Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

28. April 2021

In 10 Schritten zum sicheren Patchen und Updaten

DP+
• Schnell tun sich Sicherheitslücken auf, wenn niemand Updates und Patches sorgfältig prüft
Bild: iStock.com / glegorly
0,00 (0)
Datenschleuder GmbH oder sicheres Unternehmen?
Jeder kann nach Wartungsarbeiten plötzlich die Gehaltsabrechnung aller anderen Kolleginnen und Kollegen einsehen – was ist da bloß passiert? Lesen Sie, wie Sie solche Datenschutzvorfälle umschiffen.

Der Praxisfall: Alles auf „Masterpasswort“

Bei Wartungsarbeiten an diesem Teil des Programms stellt der Support die Passwörter alle auf „Masterpasswort“, um die Arbeiten bequem zu erledigen. Nicht geplant war hingegen, dass der Support vergisst, die Eigenschaft „Masterpasswort“ wieder in „Userpasswort“ zurück zu ändern. Damit wurde es grundsätzlich möglich, dass jeder alle Gehaltsabrechnungen einsehen konnte. Allerdings wusste das niemand.

Bei den nächsten routinemäßigen Wartungsarbeiten drei Monate nach dem ersten Vorfall fiel das Versäumnis auf. Der Support machte den Fehler sofort rückgängig. Fakt war: Für die letzten drei Monate konnten alle Beschäftigten alle Gehaltsmitteilungen einsehen. Eine klassische Schutzverletzung nach Art. 4 Nr. 12 Datenschutz-Grundverordnung (DSGVO).

Meldepflichtiger Datenschutzvorfall

Das Unternehmen informierte den Datenschutzbeauftragten (DSB). Sein Tipp: in der Protokollierung nachsehen, ob jemand den Fehler entdeckt und ausgenutzt hat. Tatsächlich hatte jedoch offenbar niemand diese Lücke erkannt. Keine einzige Gehaltsmitteilung war unbefugt angesehen worden.

Allerdings reichte die Protokollierung nur zwei Monate zurück. Es blieb also eine Lücke von vier Wochen, für die sich nicht ausschließen ließ, dass jemand die Gehaltsmitteilungen unbefugt eingesehen hatte. Das machte die Meldung an die Aufsichtsbehörde unvermeidlich.

Die Ausgangslage: ungeklärte Zuständigkeiten = offene Flanken

Hätte sich dieser Datenschutzvorfall vermeiden lassen, und wenn ja, wie? Es geschieht immer wieder, dass de…

Eberhard Häcker
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Eberhard Häcker
Eberhard Häcker
Eberhard Häcker ist seit vielen Jahren als externer Datenschutz­beauftragter tätig. Seit 2005 ist Eberhard Häcker selbstständig mit Schwerpunkt Datenschutzberatung.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.