#33 - Versicherung gehackt, Millionen gepeckt

00:00:03:

00:00:19: Willkommen zu einer neuen Folge von Mein Datenschutztheater, dem Podcast von Meine Berater.

00:00:25: Wenn ich richtig gerechnet habe, ist es heute Folge thirty-three.

00:00:29: Und der Potent ist richtig.

00:00:30: Dankeschön.

00:00:31: Gleis bloß.

00:00:32: Schönen guten Morgen, lieber Murphy.

00:00:34: Guten Morgen, liebe Begitt.

00:00:35: Also, wie Sie gerade merken, liebe Damen und liebe Herren, Wir sind heute wieder in der Früh im Studio.

00:00:42: Sie hören das dann hoffentlich irgendwann morgens, mittags, abends.

00:00:46: zum Einschlafen sage ich jetzt nicht, weil wir wollen ja nicht, dass sie bei unseren Folgen einschlafen, sondern sich gut unterhalten und aufgeschlaut fühlen.

00:00:53: Und es ist heute eine Folge, die der Murphy vorbereitet hat.

00:00:57: Die Idee dazu hatte ich.

00:00:59: Und an dieser Stelle entschuldige ich mich jetzt beim Murphy.

00:01:03: Dass du jetzt schon hundert Prozent Redezeit hast, oder?

00:01:05: Nein.

00:01:06: dass der Strafbescheid, den der Murphy heute für uns setzieren wird, dreiundfünfzig Seiten hat.

00:01:13: Ja,

00:01:13: klein geschrieben und spanisch.

00:01:15: Ja, also ich habe ihm das als Idee geschickt und wie er mir dann mitten drin in der Vorbereitung gesagt hat, du weißt eigentlich, wie lange der Bescheid ist, aber wie gesagt, bitte dann machen wir ein anderes Thema.

00:01:26: Und er hat dann gesagt...

00:01:28: Sicher nicht.

00:01:29: Ich habe schon so viel Zeit da reingesteckt.

00:01:32: Ja.

00:01:33: Und er hat mit seinem Nicht-Freund-Cech-GPD versucht zu arbeiten.

00:01:38: Und der hat so viel Plötzling gemacht, dass die Zeit, um das alles richtig zu stellen, dann doch länger gedauert hat, als Chech-GPD da etwas vereinfacht hat.

00:01:46: Genau.

00:01:47: Ja, es kommt mir nicht nur spanisch vor, es ist auch spanisch.

00:01:51: Das heißt, wir sind quasi im Urtaubsmodus, in der letzten Folge waren wir in Finnland, sind quer durch ganz Europa gereist und jetzt in Spanien angekommen und werden heute eine Strafe auspacken bzw.

00:02:02: setzieren und auf den Tisch legen, die sich um ein Informationssicherheitsthema handelt, insgesamt um eine Versicherung und um, wie der Name schon sagt, Straffolge, um eine große Strafe.

00:02:16: Genau.

00:02:17: Und der Titel, damit wir Ihnen den auch sagen, der Titel der heutigen Folge lautet, Versicherung gehäckt, Millionen gepäckt.

00:02:25: Also es geht wirklich um eine Millionenstrafe, wie der Murphy gerade gesagt hat, eine spanische Versicherung.

00:02:31: Und schauen wir gleich mal rein, was hat die denn angestellt, dass sie bestraft wurde?

00:02:36: Genau, also insgesamt war die spanische Datenschutzbehörde dafür und dafür zuständig, dass diese Strafe zustande gekommen ist, weil sie ja wie in allen europäischen Ländern, bis auf Deutschland, nur eine Datenschutzbehörde in einem Staat gibt.

00:02:52: Die l'Agencier espagnola de proteccion de tatos.

00:02:56: Was de tatos?

00:02:59: Ja, de tatos.

00:02:59: Das ist eine

00:03:00: finnisch-panische schon.

00:03:02: Cool Murphy.

00:03:02: Ich

00:03:03: finde

00:03:03: quasi eine Orasie, also nicht ganz.

00:03:07: Ja, viele Sprachen, viele Länder.

00:03:09: Und wir reißen durch ganz Europa.

00:03:12: Genau.

00:03:12: Und nicht nur viele Sprachen, auch viele Strafen.

00:03:14: Das rein sich fast.

00:03:15: Ja, und die Eins Komma fünf Millionen aus Finnland, da streichen wir jetzt den Eins Komma voran weg und dann bleiben fünf Millionen über.

00:03:22: Das waren echt die Strafe, die wir dann hier aussprechen werden oder nicht aussprechen, sondern besprechen werden.

00:03:28: Ja, insgesamt war ein kompromotiertes Marklerkonto dafür zuständig, dass einfach sehr viele Daten abgeflossen sind.

00:03:38: und diese dann später im Netz aufgetaucht sind und dann zu dieser Strafe geführt haben.

00:03:44: Also es geht um eine Versicherungsgesellschaft, die ein Maklerportal online betrieb und über eines dieser Gründen wurden Daten abgesaugt.

00:03:53: So kann man sagen.

00:03:54: Ja und wie man sie vorstellen kann, verarbeiten Versicherungen, sehr viele Daten, sehr viele personenbezogene Daten, auch natürlich sensible Daten.

00:04:01: Das schauen wir uns dann genauer an, welche Daten da von betroffen waren.

00:04:06: Was ich an dieser Folge bzw.

00:04:07: an diesem Strafenfall so cool finde, ist, dass die spanische Behörde, gleich wie auch die finnische, in der vorletzten Folge war das dann schon.

00:04:18: sagt, ihr habt es gegen vier, fünf, sechs verschiedene Artikel aus der TSGVO verstoßen und ich bestrafe jeden einzeln.

00:04:25: Also das heißt, ich weiß, ja.

00:04:28: Ich sag's jetzt eh nicht, ich zweilere nicht, das ist ja deine Folge.

00:04:31: Ich wollte eben nur sagen, es ist cool, dass man dann sieht, wenn ich jetzt gegen, weiß ich nicht, Artikel thirty-fünf verstoße, kriege ich Strafe X. Genau.

00:04:39: Also das ist eine Summe von Strafen, weil es war ja auch eine Summe von Problemen, dass man sagen kann, eine ganze Kette von Problemen, die dazu geführt hat, dass dieser Fall vor die Behörde kam und dann auch eine Strafe verhängt wurde.

00:04:56: Genau.

00:04:56: Also fehlen sich jetzt Maßnahmen, fehlende Protokollierung, mangelnde Führungsverantwortung, also man kann fast sagen, fehlende Datenschutzkultur im ganzen Unternehmen.

00:05:06: Und das hat dann insgesamt dazu geführt.

00:05:10: Aber machen wir mal Stück für Stück.

00:05:12: Bitte.

00:05:13: Was ist genau passiert, Technisch?

00:05:14: Genau

00:05:15: passiert ist das.

