Fehlversand personenbezogener Daten

Fehlversand personenbezogener Daten

Datenschutzvorfälle im Sinne von Verstößen gegen das Datenschutzrecht (DSGVO) passieren aus verschiedenen Gründen. So können sie vorsätzlich eintreten, aber auch aus Versehen. Dabei zählt der Fehlversand personenbezogener Daten zu den wahrscheinlich häufigen Vorfällen. Liegt ein Datenschutzverstoß vor, ist seitens des Verantwortlichen umgehend zu prüfen, ob sich daraus eine Meldepflicht an die Datenschutzaufsichtsbehörde ergibt.  Des Weiteren ist zu prüfen, ob eine Informationspflicht an die Betroffenen vorliegt. Selbst eine Verletzung der Meldepflicht kann schon zu einem Bußgeld führen. Ein rechtzeitig gemeldeter Vorfall dagegen kann nicht mehr mit einem Bußgeld geahndet werden. Die Vermeidung von Datenschutzvorfällen ist aber immer die bessere Strategie und auch durch die Pflicht, technische und organisatorische Maßnahmen zum Schutz der Daten zu implementieren (siehe Art. 32 DSGVO) im Datenschutzrecht vorgesehen.

Beispiele für einen Fehlversand

Wie oft passiert es, dass ein Beschäftigter im E-Mail-Programm im Empfängerfeld anfängt, den Namen einer Kontaktperson einzugeben und dann mit der „Enter“-Taste einen Namen bestätigt, ohne ihn auszuschreiben. Wenn mehrere Empfänger (teilweise) übereinstimmende Namen oder Buchstabenreihenfolgen haben, kann es schnell zu dem Fall kommen, dass der Beschäftigte versehentlich die falsche E-Mail-Adresse bestätigt.

Möglich ist es auch, dass ein Arzt verschiedene Patienten mit gleichen Familiennamen hat. Bei Unachtsamkeit bei Beschriftung des Briefumschlages bzw. Erstellung des Anschreibens ist nicht auszuschließen, dass der falsche Patient den Befund eines anderen erhält.

Aufgrund eines Anrufes eines vermeintlichen Kunden, der mit einem Auskunftsbegehren an ein Unternehmen herantritt, sendet das Unternehmen aufgrund einer vorliegenden Verarbeitung von dessen Daten die gewünschten Informationen an die Adresse. Im Nachhinein stellt sich heraus, dass hier ein Fall eines Social Engineering-Angriffs vorliegt und das Unternehmen die Daten an die falsche, unbefugte Person verschickte. Hier ist es wichtig, einen Prozess zur Identifizierung der auskunftsberechtigten Person vorzusehen.

Ein Unternehmen ist in der Umsetzung eines Versandes von Werbe-E-Mails tätig. Das CRM-System soll die Werbebriefe anhand der im System vorhandenen Informationen personalisieren. Unbemerkt kommt es zu einem technischen Fehler, wobei die Software Daten anderer Personen in den falschen E-Mails einbindet. Letztendlich erhalten unbefugte Personen Kenntnisse von personenbezogenen Daten anderer Leute.

Beim Fax-Versand unterläuft dem Versender ein Zahlendreher. Durch diesen kleinen versehentlichen Fehler erhält eine Person eventuell personenbezogene Daten, zu deren Einsicht sie nicht befugt ist.

Bekanntwerden eines Fehlversandes

Jedes der oben genannten Beispiele stellt einen Datenschutzvorfall – umgangssprachlich: Datenpanne – dar. Bekannt werden kann dem Unternehmen (Verantwortlichen) solch ein Vorfall auf unterschiedliche Art und Weise, beispielsweise durch

1) eigene Kontrollroutinen,

2) Hinweise von Mitarbeitern,

3) Beschwerden von Personen, die die gewünschten Daten, Auskünfte oder Befunde nicht erhalten haben, oder

4) Empfänger von Daten, die nicht für sie bestimmt sind.

Notwendige Prüfungen und Untersuchungen bei einem möglichen Datenschutzvorfall

Sobald die Vermutung über einen Datenschutzvorfall entsteht, ist der Vorfall weiter zu untersuchen:

1) Untersucht werden muss, was passiert ist und wie es passieren konnte.

2) Auch sollte der Verantwortliche beleuchten, wie er den Vorfall möglichst schnell beenden und künftig verhindern kann.

3) Es ist zu prüfen, welche Arten von Daten von wie vielen Personen betroffen sind.

