Meldungen von Dokumentenverlusten und organisatorischen Fehlerquellen

Der Europäische Datenschutzausschuss hat „Richtlinien anhand von Beispielen zur Meldung eines Datenschutzvorfalls“ veröffentlicht. Auf dieses Dokument sind wir auch schon in unseren Beiträgen „Notwendigkeit der Meldung eines Ransomware-Angriffs“ und „Meldung von Cyber- und Social Engineering-Angriffen“ eingegangen. In diesem Beitrag betrachten wir weitere Beispiele näher, die auf die Notwendigkeit der Meldungen von Dokumentenverlusten und organisatorischen Fehlerquellen hinweisen.

Hinweis: Der folgende Inhalt stammt aus dem Entwurf des Europäischen Datenschutzausschusses „Guidelines 01/2021 on Examples regarding Data Breach Notification, Adopted on 14 January 2021, Version 1.0„, bei dem zukünftige Änderungen möglich sind, und spiegelt dessen Ansichten wider.

Verlust von Papierdokumenten oder Geräten mit personenbezogenen Daten

Auch im digitalen Zeitalter befinden sich personenbezogene Daten nicht nur auf elektronischen Geräten, sondern Unternehmen bewahren diese auch in Papierform auf. Dabei ist es aber ganz egal, in welcher Form ein Unternehmen personenbezogene Daten speichert, verwahrt usw. Wichtig ist, dass der Verantwortliche (= das Unternehmen) den Schutz dieser Daten gewährleisten kann. Kommt es trotz entsprechender Maßnahmen zu einem Datenschutzvorfall, ist dieser gegebenenfalls zu melden.

Diebstahl verschlüsselter Daten auf elektronischem Gerät

In eine Kindertagesstätte wird eingebrochen. Dabei werden zwei Tablets mit Daten, wie Namen, Geburtsdaten u. v. m., bezüglich der Kinder gestohlen. Die Geräte selbst sind verschlüsselt und durch starke Passwörter geschützt. Die Daten befinden sind auch auf einer separaten Kopie, die deren Integrität und Verfügbarkeit gewährleistet. Als die Kindertagesstätte den Diebstahl bemerkt, löscht sie alle Daten auf den gestohlenen Geräten ohne physischen Zugang. Aufgrund der bereits eingeführten Maßnahmen zum Schutz der personenbezogenen Daten, ist die Wahrscheinlichkeit des unbefugten Zugriffs und des Risikos für die Rechte und Freiheiten der betroffenen Personen niedrig. Eine Meldung der Aufsichtsbehörde und der betroffenen Personen ist nicht nötig.

Verlust unverschlüsselter Daten

Anders verhält es sich, wenn kein Passwortschutz oder keine Verschlüsselung eingeführt worden wäre. In solch einem Fall (oder auch im Fall eines Diebstahls eines Laptops eines Beschäftigten eines Dienstleistungsunternehmens mit Tausenden von Datensätzen) ist es wiederum vonnöten, den Vorfall zu melden und die betroffenen Personen darüber zu informieren.

Diebstahl personenbezogener Daten in einem Notizbuch

Wir betrachten den Fall einer Rehabilitationsklinik für Drogensüchtige. Bei diesem Szenario wird ein Notizbuch mit Identitäts- und Gesundheitsdaten der Patienten gestohlen. Bezüglich dieser Daten werden keine Schutzmaßnahmen ergriffen. Daten werden nicht anonymisiert. Bei Nichtgebrauch wird das Notizbuch nicht sicher weggeschlossen. Es ist also sehr leicht für jegliche unbefugte Personen, Zugriff zu diesen Daten zu erlangen. Erschwerend hinzukommt, dass es sich dabei um Daten besonderer Kategorien handelt. Das Risiko für die Rechte und Freiheiten der betroffenen Personen ist als hoch einzuschätzen. Die Vertraulichkeit, Integrität und Verfügbarkeit der Daten ist nicht mehr gewährleistet. Aufgrund der Schwere des Risikos ist dieser Vorfall der Datenschutzaufsichtsbehörde und auch den betroffenen Personen zu kommunizieren.