00:05:15: In einer Hausinternen Software, das heißt SMC Kundenverwaltungsprogramm, war ein Makler angehängt und hat sich dort natürlich immer wieder seine Kunden angeschaut und der ist aber geheckt worden.

00:05:30: Konto von ihm wurde, wie man so schön sagt, kompromittiert und über dieses Konto wurden dann systematisch Abfragen gestartet und quasi so ein automatisierter Brotforce-Eingriff, wie man so schön sagt.

00:05:42: Das kennt jeder, das selbstverständlich

00:05:45: jeder, der uns immer wieder zuhört.

00:05:46: Jedenfalls wurden da einfach automatisiert, immer wieder Daten abgefragt und damit insgesamt Millionen Daten über dieses Konto herausgezogen.

00:05:57: Hat der Makler da selber gewusst, dass das passiert ist?

00:05:59: Gleich.

00:06:00: Warum Millionen?

00:06:01: Weil nicht nur die eigenen Daten, also die aktuellen Kunden von dem Makler da in diesem Zugriff waren, sondern auch ehemalige Kunden konnten.

00:06:12: Und deswegen war das so ein großes Thema insgesamt.

00:06:16: Der Makler selber hat das sicher nicht gewusst, Das ist einfach online passiert und zwar nicht über seinen Rechner wahrscheinlich, sondern irgendwie anders.

00:06:25: Es wurde einfach, wie gesagt, dieses Konto kompromittiert.

00:06:28: Ja, und alle diese Daten wurden dann oder ein Teil der Daten wurde dann zum Verkauf angeboten.

00:06:35: Über Telegram.

00:06:36: Genau.

00:06:37: Ein Messenger-Dienst, den wir nicht empfehlen.

00:06:38: Nicht

00:06:39: mögen.

00:06:39: Nein,

00:06:39: nicht wirklich.

00:06:40: Also das heißt, ein unfriendly Hacker hat sich Zugriff geschafft auf das Marklerportal der Versicherung in Spanien, es war im Übrigen die Generale, das wurde veröffentlicht, die Generale Spanien hat Millionen von Daten abgesaugt.

00:06:56: und was dann im Zuge des Falles rauskommen ist, es waren immer alle Daten zugänglich, egal ob es sich um aktive oder um ex Kunden gehandelt hat.

00:07:05: Ja,

00:07:05: das Thema natürlich aus meinem ersten Punkt gleiche.

00:07:08: Wissen und was alle unsere Zuhörerenden auch wissen.

00:07:12: Es hat gegen ein Prinzip verstoßen, dass diese ganzen Daten im Zugriff waren, nämlich Prinzip der Datenminimierung bzw.

00:07:18: Speicherbegrenzung.

00:07:20: Das heißt, Exkunden dürfen nicht ewig aufheben.

00:07:22: Aber das wissen wir schon.

00:07:24: Die Generale hat das offenbar nicht gewusst bzw.

00:07:27: hat das nicht so eingeschränkt, dass über das Portal diese ganzen Kunden im Zugriff waren.

00:07:33: Welche Daten dann betroffen?

00:07:36: Da schauen wir uns einmal die Unteranführungszeichen jetzt normalen und nicht sensiblen Daten an.

00:07:41: Spoiler Spoiler sind nämlich auch sensibel dabei.

00:07:43: Die normalen Daten waren quasi die Namen und Adressdaten, Vertrags- und Schadensdaten, Geburtsdaten, Telefonnummern, also Personen bezogen im engeren Sinn.

00:07:57: In diesem Fall, wie gesagt, die normalen Daten und insgesamt über eine Million ehemalige Kunden waren da im Zugriff drin.

00:08:05: Also das heißt zusätzlich zu den aktiven Kunden auch über eine Million ehemalige Kunden.

00:08:10: Und am Anfang wusste auch die Generale nicht einmal, wie viele Daten insgesamt von dem Vorfall betroffen waren, weil es gar keine gescheiten Protokolle oder sogenannte Autotrails gibt, wo man nachvollziehen kann, wer wann wo zugreift und welche Daten vielleicht einzieht.

00:08:26: Das war natürlich auch sehr bedenklich auf der einen Seite und wird dann in späterer Folge, wie wir noch hören werden, auch die Strafhöhe ein wenig in die Höhe treibt.

00:08:34: Du hast ja ja schon ein paar Praxis-Tipps da überlegt, die wir nicht ganz am Ende heute bringen werden, sondern gleich zwischendurch.

00:08:42: Genau.

00:08:43: Du hast gesagt, das fehlten aussagegrifftige Protokolle und Audit-Trails auch ein Begriff, den sicher jeder kennt.

00:08:49: Wunderbar, ja.

00:08:50: Also ein nachvollziehbarer Weg.

00:08:52: Wie, auf welche Daten von wem, wann zugegriffen wurde, kann man sagen.

00:08:56: Was sind denn da jetzt einmal deine ersten Praxis-Tipps gleich an dieser Stelle?

00:08:59: Klarerweise.

00:09:00: Erstens sollte man die Logs nicht nur haben, sondern auch regelmäßig einsehen, auslesen und analysieren, damit man im schnellen und präzise auf solche Vorfälle reagieren kann.

00:09:12: Und wenn man Informationssicherheit lebt, ist man da auch einmal ein großes Stück weiter, weil in dem Fall, wenn man das Sicherheitsziel der Vertraulichkeit in den Ring werfen darf.

00:09:23: Von meiner Seite.

00:09:25: Ja, da geht es einfach darum, wenn Daten abfließen, ist natürlich die Vertraulichkeit betroffen.

00:09:31: Und um die Informationssicherheit zu stärken, sollte man einfach solche Methoden einführen, dass man eben Logs hat, dass man monitort was über alles passiert in den Zugriffen, dass man vielleicht schaut, wenn ein Markler permanent oder in einem großen Umfang Daten abfährt.

00:09:49: greift bzw.

00:09:50: aufruft, dass das vielleicht nicht ganz normal ist.

00:09:53: Genau.

00:09:54: Und wenn man, wenn man, ich wollte den Gedanken zuerst zu Ende denken, weil gestern ist mir wieder mal aufgefallen, ich bin ja sowas von überhaupt nicht multitasking, gestern habe ich versucht jemanden zuzuhören, mitzudenken, was zu lesen und auch... eine richtige Antwort zu geben.

00:10:16: Aber ich bin total gescheitert und habe dann meinem Gegenüber gesagt, eins noch einen anderen bitte.

00:10:20: Ich höre einen jetzt zu, dann lese ich das noch und dann gebe ich eine Antwort.

00:10:23: Also, die DSGVO schreibt ja auch vor, dass man gewisse Kontrollen einführen muss und das sind zum Beispiel auch Eingabekontrollen, die ja Teil der Informationssicherheit sind.

