UODO-Entscheidung: Wenn Mitarbeiterdaten ungesichert im Netz landen – Lehren aus einem einfachen Fehler

23.07.2025

In einer aufschlussreichen Entscheidung (Az. DKN.5130.4179.2020) hat die polnische Datenschutzaufsichtsbehörde (UODO) einen Fall behandelt, der die grundlegende Bedeutung von einfachsten technischen und organisatorischen Maßnahmen (TOMs) unterstreicht. Ein Unternehmen meldete eine Datenschutzverletzung, bei der Mitarbeiterdaten aufgrund einer ungesicherten Datenbankdatei öffentlich zugänglich waren. Dieser Fall dient als eindringliche Mahnung für alle Unternehmen, die Wichtigkeit der Datensicherheit in allen Prozessen zu verankern und die potenziellen Risiken menschlichen Versagens nicht zu unterschätzen.

Der Sachverhalt: Ein folgenschwerer Fehler

Am 24. Juli 2020 meldete ein Unternehmen (im Folgenden “G. Sp. z o.o.”) der UODO eine Verletzung des Schutzes personenbezogener Daten. Was war geschehen?

Eine ungesicherte Datenbankdatei im msql-Format, die personenbezogene Daten von Mitarbeitern von G. Sp. z o.o. und verbundenen Unternehmen enthielt, war in einem öffentlichen Verzeichnis auf einem Server abgelegt worden. Dies hatte zur Folge, dass potenziell jede Person mit Kenntnis der entsprechenden URL die Datei über einen gewöhnlichen Webbrowser herunterladen konnte.

Die kompromittierte Datei enthielt Daten aus dem Zeitwirtschaftssystem des Unternehmens, insbesondere die Dienstpläne der Mitarbeiter. Diese Daten waren für die Verwaltung der Arbeitszeit der Belegschaft essenziell. Durch den Vorfall wurde die Vertraulichkeit dieser personenbezogenen Daten verletzt. Das Unternehmen wurde auf die Sicherheitslücke aufmerksam, als eine E-Mail einging, die über den möglichen Zugriff Dritter auf die Mitarbeiterdaten informierte.

Die Entscheidung der polnischen Aufsichtsbehörde

Obwohl der veröffentlichte Text primär den Sachverhalt und die Meldung der Verletzung beschreibt, lässt sich die Haltung der UODO klar erkennen. Im Zentrum der Bewertung durch die Aufsichtsbehörde steht die Frage, ob der Verantwortliche angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ergriffen hat, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Das öffentliche Zugänglichmachen einer Datenbankdatei, die personenbezogene Daten enthält, stellt einen klaren Verstoß gegen den Grundsatz der “Integrität und Vertraulichkeit” (Art. 5 Abs. 1 lit. f DSGVO) dar. Die Tatsache, dass eine solche Datei ohne jegliche Zugriffsbeschränkung in einem öffentlichen Verzeichnis abgelegt wurde, deutet auf ein schwerwiegendes Versäumnis bei der Umsetzung grundlegender Sicherheitsmaßnahmen hin.

Die UODO hat in ähnlichen Fällen in der Vergangenheit empfindliche Bußgelder verhängt, insbesondere wenn es sich um Versäumnisse bei den grundlegendsten Schutzmaßnahmen handelt. Die Kernbotschaft ist unmissverständlich: Unternehmen sind verpflichtet, proaktiv für die Sicherheit der von ihnen verarbeiteten Daten zu sorgen.

Analyse der Entscheidung aus rechtlicher Sicht

Dieser Fall ist ein Lehrbuchbeispiel für die Verletzung von Art. 32 DSGVO. Die Norm fordert von Verantwortlichen die Implementierung von TOMs, die “unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen” ein angemessenes Schutzniveau gewährleisten.

  1. Mangelnde Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO): Die Datenbankdatei war offenbar weder verschlüsselt noch waren die darin enthaltenen Daten pseudonymisiert. Eine Verschlüsselung der Datei hätte den Zugriff durch Unbefugte, selbst nach einem Download, wirksam verhindert.
  2. Fehlende Sicherstellung der Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO): Das Ablegen der Datei in einem öffentlichen Verzeichnis ist das genaue Gegenteil der geforderten Sicherstellung von Vertraulichkeit. Es mangelte offensichtlich an Prozessen und Kontrollen, die eine solche Fehlkonfiguration verhindern.
  3. Unzureichende Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO): Der Vorfall legt nahe, dass es keine regelmäßigen Überprüfungen, Bewertungen und Evaluierungen der Wirksamkeit der technischen und organisatorischen Maßnahmen gab. Ein einfacher Penetrationstest oder ein automatisierter Scan der öffentlichen Verzeichnisse des Servers hätte diese Schwachstelle mit hoher Wahrscheinlichkeit aufgedeckt.