Falsch versandte Post und E-Mails

Es kann passieren, dass ein Verantwortlicher Post an die falsche Person versendet. Auch dies gilt als Datenschutzvorfall, unabhängig davon, ob es der Aufsichtsbehörde (und den betroffenen Personen) zu melden ist. Handelt es sich beispielsweise um ein Schuhversandhaus, welches die Rechnungen durch Verwechslung aufgrund eines menschlichen Fehlers an die jeweils andere Person, die bspw. das gleiche Produkt bestellt hat, schickt, ist dies nicht zwangsläufig der Datenschutzaufsichtsbehörde und den betroffenen Personen zu kommunizieren. Hier ist kein hohes Risiko für die Rechte und Freiheiten der Betroffenen zu erkennen. Dies ist auch der Fall, wenn beispielsweise Kursbestätigungen, inklusive Bestätigungen derer Ernährungshinweise (in diesem Fall: Laktoseintoleranz) an die falschen Empfänger verschickt werden.

Inkorrekt adressierte Briefe

Etwas strikter ist es zu betrachten, wenn es sich um eine Autoversicherungspolice handelt. Hierbei verschickt eine Versicherung ein Dokument einer Person aus Versehen an eine andere Person. Es sind Daten enthalten wie das Autokennzeichen, allgemeine Angaben zur Versicherung, das Geburtsdatum des Versicherungshalters, aber keine Bank- oder sonstigen Finanzdaten. Die Datenschutzaufsichtsbehörde ist darüber zu informieren, aber die betroffene Person nicht zwangsläufig.

E-Mail-Versand mit Datei arbeitssuchender Personen

Wenn dahingegen allerdings durch das Arbeitsamt Post – sei es per E-Mail oder postalisch – ein Dokument mit Informationen zu allen Arbeitsuchenden versehentlich an all diese Personen versandt wird und darin vertrauliche Informationen wie die Sozialversicherungsnummer vermerkt sind, ist es ein meldepflichtiger Vorfall. Hierbei muss der Vorfall sowohl der Aufsichtsbehörde als auch den Betroffenen gemeldet werden.

Menschen als Fehlerquellen

Es sind nicht immer die technischen Verarbeitungsvorgänge, die zu Datenschutzvorfällen führen können. Oft liegt die Ursache eines Vorfalls bei Beschäftigten des Unternehmens zu finden. Solch ein Vorfall kann ein Versehen sein, aber manchmal spielt Mutwilligkeit mit.

Kopie von Kundenkontaktdaten aus einer Datenbank

Während der Frist nach einer Kündigung – es ist gleich, von welcher Seite diese ausging – kopiert ein Beschäftigter Informationen aus der internen Datenbank heraus. Diese benutzt er Monate später, um Kontakt mit ehemaligen Kunden aufzunehmen. Hier besteht kein hohes Risiko für die Rechte und Freiheiten betroffener Personen. Es sind lediglich Kontaktdaten von Beschäftigten der Kunden betroffen. Es besteht allerdings die Gefahr, dass dieser Datenschutzvorfall durch die Kontaktaufnahme mit ehemaligen Kunden durch den ehemaligen Beschäftigten bekannt werden könnte. Folglich ist trotz des scheinbar geringen Risikos für Betroffene zu empfehlen, die Datenschutzaufsichtsbehörde zu informieren. Die betroffenen Personen zu informieren, erscheint nicht nötig.

Versehentliche Übermittlung von Daten an eine vertrauenswürdige dritte Stelle

In folgendem Beispiel handelt es sich um einen Versicherungsmakler, der durch einen Auftraggeber eine Liste mit Kundeninformationen erhält, die nicht in seinen Verantwortungsbereich fällt. Aufgrund der vertraglichen Vereinbarungen meldet er dies dem Auftraggeber sofort. Der Auftraggeber weist ihn an, diese Liste umgehend zu löschen und dies zu bestätigen. Der Bitte um Löschbestätigung kommt der Versicherungsmakler nach und er erhält das korrekte, tatsächlich für ihn bestimmte Dokument. In diesem Fall kann man davon ausgehen, dass es sich nicht um einen meldepflichtigen Vorfall handelt. Es ist zwar ein Dutzend von Betroffenen von diesem Vorfall betroffen, jedoch keinerlei sensiblen Daten. Zudem meldet der Versicherungsmakler meldete den Vorfall und kommt der Aufforderung zum Löschen der Datei umgehend nach.

Fazit

Auch hier ist zu beachten, dass jeder Datenschutzvorfall intern dokumentiert werden muss, unabhängig davon, ob die Datenschutzaufsichtsbehörde oder betroffene Personen darüber informiert werden müssen. Wenn Sie dahingehend und auch bei der Einführung eines internen Datenschutzsystems Hilfe benötigen, stehen wir gern beratend zur Seite.