00:10:34: Also, das heißt, übersetzt nichts anderes.

00:10:36: Man sollte nur mehr Software am Einsatz haben, die mit aufzeichnet, wer war noch was.

00:10:41: Zugreift und diese sogenannten Lock-Files nicht eben nur, wie du gerade gesagt hast, haben, sondern die muss ja regelmäßig mehr anschauen.

00:10:52: Das ist ja wieder was mich total fasziniert.

00:10:54: Es ist eine große Versicherung, es gibt viele Datenbewegungen.

00:10:58: Aber wenn über ein und dasselbe Maklerkonto da Millionen Zugriffe und Abflüsse permanent passieren, und das ist ja auch ein fortgesetzter Zeitraum gewesen, das war ja nicht ein Tag, sondern sicher längerer Zeitraum, dass das niemandem auffällt, dass da keine Alarme gibt.

00:11:15: Genau da ist der Punkt, wenn sich gelockt wird, kann es nicht auffallen.

00:11:18: Ja

00:11:18: klar.

00:11:19: Du hast jetzt vorher bisschen gespoilert, das waren nicht nur normale, personenbezogene Daten, wie es wir mal nennen, betroffen, sondern auch andere.

00:11:26: Heikle und sensibel.

00:11:27: Ja,

00:11:27: schön.

00:11:28: So wie wir das immer sagen, Heikle-Daten, wie zum Beispiel Bankverbindungen in Einzelfällen, also E-Bands, die sind natürlich nicht sensibel, weil sie nicht unter das Stichwort sensibel laut

00:11:39: DSGV

00:11:40: auffallen.

00:11:41: Das, was da noch in einem Feld sind und die Gesundheitsdaten.

00:11:45: Also es waren auch einige Gesundheitsdaten darunter.

00:11:49: Sensible.

00:11:50: im Original heißt es ja besondere kategorien, besondere personenbezogene Daten, wie wir wissen.

00:11:56: Ja und die Kombination, also jetzt der Gesamtheit dieser Daten ist dann schon mehr als bedenklich, weil man natürlich aufgrund dieser Daten gewisse Missbräuche vermuten kann, wie zum Beispiel, dass man sagt ja, es ist die Möglichkeit, dass man Identitätstiebstahl betreibt und so weiter.

00:12:16: Genau, und die Menschen sind ja, also der Schutz der Privatsphäre geht ja in Richtung Schutz des Lebens, der Gesundheit, des Rufs, aber natürlich auch der finanziellen Unversehrtheit.

00:12:27: Und ja, wenn man so viele Daten von einer Person hat, dann kann man schon ganz gezielte Fishing Angriffe zum Beispiel machen und dann die Leute dazu bewegen, dass sie vielleicht was reinzahlen.

00:12:35: Und

00:12:36: oder auch in gewissen Fällen Daten erhalten, weil manchmal ist zum Beispiel das Geburtsdatum oder eine Sozialversicherungsnummer und so weiter schon das Schlüssel am Telefon, damit man irgendwelche Auskünfte bekommt.

00:12:49: Genau.

00:12:50: Wenn man heute beim AMS anruft und seine Sozialversicherungsnummer weiß, kriegt man sicher Auskünfte noch und nöcher.

00:12:56: oder bei der ÖGK anruft, welchen Identifikator werden die verwenden außer der Sozialversicherungsnummer?

00:13:03: Was ja auch eine sehr interessante Sache.

00:13:05: Ich glaube, das ist ans meiner Lieblingswerte, weil sie es finde ja alles interessant.

00:13:09: Wir beraten nicht nur Versicherungsunternehmen, sondern auch sehr viele Versicherungsmarkler, Versicherungsvermittler, Berater in Versicherungsangelegenheiten.

00:13:16: Da gibt es verschiedenste Gewerbescheine.

00:13:19: Das heißt, die Datenschutzbehörde, die Spanische, hat sich auch die Rolle der Versicherungsvermittler da genau angeschaut.

00:13:24: und auch ein bisschen etwas dazu zu sagen gehabt.

00:13:27: Ja, also insgesamt diese Rolle war natürlich da im Zentrum klar, dass Vermittler hat oder muss auf seine Kundendaten Zugriff haben, weil sonst wird es schwierig, aber erstens einmal hatte er die auch noch lange nach dem Vertragsende, plus es wurden auch X

00:13:45: Kunden

00:13:46: insgesamt nicht aus den Systemen herausgenommen und aus dem Zugriff.

00:13:51: Und erst nach diesem Vorfall hat es dann die Generale gemeint, gut, dann schränken wir diesen Zugriff ein bisschen ein.

00:13:57: Das war aber nicht verinnern.

00:13:59: Das künftig einfach nur mit den aktuellen Kunden im Zugriff sind und nicht mehr irgendwelche Altkunden.

00:14:05: Ich glaube ja, ich habe mir den Fall ja nicht genau angeschaut, weil es mir auch fürs Fall ist.

00:14:10: Ich stelle da nur ein paar komische Fragen.

00:14:12: Und philosophiere Herum.

00:14:14: Wenn ich mir das ganze Thema anschaue, dann glaube ich, dass, so ich weiß es nicht, ich glaube es, dass dieser Makler auf weitaus mehr Datenzugriff hatte als auf die eigenen Kundendaten.

00:14:25: Weil das ein einzelner Makler Millionen von Kunden hat, das gibt

00:14:30: es nicht

00:14:31: möglicherweise, wenn er es schon lange macht.

00:14:33: Aber in dem Fall wird es höchstwahrscheinlich so gewesen sein, wenn man Makler Zugriffsberechtigung hatte in dieses SMC.

00:14:39: Wahrscheinlich Service Maglia Center, keine Ahnung.

00:14:42: Und das auf Spanisch?

00:14:43: Ja, genau, auf Spanisch.

00:14:44: Das kann ich nicht.

00:14:44: Service,

00:14:45: ja.

00:14:46: Irgendwas.

00:14:47: Ich kann nur Service aus.

00:14:49: Das heißt, glaube ich, Bier.

00:14:51: Genau.

00:14:52: Noch etwas früh für ein Bier.

00:14:54: Jetzt hast du mich total aus dem Konzept gemacht.

00:14:55: Wunderbar.

00:14:56: Wir waren bei den Schnittstellen.

00:14:57: Ja,

00:14:58: genau.

00:14:58: Also ich mutmaße.

00:15:01: dass die Makler, und das wird ja nicht der einzige gewesen sein, dessen Konto wurde halt geheckt, aber da gibt es ja sicher tausende Makler, die da eine Zugriffsberechtigung auf dieses Portal hatten und wahrscheinlich dann Zugriff auf alle Kunden, die die Generale in Spanien hat und das geht ja überhaupt gar nicht.