4) Zusätzlich ist zu ermitteln, welches Risiko sich tatsächlich für die Rechte und Freiheiten einer betroffenen Person aus dem Vorfall ergeben.

Davon abhängig ist zu entscheiden, ob der Vorfall der Datenschutzaufsichtsbehörde zu melden und eventuell auch den betroffenen Personen mitzuteilen ist. (Hierzu haben wir mehrere Beiträge verfasst: Notwendigkeit einer Meldung eines Ransomware-Angriffs, Meldung von Cyber- und Social Engineering-Angriffen, Meldung von Dokumentenverlusten und organisatorischen Fehlerquellen.) Dies hat schnellstmöglich innerhalb einer 72-Stunden-Frist zu erfolgen. Unabhängig von den Risiken für die Rechte und Freiheiten Betroffener sind die Details des Vorfalls auf jeden Fall intern zu dokumentieren. Diese Überprüfung und die Dokumentation kann schnell abgehandelt sein, wenn ein Verantwortlicher Prozesse und Richtlinien für den Datenschutz im Unternehmen eingeführt hat. Trifft dies allerdings nicht zu, kann solch eine Überprüfung einen hohen Zeitaufwand darstellen.

Vermeidung falsch versandter personenbezogener Daten

Es lässt sich verständlicherweise nicht völlig ausschließen, dass personenbezogene Daten an Personen versandt werden, die zur allgemeinen Verarbeitung dieser nicht befugt sind. Versehen passieren. Ein Verantwortlicher kann aber Maßnahmen ergreifen, um das Risiko solch eines Ereignisses möglichst gering zu halten. Die wichtigste Maßnahme ist, Beschäftigte zum Datenschutz zu sensibilisieren und sie darauf hinzuweisen, wie sie selbst zum Schutz personenbezogener Daten beitragen können. So sollte der Absender die Empfängeradresse vor Versand erneut überprüfen. Ein Verantwortlicher sollte auch sicherstellen, dass die Technik möglichst aktuell ist. Wird eine ältere Kuvertiermaschine genutzt, kann es mit höherer Wahrscheinlichkeit vorkommen, dass ein Briefumschlag falsch beschriftet wird. Folglich könnte man Maschinenverschleiß als Ursache sehen. Beim E-Mail-Verkehr kann die Ende-zu-Ende-Verschlüsselung einen zu meldenden Datenschutzvorfall vorbeugen: Es kann nur die Person den Inhalt lesen, die den Schlüssel zum Entschlüsseln besitzt (mehr dazu hier). Beim Verlust oder Diebstahl mobiler Geräte oder Speichermedien kann die Verschlüsselung der Daten eine Meldepflicht vermeiden.

Fazit

Ein Verantwortlicher muss technische und organisatorische Maßnahmen im Unternehmen einführen und dokumentieren, um Datenschutzvorfälle möglichst zu vermeiden. Die Sensibilisierung von Beschäftigten zum Datenschutz, beispielsweise durch Schulungsmaßnahmen, ist Bestandteil eines guten Datenschutzmanagements. Weiter muss ein Verantwortlicher Maßnahmen ergreifen, um etwaige Datenschutzvorfälle festzustellen und zu erkennen und Prozesse vorsehen, um entdeckte Vorfälle auf eventuelle Meldepflichten hin zu prüfen.

Hat ein Verantwortlicher dahingehend noch nichts unternommen, kann sich dies – nicht nur – bei einem Datenschutzvorfall negativ auswirken: Schadenersatzansprüche, Abmahnungen und Bußgelder drohen. Prozesse zum Datenschutz sind Voraussetzungen, um die Wahrscheinlichkeit eines Datenschutzvorfalls verringern und mit möglichen Vorfällen datenschutzkonform umgehen zu können. Damit sinkt auch die Gefahr negativer Folgen, die mit einem Datenschutzvorfall einhergehen können. Einem Verantwortlichem ist es so möglich, Image- sowie monetäre Schäden zu verhindern.

Wir können Ihnen helfen und Sie beraten, ein Datenschutzmanagementsystem in Ihrem Unternehmen einzuführen und etwaige Datenschutzvorfälle auf ihre Meldepflicht zu prüfen sowie gegebenenfalls gemeinsam mit Ihnen die Meldung abzugeben. Kontaktieren Sie uns – wir erstellen gern ein unverbindliches Angebot für Sie.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.