Handlungsempfehlungen für Unternehmen

Aus diesem Fall lassen sich konkrete und praxisnahe Handlungsempfehlungen für Unternehmen jeder Größe ableiten, um ähnliche Vorfälle zu vermeiden:

  1. Schulung und Sensibilisierung der Mitarbeiter: Menschliches Versagen ist eine der häufigsten Ursachen für Datenpannen. Schulen Sie Ihre Mitarbeiter regelmäßig im sicheren Umgang mit Daten und IT-Systemen. Erklären Sie den Unterschied zwischen privaten und öffentlichen Verzeichnissen und die Gefahren einer falschen Dateiablage.
  2. Implementierung eines “Need-to-Know”-Prinzips: Stellen Sie sicher, dass Mitarbeiter nur auf die Daten Zugriff haben, die sie für ihre jeweilige Aufgabe benötigen. Dies gilt auch für den Zugriff auf Server und Verzeichnisstrukturen.
  3. Verschlüsselung als Standard etablieren: Verschlüsseln Sie sensible Daten sowohl bei der Übertragung (“in transit”) als auch bei der Speicherung (“at rest”). Datenbanken und Backups, die personenbezogene Daten enthalten, sollten standardmäßig verschlüsselt sein.
  4. Regelmäßige Sicherheitsaudits und Schwachstellenscans: Führen Sie regelmäßig interne und externe Sicherheitsüberprüfungen durch. Automatisierte Tools können Webserver und öffentliche Verzeichnisse kontinuierlich auf Schwachstellen und Fehlkonfigurationen überprüfen.
  5. Entwicklung und Testung eines Notfallplans (Incident Response Plan): Das betroffene Unternehmen hat durch die Meldung an die UODO korrekt reagiert. Jedes Unternehmen benötigt einen klaren Plan, wie im Falle einer Datenschutzverletzung vorzugehen ist. Dieser Plan muss die Meldepflichten an die Aufsichtsbehörden (innerhalb von 72 Stunden) und die Benachrichtigung der Betroffenen umfassen und sollte regelmäßig geübt werden.
  6. Sichere Softwareentwicklung und Konfiguration: Stellen Sie sicher, dass Ihre IT-Abteilung oder Ihr externer Dienstleister die Grundsätze von “Privacy by Design” und “Privacy by Default” (Art. 25 DSGVO) beachtet. Systeme sollten von vornherein so konfiguriert sein, dass sie die maximale Sicherheit bieten.

Was können Sie tun, wenn es trotzdem zu einer Datenpanne kommt?

Das Wichtigste ist, Ruhe zu bewahren. Im ersten Schritt sollte Ihr Datenschutzbeauftragte die Datenpanne bewerten und umgehend an die Behörde melden. Die „Schonfrist“ beträgt nur 72 Stunden. Ist der Datenschutzbeauftragte der Meinung, die Datenpanne ist nicht meldepflichtig, so muss er diese Entscheidung penibel dokumentieren.

Nach der Meldung der Datenpanne lassen Sie sich bei der Kommunikation mit der Datenschutzaufsichtsbehörde durch eine spezialisierte Anwaltskanzlei vertreten. Ein Anwalt kann für Sie Akteneinsicht verlangen und das Verfahren rechtlich Einordnen. Bei Bedarf kann er mit der Behörde verhandeln. Im besten Fall sieht die Behörde von einem Bußgeld ab oder verhängt sie zumindest ein verhältnismäßig geringes Bußgeld. Der Anwalt kann und soll bereits in dem behördlichen Verfahren den Grund für mögliche gerichtliche Auseinandersetzung mit der Behörde vorbereiten. Es kann passieren, dass ein Unternehmen sehr kooperationsbereit ist und gegenüber der Behörde belastende Informationen offenbart. Ein guter Anwalt kann solche Gefahren erkennen und dagegensteuern.

Fazit

Die Entscheidung der UODO im Fall DKN.5130.4179.2020 mag auf den ersten Blick unspektakulär wirken. Doch sie führt uns eindringlich vor Augen, dass Datenschutzpannen nicht immer das Ergebnis komplexer Cyberangriffe sind. Oft sind es grundlegende Fehler in den alltäglichen Prozessen, die zu schwerwiegenden Verletzungen führen. Für Unternehmen bedeutet dies, dass die Einhaltung der DSGVO eine kontinuierliche Aufgabe ist, die eine Kombination aus Technik, Organisation und der Sensibilisierung der eigenen Mitarbeiter erfordert. Ein einfacher Fehler kann schnell zu einem kostspieligen Problem werden – nicht nur durch mögliche Bußgelder, sondern auch durch den Verlust des Vertrauens von Kunden und Mitarbeitern.

Die Entscheidung finden Sie hier: https://orzeczenia.uodo.gov.pl/document/urn:ndoc:gov:pl:uodo:2020:dkn_5130_4179/content?query=

 

Justyna Rulewicz

Justyna Rulewicz

RECHTSANWÄLTIN / GESCHÄFTSFÜHRENDE PARTNERIN (CEO)

Profil ansehen
Piotr Stojgniew Maluszczak

Piotr Stojgniew Maluszczak

RECHTSANWALT/WIRSTSCHAFTSMEDIATOR

Profil ansehen

Weitere Artikel

10.11.2025

Ethik als Kern der unternehmerischen KI-Nutzung

Warum “KI-Ethik” geschäftskritisch ist Die Debatte um Künstliche Intelligenz (KI)…

Weiterlesen
28.10.2025

Das Hinweisgeberschutzgesetz (HinSchG) und digitale Meldesysteme: Anforderungen an Informationssicherheit und Datenschutz

Das Hinweisgeberschutzgesetz verpflichtet Unternehmen mit mindestens 50 Beschäftigten zur Einrichtung…

Weiterlesen
13.10.2025

Der relative Anonymisierungsbegriff und seine Folgen für die Praxis

Im Zuge der Entwicklung der Datenwirtschaft in Europa spielen Anonymisierungen…

Weiterlesen
ALLE ARTIKEL

Bleiben Sie auf dem Laufenden!

Alle wichtigen Neuigkeiten zu DataLaw einmal im Monat in Ihrem Postfach.