00:15:17: Ja, das ist halt insgesamt das Thema, wo ich jetzt auch genau hin möchte, nämlich zu den Schnittstellen, weil diese Hintertüre, dass man dann auf Datenzugriff hat, die man nicht sehen sollte, ist natürlich dann auch ein weiterer Punkt, der dann, wenn man dann die DSGVO-Verstöße uns anschauen, ein wesentlicher Punkt gewesen ist.

00:15:41: Das heißt, du möchtest jetzt einmal erzählen, was die Datenschutzbehörde aufgelistet hat an Verstößen?

00:15:47: Das auch, aber noch zurückzukommen.

00:15:50: Wie gesagt, das betrifft ja insgesamt nicht nur Makler, wenn man dann auch andere Firmen anschaut.

00:15:55: Also ich werde dann das auch noch einmal explizit sagen, jede Firma, die irgendwelche Schnittstelle nach außen hat, sollte diesen Fall sich rot aufschreiben und einrahmen und in Zukunft ein paar Dinge vielleicht prüfen oder dann einführen und besser machen.

00:16:14: insbesondere halt das Monitor dieser ganzen Daten, die da fließen.

00:16:18: Also das heißt, wir sprechen nicht nur jetzt von einem... BtoB-Portal kann man sagen, weil wenn jetzt der Versicherer oder eine Bank ein eigenes Portal oder Werdenpapierfirma zur Verfügung stellt, dass die Vermittler auf die Kundendaten zugreifen können, sondern jede Schnittstelle, also das heißt jeder Online-Zugriff auf irgendeinem Portal, egal ob das ein Kundenportal ist, ob das ein Vermittlerportal ist, was auch ein Online-Shop, was auch immer.

00:16:42: Theoretisch alles, warum?

00:16:44: weil natürlich auch jede Schnittstelle Risiken bietet, wie zum Beispiel SQL Injections und so weiter.

00:16:51: Da gibt es ja auch bei der KI, wenn wir heute schon bei JetGTB waren, gibt es ja auch schon mittlerweile die Prompt Injections.

00:16:57: Das heißt, wie bekomme ich JetGTB dazu, mir was zu erzählen, das ist gar nicht darf und oder auch bei Copyload, aber das ist ein anderes Thema.

00:17:05: Das werden wir jetzt nicht ausbreiten, weil sonst reicht das elektronische Band hier bei der Spot nicht aus.

00:17:11: Deswegen kommen wir zurück und konzentrieren uns wieder auf die DSGVO-Verstöße, die wir hier hatten.

00:17:18: Wobei wir ja auch schon gesagt haben, die nächsten Folgen widmen wir schon ein bisschen dem Thema Datenschutz und KI.

00:17:23: Das ist schon ein kleiner Vorgeschmack, liebe Damen und liebe Herren, die uns zuhören.

00:17:29: Das ist ja ein ganz heißes Thema und Sie können sich vorstellen, wir werden da jeden Tag zu gewissen Themen gefragt.

00:17:34: Und ich glaube, die nächsten zwei Folgen, die wir dann machen, wären wir so unter den Titel Datenschutz und KI.

00:17:40: Ein bisschen still.

00:17:40: Also in sehr naher Zukunft werden wir auf jeden Fall dort hinkommen.

00:17:44: Wenn wir heute...

00:17:45: Wo ist man heute mal fertig werden?

00:17:47: Genau.

00:17:47: Mit diesem Monsterfall, mit den drei und fünfzig Seiten.

00:17:50: Aber keine Sorge, liebe Damen und Herren.

00:17:52: Der Murphy hat das super zusammengezerbiert.

00:17:55: Wenn ich zu Wort komme, dann... Genau, ich will gerade sagen.

00:17:56: Und wenn ich endlich wieder mal aufhört zum Reden, kannst du weiter erzählen, bitte, Murphy?

00:18:01: Ja, ich bin gereist

00:18:01: dabei.

00:18:02: Trink deinen Kaffee.

00:18:04: Also, Zugriffe sollten auf das nötigste beschränkt sein.

00:18:07: Da haben wir schon gesagt, das ist nicht Tonoprinzip.

00:18:09: Und natürlich, Ex-Kunden können gar nicht irgendwo in eine Umgebung hinein.

00:18:13: Die AIPD, also die Spanische Behörde.

00:18:17: Gesuchtsnummer,

00:18:17: wie es

00:18:17: heißt.

00:18:18: AIPD.

00:18:20: Am Schluss habe ich immer gemerkt, dass Dora ist Tatos.

00:18:23: Das finde ich ehrlich, sage ich in Zukunft auch öfter.

00:18:25: Die Tatos.

00:18:27: vier verschiedene Artikel, die ich jetzt nicht explizit erwähnen werde, aber beschreiben werde.

00:18:32: Ich kann sie auch erwähnen.

00:18:33: Also Artikel fünf, fünfundzwanzig, zweiunddreißig und fünfunddreißig extra für die Birgit heute.

00:18:37: Danke.

00:18:38: Hat jeweils mit einer Million und Artikel fünfundzwanzig mit zwei Millionen bestraft.

00:18:44: Also langsam eins nach dem anderen, Integrität und Vertraulichkeit.

00:18:47: Also Daten wurden nicht ausreichend geschützt.

00:18:51: Wir haben nicht so ein Registrikhassenton, das wäre jetzt super, so klingling mit einer Million.

00:18:56: Ah, das nehmen wir nicht für die nächste Schadenfolge.

00:18:58: Wir haben so eine Rezeptionsklingelkaust,

00:19:03: die nehmen

00:19:03: wir mit.

00:19:04: Privacy bei Design und Default, also das ist, glaube ich, wie der Risikobewertung noch angepasste Prozesse.

00:19:09: Die Systeme waren veraltet.

00:19:11: Das

00:19:11: kommt doch bei Versicherungen nicht vor, dass was veraltet

00:19:14: ist.

00:19:14: Zwei Millionen.

00:19:16: dann Artikel thirty-two, der Klassiker, wenn es für mich und den technischen Datenschutz geht, also Sicherheit in der Verarbeitung, beglehnende Zugriffskontrollen, LOX und so weiter, auch wieder um eine Million.

00:19:28: Und am Ende, die letzte Million war dann für die nicht durchgeführte Datenschutzfolgenabschätzung.

00:19:34: Und insgesamt, wer mitgerechnet hat, ist immer bei diesen fünf Millionen, das gesamte Strafpaket.

00:19:41: Also das heißt, wie Sie hören, es war nicht ein einzelner Verstoß und das kommt ja auch ganz selten vor.

00:19:47: Also wenn eine Strafe verhängt wird, dann kommt es wirklich ganz selten vor.

00:19:53: Was?

00:19:54: Da kommt es dann dick, wenn dann so viele verschiedene Sachen bestraft

00:19:59: werden.

00:19:59: Was ich aber sagen wollte ist, es kommt selten vor, dass ein gegen einen einzigen Artikel verstoßen wird und das Thema gibt sich dann die Strafe, sondern es ist meistens eine Kombination, also ein ganzes Paket dann verstößen.

