Am 14.01.2013 hat die oberste Datenschutzaufsichtsbehörde Großbritanniens gegen Sony ein Bußgeld in der Höhe von 250.000 Pfund verhängt. Grund für die Strafe sind die Vorkommnisse um einen Hackerangriff auf das Sony Playstation Network im April 2011, bei dem die Angreifer persönliche Daten von Millionen von Playstation Network-Nutzer gestohlen hatten. Immerhin gibt es über 100 Millionen Sony-Kunden weltweit.
Das Unternehmen musste nach dem Hackerangriff einräumen, dass nicht ausgeschlossen werden könne, dass der/die Angreifer Name, Anschrift, Geburtsdatum, Anmeldeinformationen (Login, Passwort, Sicherheitsfragen zum Passwort), Kaufhistorie, Rechnungsanschrift und möglicherweise sogar Kreditkartendaten entwendet habe.
Im Anschluss daran wurde das Playstation Network vorübergehend abgeschaltet und Sony informierte alle Nutzer des Playstation Networks per E-Mail über diesen Vorfall. Mir ist sogar ein Fall bekannt, in welchem eine Bank vorsorglich eine Kreditkarte gesperrt hatte, mit welcher Zahlungen über das Network durchgeführt wurden. Gleichwohl erwähnt die oberste Datenschutzaufsichtsbehörde UK in ihrem Bericht, dass wohl kein Fall einer unberechtigten Kreditkartendatennutzung bekannt geworden sei.
Die oberste Datenschutzaufsichtsbehörde führt in ihrer Begründung aus, dass die Sicherheitsanforderungen des Playstation Networks zum Zeit des Angriffs nicht dem damaligen Stand der Technik entsprachen („…failes to ensure that the Network Platform service provider kept up with technical developments“), obwohl zum damaligen Zeitpunkt bereits Möglichkeiten bestanden hätten, die Sicherheitslücken zu schließen. Weiter wird ausgeführt, dass die damals ergriffenen Datensicherheitsmaßnahmen von ihrem Sicherheitsniveau nicht dem Schadensrisiko entsprochen hätten, das bei der Durchbrechung der bestehenden Sicherheitsanforderungen drohte. Mit anderen Worten: Die ergriffenen IT-Sicherheitsmaßnahmen standen nicht im Verhältnis zur Sensibilität der zu schützenden Daten.
Ferner wird dem für die IT-Sicherheit des Playstation Networks Verantwortlichen vorgeworfen, auch trotz zuvor bereits stattgefundenen DDos (denial of service)-Angriffen keine weitergehenden Sicherheitsmaßnahmen ergriffen zu haben, insbesondere weil dieser mit weiteren Angriffen auf das Netzwerk hätte rechnen müssen.
Grundsätzlich wäre ein entsprechendes Vorgehen der deutschen Datenschutzaufsichtsbehörden denkbar und rechtlich möglich – ähnlich wie bei anderen bekanntgewordenen Datenschutzvergehen in anderen Unternehmen. Warum dies offensichtlich nicht der Fall ist, ist nicht bekannt. Nach Bekanntwerden der Datenpanne bei Sony hat sich zwar das Bundesamt für Sicherheit in der Informationstechnik (BSI) – mehr oder weniger erfolgreich – an Sony gewandt und auch Selbstschutzmaßnahmen für Bürger veröffentlicht. Ansonsten scheint hier aber von deutscher Seite aber wenig passiert zu sein.
Immerhin: Wenn das Unternehmen das Bußgeld bis zum 13.02.2013 an die oberste britische Datenschutzaufsichtsbehörde zahlt, bekommt das Unternehmen einen „early payment discount“ von 20%. Das ist ja auch was…
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe