszeiten eines Mitarbeiters zu überprüfen, der angeblich zu spät kommt. Die zweckfremde Verwendung ist ein Verstoß gegen den Datenschutz — und ein klassischer Fall von Missbrauch personenbezogener Daten.
Der Missbrauch personenbezogener Daten (G 0.38) steht an der Schnittstelle von Informationssicherheit und Datenschutz. Personenbezogene Daten gehören zu den besonders schützenswerten Informationen, und ihr Missbrauch kann die betroffenen Personen in ihrer gesellschaftlichen Stellung und ihren wirtschaftlichen Verhältnissen erheblich beeinträchtigen.
Was steckt dahinter?
Personenbezogene Daten — Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person — dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Missbrauch liegt vor, wenn dieser Zweckbindungsgrundsatz verletzt wird, wenn Daten ohne Rechtsgrundlage verarbeitet oder wenn sie unberechtigt an Dritte weitergegeben werden.
Missbrauchsformen
- Zweckfremde Nutzung — Daten, die für einen bestimmten Zweck erhoben wurden (z. B. Zugriffskontrolle), werden für einen anderen Zweck verwendet (z. B. Leistungsüberwachung).
- Übermäßige Datenerhebung — Eine Organisation sammelt mehr personenbezogene Daten als für den Verarbeitungszweck erforderlich (Verstoß gegen Datenminimierung).
- Unberechtigte Weitergabe — Personenbezogene Daten werden ohne Einwilligung oder Rechtsgrundlage an Dritte weitergegeben — intern an nicht berechtigte Abteilungen oder extern an Geschäftspartner, Werbefirmen oder Behörden.
- Verspätete Löschung — Daten werden über die gesetzlich vorgeschriebenen oder vereinbarten Aufbewahrungsfristen hinaus gespeichert.
- Profilbildung — Aus verschiedenen Datenquellen wird ein umfassendes Persönlichkeitsprofil erstellt, das weit über den ursprünglichen Verarbeitungszweck hinausgeht.
Schadensausmass
Die Folgen treffen sowohl die betroffenen Personen als auch die verantwortliche Organisation. Betroffene können finanzielle Schäden erleiden (Identitätsmissbrauch, Kreditschädigung), gesellschaftlich benachteiligt werden (Diskriminierung, Rufschädigung) oder psychischen Stress erfahren. Für die Organisation drohen Bußgelder nach DSGVO (bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes), Schadensersatzansprüche, Reputationsverlust und der Verlust des Vertrauens von Kunden und Geschäftspartnern.
Praxisbeispiele
Hotelmitarbeiter verkauft Gästedaten. Ein Mitarbeiter am Empfang eines Hotels hat Zugriff auf die Anmeldedaten aller Gäste — Name, Adresse, Ausweisdaten, Zahlungsinformationen. Er verkauft regelmäßig Datensätze an eine Werbefirma. Die betroffenen Gäste erhalten in den Wochen nach ihrem Aufenthalt gezielt Werbung von Unternehmen, mit denen sie nie in Kontakt standen.
Zugriffsprotokolle für Verhaltenskontrolle. Eine Personalabteilung nutzt die Anmelde- und Abmeldeprotokolle des Zeiterfassungssystems, um das Arbeitsverhalten einzelner Mitarbeitender zu analysieren — obwohl die Protokolle laut Betriebsvereinbarung ausschließlich für die IT-Sicherheit erhoben werden dürfen. Der Betriebsrat erfährt davon und eskaliert den Vorfall.
Kundendaten nach Vertragsende. Ein Online-Händler speichert die vollständigen Kundendaten (Bestellhistorie, Zahlungsdaten, Adressen) auch nach Beendigung der Geschäftsbeziehung über die gesetzlichen Aufbewahrungsfristen hinaus. Bei einer Aufsichtsprüfung wird festgestellt, dass Daten von über 50.000 ehemaligen Kunden seit mehr als zehn Jahren nicht gelöscht wurden.
Relevante Kontrollen
Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 23 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)
Prävention:
- A.5.34 — Datenschutz und Schutz personenbezogener Daten: Zentrale Kontrolle für die Umsetzung datenschutzrechtlicher Anforderungen im ISMS.
- A.8.11 — Datenmaskierung: Pseudonymisierung und Anonymisierung reduzieren das Missbrauchspotenzial.
- A.8.10 — Löschung von Informationen: Fristgerechte Löschung personenbezogener Daten nach Zweckerfüllung.
- A.8.3 — Beschränkung des Informationszugangs: Need-to-know-Prinzip begrenzt den Kreis der Personen mit Zugriff auf personenbezogene Daten.
- A.6.3 — Informationssicherheitsbewusstsein: Schulungen zu Datenschutzpflichten und den Konsequenzen bei Missbrauch.
Erkennung:
- A.8.15 — Protokollierung: Protokollierung von Zugriffen auf Bestände mit personenbezogenen Daten.
- A.8.16 — Überwachungsaktivitäten: Monitoring erkennt ungewöhnliche Zugriffsmuster auf sensible Datenbestände.
Reaktion:
- A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Meldepflichten bei Datenschutzverletzungen (DSGVO Art. 33: 72-Stunden-Frist an die Aufsichtsbehörde, Art. 34: Benachrichtigung der Betroffenen).
- A.5.25 — Bewertung und Entscheidung über Informationssicherheitsereignisse: Strukturierte Bewertung, ob ein Datenschutzvorfall meldepflichtig ist.
BSI IT-Grundschutz
G 0.38 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:
- ORP.2 (Personal) — Anforderungen an Vertraulichkeitsverpflichtungen und Datenschutzschulungen.
- ORP.3 (Sensibilisierung und Schulung) — Awareness-Training zu Datenschutz und Zweckbindung.
- OPS.1.1.5 (Protokollierung) — Anforderungen an die datenschutzkonforme Protokollierung.
- SYS.3.2.3 (iOS/iPadOS) — Beispiel für gerätespezifische Datenschutzanforderungen auf mobilen Endgeräten.
Quellen
- BSI: Die Lage der IT-Sicherheit in Deutschland — Jahreslagebericht mit Bezug zu Datenschutzverletzungen
- BSI IT-Grundschutz: Elementare Gefährdungen, G 0.38 — Originalbeschreibung der elementaren Gefährdung
- ISO/IEC 27002:2022 Abschnitt 5.34 — Umsetzungshinweise zu Datenschutz und Schutz personenbezogener Daten