00:20:10: Ein

00:20:11: Bündel.

00:20:12: Ein Bündel genau und auch in diesem Fall wunderbar aufgelistet und setziert von der Datenschutzbehörde, wo man sich dann wirklich selber als Unternehmen auch anschauen kann.

00:20:22: Naja, welche Artikel.

00:20:24: Wir haben da zusammengespielt, nicht nur einer, eben in diesem Fall fünf.

00:20:28: Und lustigerweise fünf Artikel.

00:20:30: Nein, ich habe mir erzählt, vier Artikel, fünf Millionen, so war es nicht umgekehrt.

00:20:34: Genau.

00:20:35: Nicht zwei Minuten, zwei Millionen, sondern vier Artikel,

00:20:39: fünf Millionen.

00:20:40: Und die Behörde hat so, wie du mir das auch erzählt hast, von strukturellen Mengen gesprochen, also ein Systemproblem.

00:20:47: Es war nicht ein einmaliger Vorfall oder

00:20:50: Unfall

00:20:50: oder Zufall, jetzt haben wir

00:20:52: es mit dem Film.

00:20:53: Da kommen wir uns in den

00:20:55: nächsten zwei, drei Minuten noch dazu.

00:20:58: Das erste war mal, die Generale hat natürlich gesagt in einem Moment, wir sind ja eh super, hat Einspruch eingelegt und versucht diese Vorwürfe zu relativieren und hat dann die Argumente versucht zu entkräften mit zum Beispiel dem Thema so.

00:21:11: Das handelt sich ja nur um Einzelfälle.

00:21:14: Ein paar Millionen Einzelfälle.

00:21:16: Wenn wir alle anschauen sind es Einzelfälle, aber halt viele.

00:21:20: Die Mitarbeitenden sind sowieso geschult gewesen, die Prozesse haben wir dann eh nach dem Vorfall verbessert und insgesamt haben wir immer im Sinne der Kunden gehandelt.

00:21:30: Also wir sind eh super.

00:21:33: Lustigerweise hat die Datenschutzbörde in Spanien das nicht ganz so gesehen.

00:21:37: Und hat gemeint, die Probleme haben ja über mehrere Jahre insgesamt gedauert, also das nicht beheben von diesen ganzen Missständen.

00:21:45: Die Schulungen sollte es welche gegeben haben, die waren niemals dokumentiert, also kann man gleich mal behaupten.

00:21:52: Ja, und nachbesorgung hat man insgesamt erst nach dieser Panne gemacht.

00:21:56: Apropos Schulungen, das ist ja auch ein Thema, auf das ich immer wieder besonders gern hinweise, weil ich ja auch besonders gerne Schulungen halte.

00:22:04: Sie wissen es, liebe Damen und Herren, reden gehört ja zu meinen größten Leidenschaften.

00:22:08: Und an dieser Stelle kann ich nur sagen, dokumentieren Sie regelmäßige Schulungen eine am Beginn eines Arbeitsverhältnisses und dann nie wieder es viel zu wenig.

00:22:18: Versicherungsvermittlungsbereich, auch im Wertpapiervermittlungsbereich ist man gesetzlich verpflichtet, die Nachweise zu erbringen.

00:22:26: Das hat auch mit der Gewerbeberechtigung zu tun.

00:22:29: An dieser Stelle einen lieben Gruß an den Oliver Lindner und meine Weiterbildung können wir wärmsten empfehlen, dass man sich dort registriert und dort Schulungen und Tests macht und die Zertifikate verwaltet.

00:22:39: Wenn es die Behörde sehen will, reicht es nicht aus zu sagen, wir haben ja eh geschult.

00:22:45: Sie will eine Nachweise sehen und da tut man sie ohne.

00:22:48: Zertifikate halt ein bisschen schwer.

00:22:50: Genau, da gleich anschließend an diesem Punkt.

00:22:53: Offensichtlich hat man ihn dann auch Empfehlungen ausgesprochen, die aber nie umgesetzt.

00:22:57: Und es gab auch für diese Empfehlungen keine Nachweise oder auch für Kontrollen oder Verbessungsvorschläge, obwohl auch die Führungskräfte genau wussten, dass es da einen Risiko gibt.

00:23:08: Und das haben sie halt dann von einem Vorstand wahrscheinlich zum anderen hingeschoben und wieder zurück.

00:23:12: Wir haben glaubt, das belöst sich dadurch, wenn man es oft hin und her schiebt, aber das hat sich nicht gelöst.

00:23:16: Und somit hat die Behörde auch gemeint, das war auch ein sehr erschwerender Umstand, dass die Leute da gewusst haben.

00:23:23: Es ist nicht super, aber tun tun wir dabei noch nix.

00:23:26: Wahnsinn.

00:23:27: Kannst du dich noch erinnern in unseren ersten Datenschutzworkshops, die wir bei Kunden gehalten haben, siebzehn, achzehn herum.

00:23:33: Drei wichtige Worte.

00:23:34: Ja genau, wir haben immer gesagt, beim Datenschutz gibt's die drei wichtigsten Punkte und drei wichtigsten Dinge, da haben wir einen Quiz gemacht am Anfang.

00:23:42: Was sind die drei wichtigsten Punkte im Datenschutz?

00:23:46: Heute sagen wir einen mehr dazu, aber damals sagten wir die drei berühmten Worte.

00:23:51: Ja,

00:23:51: dokumentieren, dokumentieren, dokumentieren.

00:23:53: Genau.

00:23:54: Und jetzt sagen wir den vierten Punkt, dokumentieren.

00:23:58: Dokumentiert Schulen.

00:24:01: Genau.

00:24:02: Also das heißt, es gab eine echte Versäumniskultur, wenn man ein positives Wort da finden möchte.

00:24:09: Was ich ja total... Zumindest

00:24:10: der hintere Teil ist positiv.

00:24:11: Ja,

00:24:11: was ich ja total interessant finde.

00:24:14: Sie kennen das, liebe Damen und Herren.

00:24:16: Wir erzählen immer wieder von Strafen, die dann reduziert werden, weil jemand gleich bezahlt im Süden.

00:24:21: Das ist da nicht passiert.

00:24:22: Da kommen wir dann noch dazu.

00:24:24: Ja, das sagst du immer, wenn ich was vorziehe.

00:24:26: Selbstverständlich.

00:24:28: Ja,

00:24:29: machen wir weiter.

00:24:31: Also insgesamt Datenschutz hat auch die Behörde gemeint, das ist jetzt nicht ein IT-Thema, sondern ist eine Führungsaufgabe, haben wiederum kritisiert, es gab keine kleinen Zuständigkeiten, Sicherheitsprobleme wurden ignoriert, eben keine verpflichtenden Schulungen und auch externe Partner wurden nicht ausreichend kontrolliert.

