Datenschutzmaßnahmen gegen Fehlversendungen

In unserem Beitrag „Fehlversand personenbezogener Daten“ gehen wir auf etwaige Beispiele von Fehlversendungen sowie auf zu unternehmende Schritte im Fall eines solchen Datenschutzvorfalles ein. Im Folgenden möchten wir uns mit möglichen Datenschutzmaßnahmen gegen Fehlversendungen befassen.

Dabei können Datenschutzvorfälle in sowohl dem postalischen als auch dem E-Mail-/Messenger- oder sonstigem elektronischen Versand ihre Ursache finden. Genauer zu betrachten ist dabei aber auch, welche Handlungen dem Versand vorausgehen, denn auch hier finden wir mögliche Gründe für Fehlversendungen.

Mögliche Schwachstellen

Bei der Analyse möglicher Schwachstellen ist es lohnenswert, zu betrachten, welche Schritte dem eigentlichen Versand von Korrespondenz, die personenbezogene Daten enthält bzw. enthalten kann, vorausgehen. Dabei hilft es auch, sich die Frage zu stellen, wie hoch die Automatisierung bei der Vorbereitung des Versandes ist.

Während des Druckens und Kuvertierens

Ist es beispielsweise das Geschäftsmodell eines Unternehmens, dass es eine hohe Zahl von Dokumenten für Auftraggeber druckt und die Dokumente anschließend in Umschläge kuvertiert, kann es hierbei dazu kommen, dass ein Brief mit einem bestimmten Inhalt einem falschen Empfänger zugeordnet wird. Möglicherweise wird die Adresse getrennt vom Briefinhalt zusätzlich auf den Briefumschlag gedruckt. Bei einem Sammelversand von Dokumenten – beispielsweise bei Lohnzetteln – kann es passieren, dass von einem Unternehmen die Lohnzettel versehentlich in Folge des Druckens auf den Stapel von zu versendenden Dokumenten eines anderen Unternehmens liegen.

Während der Adresseingabe

Ein Fehler bei der Adresseingabe ist wahrscheinlich beim E-Mail-Versand am wahrscheinlichsten und ein Paradebeispiel. Hier kann es vorkommen, dass der Absender beginnt, die ersten Buchstaben einer Adresse einzugeben und bei dem ersten Suchergebnis „Enter“ drückt. Wenn mehrere Personen bei den Suchergebnissen aufkommen – aufgrund des Namens mit einer bestimmten übereinstimmenden Zeichenfolge o. Ä. – kann es durchaus sein, dass eine E-Mail an die falsche Person gesendet wird.

Aufgrund eines Angriffes

Natürlich kann es auch zu einem Fehlversand von personenbezogenen Daten aufgrund eines Angriffes kommen. In den wohl meisten Fällen wird es sich hierbei um einen Angriff handeln, bei dem eine Person vorgibt, eine andere zu sein und den Absender den Versand von Daten, ggf. auch personenbezogenen, an eine bestimmte Adresse anweist.

Mögliche Lösungen

Der Fehlversand von personenbezogenen Daten ist nicht komplett vermeidbar – das gilt genauso bei Maßnahmen technischer als auch bei solchen organisatorischer Natur. Ein Verantwortlicher sollte allerdings betrachten, insbesondere wenn es zu einem Datenschutzvorfall aufgrund eines Fehlversandes kam, inwiefern die schon implementierten Maßnahmen ausreichen. So erkennt er dann, ob ggf. weitere zu ergreifen sind. So können, je nach Versandart, folgende Maßnahmen das Risiko eines Datenschutzvorfalles verringern:

1) Beim Massendruck von Dokumenten können Trennungen zwischen den Dokumenten helfen, sodass beispielsweise die gedruckten Dokumente eines Unternehmens von denen eines anderen getrennt werden. Hier hilft eventuell der Druck auf unterschiedlichen Geräten, sofern dies sowohl vom Platz als auch von den finanziellen und zeitlichen Möglichkeiten eine Option ist. Eventuell hilft auch schon ein klar sichtbares Trennblatt, um an eine Person nicht die Dokumente einer anderen zu senden.

2) Zusätzliche Kontrollen können in allen Bereichen helfen. Beim Kuvertieren von Dokumenten kann es eine Person geben, die als Zwischenkontrolle agiert und sicherstellt, dass Dokumente nicht an eine falsche Partei gesendet werden. Beim Versand von E-Mails bedeutet dies, zu prüfen, dass der Absender die korrekte Empfängeradresse auswählt, wenn er beispielsweise eine Auswahl aus den angezeigten Adressen trifft und die E-Mail-Adresse somit automatisch ergänzt.

3) Ruft eine Person an und verlangt den Versand von Daten an sie, hilft es als ersten Schritt, interne Prozesse von solchen Anfragen zu etablieren, die die Beschäftigten ausnahmslos einhalten. Wenn es sich hierbei beispielsweise um eine Betroffenenanfrage gemäß Artt. 15 – 22 DSGVO handelt, können die zuständigen Personen durch angemessene Identifizierungsmaßnahmen sicherstellen, dass die anfragende Person auch die ist, die sie vorgibt, zu sein.

Fazit

Wie auch die Berichte der Datenschutzaufsichtsbehörden zeigen, sind Fehlversendungen weiterhin häufige Ursachen von Datenschutzvorfällen. Die oben genannten Fall- und Lösungsbeispiele sind nur eine Auswahl. Je nach Art der jeweiligen Verarbeitungstätigkeit bei einem Unternehmen, einem Verein, einer Arztpraxis, einem Krankenhaus etc. können die Schwachstellen und Lösungen zu diesen sicherlich vielfältiger sein.

Gern unterstützen und beraten wir Sie auch bei der Analyse Ihrer Verarbeitungstätigkeiten und passender technischer und organisatorischer Maßnahmen zur Verringerung des Risikos eines Datenschutzvorfalles i. S. v. Art. 32 DSGVO und bei der zugehörigen relevanten Dokumentation gemäß Art. 5 Abs. 2 DSGVO.

Kontaktieren Sie uns am besten heute für ein kostenfreies Erstgespräch.