00:24:52: Auch dieser Punkt, den wir schon einmal angesprochen haben, hat dann dazu geführt, dass man wie gleich in dem nächsten Punkt wir sehen werden, dass es eben diese Strafe gegeben hat.

00:25:02: Und

00:25:02: insgesamt die Botschaft, wenn die Leitungsebene den Datenschutz nicht ernst nimmt, ist jede Maßnahme nur kosmetischer Natur, weil Was sollen denn die Mitarbeiter tun, wenn das von oben nicht vorgelebt wird?

00:25:14: Da wird keiner aufstehen sagen,

00:25:16: aber

00:25:17: ich mache das jetzt.

00:25:18: Ich bin super im Datenschutz und bei mir gibt es das nicht.

00:25:22: Dann kommt ja noch dazu, dass erhöhte Sicherheitsmaßnahmen ja auch Geld kosten.

00:25:27: Und sehr häufig kommt von oben kein Budget für diese Umsetzungen.

00:25:32: Und was so dann die mittlere Führungsebene machen, die IT zum Beispiel, die kann tausendmal sagen, wir brauchen höhere Sicherheitsmaßnahmen, die kosten X. Wenn es kein Budget dafür gibt, dann geht die Verantwortung wieder natürlich in die Geschäftsleitung zurück, weil am Ende des Tages muss die das ernst nehmen und muss auch die entsprechenden Ressourcen zur Verfügung stellen.

00:25:54: Menschen und Geld und Technik, damit eben so etwas im besten Fall nicht passiert.

00:26:00: Was ich auch interessant finde, dass die Generale damit argumentiert hat, na wir haben unsere Mitarbeiter eh geschult, wo ein Makler gehackt wurde, weil es wurde ja kein internes Tool gehackt.

00:26:13: Jedenfalls, es hat schon auch einen Sinn, weil wenn Sie sagen, na unsere Mitarbeiter sind eh geschult, hast du wahrscheinlich übersetzt, Naja, die haben ja alles gemacht, was man im Datenschutz machen muss.

00:26:24: Und das war halt einfach ein Pech, dass den Makler geheckt haben.

00:26:27: Den Makler muss die Versicherung im Übrigen nicht schulen.

00:26:30: Also das ist auch klar, ein Versicherungsmakler ist ein eigenständiger, verantwortlicher nach der DSGVO.

00:26:36: Und wenn ein Versicherungsmakler Daten verarbeitet, was er sich tun wird, müssen, um sein Geschäft zu machen oder ihr Geschäft, muss er schon selber auf seine Schulungen schauen.

00:26:46: Ja, wie gesagt, wir haben schon vorher gespoilert, die fünf Millionen entscheidend für die Höhe dieser fünf Millionen Strafe.

00:26:53: Ja, auf einmal nur die Artikel erwähnt, jetzt geht

00:26:54: es ja tatsächlich um mal und so

00:26:56: wo vorne ist.

00:26:57: Punkt eins natürlich, die Sensibilität dieser Daten, weil auch gesundes Daten betroffen waren, dann die Zahl der Betroffenen, weil es in die Millionen, also über eine Million gegangen ist.

00:27:08: Die Dauer der Verstöße, weil das nicht nur kurzfristig, sondern eben über Jahre gedauert hat, bis dann irgendwie gemeint hat, die Technik ist vielleicht nicht gerade am letzten Stand.

00:27:17: Und insgesamt fehlende Prävention und die, nennen wir so mal fehlende, Unternehmensdatenschutzkultur.

00:27:24: Schönes Wort.

00:27:25: Genau.

00:27:26: Ja, die Generale hat sich dagegen gewährt, wie wir jetzt schon gehört haben, hat aber dann im Verfahren durchaus Kooperationsbereitschaft gezeigt.

00:27:35: Zwei mildernde Gründe, wo man gesagt hat, auch von der Datennutzbörde, okay, sie zeigen ein bisschen Einsicht in Form der Kooperationsbereitschaft und auch, dass nachher die oberwähnten Verbesserungsmaßnahmen umgesetzt worden sind.

00:27:52: Trotzdem bleibt am Ende des Tages diese Summe an diesen Einzelverstößen von fünf Millionen, aber wie du schon gesagt hast, wir sind im Süden.

00:28:00: Und im Süden heißt es, wir kriegen Rapate.

00:28:03: Pronto Pago, wie man das auch nennt, gibt es bei uns übrigens nicht.

00:28:09: Also, zwanzig Prozent kann man da sofort abziehen.

00:28:12: Man hätte also insgesamt dann vier Millionen hat dann die generelle bezahlt.

00:28:18: Es wären sogar weniger.

00:28:20: gewesen, wenn sie die Schuld anerkannt hätten.

00:28:24: Aber das ist heute im Süden, wenn man die Schuld nicht anerkennt, kriegt man trotzdem ein bisschen anderer Bart, wären sie Mitschulder an der Kenntnis, an die Sachen reingegangen, hätten sie nur drei Millionen bezahlt.

00:28:34: Also das ist wohl überall das Gleiche.

00:28:36: Geständnis wirkt strafmildernd.

00:28:39: Also wir kennen das ja aus Strafverfahren, dass man weniger Strafe ausfasst, wenn man steht dann in den Medien, immer war umfassend geständig, deshalb dann eine geringere Strafe.

00:28:47: Das heißt, im Verwaltungstrafverfahren dort hätte die Generali gesagt, ja, wir waren es, wir sehen es ein, wir haben was falsch gemacht, hätten sie nur drei Millionen bezahlt.

00:29:00: Die

00:29:01: hätten es keinen Datenschutz investieren können.

00:29:02: Ein paar Schulungen, die dokumentiert sind.

00:29:08: Was ja da auch sehr interessant ist, was wir nicht wissen, das könnten wir mal unser Team recherchieren lassen.

00:29:13: was ein Schuld an Erkenntnis dafür erfolgen hätte.

00:29:17: Weil grundsätzlich sagt ihr der OEGH, Schaden gibt es nur, Schadenersatz gibt es nur, wenn zum Beispiel einer betroffenen Person aus einem Datenschutzvorfall auch echt ein Schaden entstanden ist.

00:29:27: Möglicherweise... Das dachte

00:29:28: ich auch schon, dass deswegen die Schuld an Erkenntnis nicht passiert ist.

00:29:31: Ja,

00:29:32: vielleicht ist es... und keine

00:29:33: Vollgeschäden dann... Genau,

00:29:34: ja, das kann durchaus sein, dass die Generale dann insofern beraten war, aber das wissen wir jetzt nicht, ob das rechtlich dort tatsächlich so ist.

00:29:41: Auf ein Bronter Pago gefällt man sehr gut.

00:29:43: Also wieder ein neuer spanischer Ausdruck.

00:29:47: Das können wir in Zukunft ja zu unseren Kunden sagen, Pronto Pago gibt es, drei Prozent kommt doch oder so irgendetwas.

00:29:54: Du hast dann gesagt, ja der Fall trifft die Versicherung, aber die Lernen gehen viel weiter.

00:29:58: Welche Lernen können wir da jetzt noch daraus ziehen

00:30:01: und mitnehmen?

00:30:02: Denkensiell, wie gesagt vorhin schon erwähnt, externe Vermittler oder Partner, wenn man selber einsetzt, sollte man drauf schauen.

00:30:09: wie diese Datenflüsse da ausschauen, wie die Schnittstellen ausschauen, gibt sensibile Daten, die verarbeitet werden und so weiter.

00:30:16: Man muss die jedenfalls im Strick begrenzen und kontrollieren, regelmäßig auditieren und auch schauen, gibt Schwachstellen, weil es muss ja nicht heißen, dass die Daten, die hin und her fließen, vielleicht ein Problem verursachen, sondern die Schnittstelle an und für sich, weil sie irgendwo eine sehr rote Lücke oder was aufgerissen hat.

00:30:37: Wir werden schon zu technisch sichern an den Augen meiner Frau.

00:30:41: Ich habe gar nichts

00:30:42: gesagt, nur schaut.

00:30:47: Wir müssen insgesamt, wenn wir nach außen Schnittstellen haben,

00:30:50: immer

00:30:51: regelmäßig kontrollieren und checken, ob da noch alles funktioniert oder ob es irgendwelche Themen gibt, seitens Punkt eins Datenabflüsse oder Punkt zwei der Technik, damit man insgesamt an der sicheren Seite sind.

00:31:05: Also das heißt, es hat nichts nur mit Versicherungen zu tun, sondern das kann jede Branche betreffen, dieses Thema.

00:31:12: Und natürlich muss man sich als Unternehmen, dass solche Portale mit Schnittstellen nach außen anbietet, auch immer überlegen, welche Daten sind denn dann Im Zugriff, wenn die sensibel sind oder heikle, muss ich noch höhere Schutzmaßnahmen haben, als wenn man einfach nur Informationen übernehmen und dann nicht mehr nachprüfen könnte.

00:31:29: Also Kleinigkeiten

00:31:29: wie Verschlüsselung und solche Themen wären da vielleicht die Idee.

00:31:32: Multifaktor Identifizierung.

00:31:33: Genau.

00:31:34: Mit mir der Einfall mir, der Technikerin.

00:31:36: Genau.

00:31:37: Also insgesamt jede Organisation, die da mit externen Datenempfängern oder Schnittstellen zu tun hat, ist da betroffen oder kann da betroffen sein?

00:31:48: Was ich ja ganz spannend finde, der Murphy macht da heute noch einen kleinen, wie soll man sagen, eine Fleißaufgabe, einen Side Step, weil normalerweise Sie wissen ja, wir sind Unternehmensberater, wir schauen immer, wie beraten wir Unternehmen, dass ihnen nichts passiert, dass alles korrekt umgesetzt ist und was wir zum Beispiel nicht machen, ist, dass wir Privatpersonen vertreten, Wir dürfen Rechtsanwälte machen, das machen wir nicht.

00:32:12: Wir beraten auch keine Privatpersonen und schon gar nicht in Richtung, was kannst du denn jetzt machen aus dem Datenschutz heraus gegen ein Unternehmen?

00:32:22: Das ist nicht unsere Philosophie.

00:32:24: Wir stehen ganz klar auf der Seite der Unternehmen.

00:32:27: Nichts ist da trotz.

00:32:28: Genau.

00:32:28: Ich fand das sehr interessant, hat sich der Wörfe da überlegt.

00:32:32: Weil gerade in solchen Fällen kann es ja passieren.

00:32:35: dass wir oder alle unsere Hörerinnen und Hörer vielleicht von solchen Dingen einmal betroffen sind.

00:32:41: Genau.

00:32:42: Also was können Sie, wenn Sie jetzt betroffen sind von so einem Datenschutzvorfall als Privatperson?

00:32:48: Weil die betroffenen Personen mussten ja informiert werden über diesen Vorfall.

00:32:53: Was könnten Sie jetzt tun, entweder wenn Sie es eh von dem Unternehmen gehört haben oder wenn Sie auf andere Art und Weise drauf kommen, dass irgendetwas passiert ist?

00:33:03: Also die zwei Klassiker und eins, um ihr Auskunft verlangen, mal fragen, was haben sie denn für Daten von uns?

00:33:10: Und Punkt zwei, wenn es aus irgendeinem Grund dann ... Ja, soweit kommt, dass man glaubt, dass ein Datenschutzverstoß passiert ist, dann kann man den auch als Privatbesonder melken.

00:33:21: Genau, also man kann, das habe ich in einer der letzten Folgen schon einmal erwähnt, auch zum Beispiel bei der österreichischen Datenschutzbehörde eine Anregung zur armzügigen Überprüfung einbringen.

00:33:31: oder natürlich zweiter Fall, zweite Möglichkeit eine Beschwerde.

00:33:36: Aber da muss man schon einen Nachweis erbringen, dass ein Unternehmen mit wirklich mit den eigenen, personenbezogenen Daten irgendwas aufgeführt hat, wo man sagt, ich bin jetzt beschwert, das passt irgendwas nicht.

00:33:46: Dieses Unternehmen geht mit meinen Daten nicht sorgfältig um oder hat den betroffenen Recht von mir nicht erfüllt.

00:33:52: Das heißt, man kann auch als privat, als betroffene Person zur Behörde gehen und etwas anregen oder sich beschweren.

00:34:03: Und Unternehmen, die das vorbildlich alles umsetzen, brauchen das natürlich nicht.

00:34:08: Die haben solche Themen wie zum Beispiel regelmäßige Prozessreviews, wo der Datenschutz kein einmaliges Projekt ist, sondern in einem kontinuierlichen Verbesserungsprozess eingebettet ist, dann die Informationssicherheit, die ganzheitlich und nicht vielleicht punktuell gedacht ist, wo man Zugriffskontrollen, Locking, Monitoring etc.

00:34:27: hat.

00:34:28: die Schulung und Evernis hochhält, also dass die Mitarbeiter klare Vorgaben bekommen, wie mit dem Datenschutz umzugehen ist.

00:34:36: Da muss ich noch kurz einhaken.

00:34:37: Nicht nur die Mitarbeitenden, auch die Führungskräfte und vor allem die oberste Ebene gehört genauso in Schulungen reingesetzt, wie jede andere Person, die in einem Unternehmen tätig ist.

00:34:49: Ja, so ist es.

00:34:51: DSV, also Datenschutzfolgenabschätzung, lieber einmal zu viel eine machen, als einmal zu wenig.

00:34:57: Und wenn man ex eine Partner hat, diese eben auch auditieren und schauen, welche Daten werden da untereinander vielleicht ausgetauscht.

00:35:05: Das kann ja in beide Richtungen gehen.

00:35:07: Und wenn man das nicht macht, kann das Rechtschnitteuer werden,

00:35:10: wie wir gesehen haben.

00:35:11: Genau.

00:35:11: Und es kann ja auch sein, dass man zum Beispiel diese Schnittstelle mit dem Partal, das sich dahinter verbirgt, an einen Auftragsverarbeiter ausgelagert hat oder überhaupt große Datenverarbeitungen ausgelagert hat.

00:35:22: Diese lieben Partner sind auch immer regelmäßig zu prüfen, fragen sie regelmäßig die technischen und organisatorischen Maßnahmen an.

00:35:30: Wir haben jetzt gerade wieder einen Fall, wo ein großes Lohnverrechnungsunternehmen durch einen Angriff bei Tausende Daten quasi verloren hat, die hoffentlich nicht, aber es wurde angekündigt, heute an diesem Tag, wo wir im Studio stehen, eventuell im Tagweb veröffentlicht werden.

00:35:47: Also ja, auch die Auftragsverarbeiter gehören regelmäßig auditiert.

00:35:51: Und vielleicht in Zukunft zertifiziert.

00:35:54: Ja.

00:35:54: Eine andere Geschichte.

00:35:56: Ja,

00:35:57: Fragen über Fragen haben wir.

00:35:59: Genau,

00:35:59: wir haben da jetzt ein super schönes Wort, das ich sehr mag, Reflexion.

00:36:03: Ja, ich bin ja reflektierter Mensch.

00:36:05: Ja, wir kommen schon langsam zu den letzten Worten, aber bisher haben wir es schon noch.

00:36:11: Also, wenn wir diese Fragen uns jetzt selber stellen wollten, können wir mal überlegen, sind wir eine Firma, die datenschutztechnisch aktuell ist?

00:36:20: Wann wurde denn unser Datenschutz das letzte Mal auditiert?

00:36:24: oder geprüft, auch intern geprüft, gibt es irgendwelche Ex-Sign-Partner, die wir, oder haben wir unsere Ex-Sign-Partner auch im Griff, datenschutztechnisch gesehen natürlich nur.

00:36:34: Und was würde denn eine Aufsichtsbehörde feststellen, wenn sie unsere Prozesse anschaut?

00:36:41: Was ist denn, wenn man diese Fragen jetzt nicht beantworten kann?

00:36:44: Ja, dann gibt's unsere Telefonnummer irgendwo.

00:36:46: Ja,

00:36:46: genau.

00:36:47: Office at meine Berateratee, also auch da kann man sich hinwenden und dann kommt gleich ein Angebot von uns, wenn man das möchte, im Grunde genommen.

00:36:55: Es gibt Handlungsbedarf, wenn man diese Fragen, die der Murphy da jetzt gerade halt formuliert hat, nicht mit, wir sind aktuell, wir auditieren uns regelmäßig oder lassen uns auditieren, wir schauen uns die externen Partner regelmäßig an und wir brauchen überhaupt keine Sorge vor der Behörde haben, weil wir haben alle Prozesse im Griff.

00:37:12: Wenn man das nicht so beantworten kann, dann sollte man wieder mal einen Datenschutztag einplanen, um wieder auf letzten Stand zu kommen und sowieso regelmäßig schulen.

00:37:23: Richtig.

00:37:24: Was ist unsere Zusammenfassung heute?

00:37:26: Wir sehen auf jeden Fall, dass Datenschutzverstöße nicht nur dann passieren, wenn irgendein Hecker uns angreift, sondern auch durch fehlende, falsche und zu reichende Prozesse, die einfach alltäglich passieren oder weil Einstellungen vielleicht falsch getroffen worden sind, wo es fehlende Kontrollen gibt, wo es unklare Zuständigkeiten, mangelnde Protokollierungen etc.

00:37:48: gibt.

00:37:49: All das kann am Ende des Tages zu strafen führen.

00:37:53: Das heißt, das Unternehmen zahlt auf der einen Seite zumindest finanziell, aber sicher auch mit einem Reputationsschaden.

00:38:00: Genau, weil diese großen Strafen, die lassen sich ja auch nicht geheimhalten.

00:38:03: Also Sie sehen, die spanische Behörde hat auch veröffentlich.

00:38:06: Das war die Generale davon betroffen.

00:38:09: In Österreich würde man jetzt nicht wissen, welche Versicherung betroffen ist oder welches Unternehmen.

00:38:13: Außer es findet irgendein freundliches Journalist heraus und veröffentlich das dann.

00:38:18: Aber kurz gesagt, wer nicht prüft, zahlt doppelt.

00:38:21: Also das ist einfach so.

00:38:23: Ja, das heißt, auf der einen Seite haben wir den monetären Schaden mit der Strafe und auf der anderen Seite einen... Indirekten, ja ja, einen indirekten monetären Schaden.

00:38:32: Wenn es einen Vertrauensverlust durch den Reputationsschaden gibt und mal entweder Kunden verliert oder Neue dann gar nicht gewinnt.

00:38:39: Also das hat in vielerlei Hinsicht eine große Auswirkung und wenn es dann noch ganz blöd läuft, dann sollt man Schadenersatz auch noch.

00:38:46: Also das sollten Sie alles verhindern und wir helfen auch gerne dabei.

00:38:51: So, was ist das Fazit von heute?

00:38:52: Ich glaube, das ist jetzt eh schon die dritte Zusammenfassung.

00:38:55: Das ist wirklich das letzte Fazit zum heutigen Teil.

00:38:58: Wer zu lange zuschaut, keine falsche oder unzureichende Entscheidungen trifft, wird irgendwann halt von der Realität eingeholt, entweder durch Internetdaten pannen, durch externe Angriffe.

00:39:10: und wie so oft wer in der Informationssicherheit alles im Griff hat, für den es der Datenschutz zum Teil zumindest, also im technischen und organisatorischen Teil bereits erledigt, kann man sagen.

00:39:20: Sehr schön, dem ist nichts hinzuzufügen.

00:39:23: Vielen Dank, dass Sie heute wieder dabei waren.

00:39:25: Danke mehr für die Vorbereitung.

00:39:27: Ich verspreche dir der nächste Bescheid, denn du siehst, es wird nicht drei auf fünfzig Seiten haben.

00:39:32: Vielleicht mehr.

00:39:33: Ja genau,

00:39:33: wahrscheinlich.

00:39:34: Was weiß ich jetzt noch nicht.

00:39:35: Auf jeden Fall hören Sie wieder rein, wenn es auch das nächste Mal wieder heißt.

00:39:39: Mein Datenschutz-Seater, der Podcast von meine

00:39:42: Berater.

00:39:44: Das Pod Deine Podcast-Agentur.