Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar.
FALL 10: LÖSUNG
Erkennbar hat der EDSA seine Beispielsfälle wieder in der Reihenfolge „vorbildlich“ bis „katastrophal“ sortiert.
Bei Fall 10 führt ein – aus Sicht des Verantwortlichen unvermeidbares – Restrisiko (Einbruch) wegen der sehr guten Sicherheitsvorkehrungen im Ergebnis nicht zu nennenswerten Datenschutz-Problemen. Verfügbarkeit: Die auf den gestohlenen Laptops vorhandenen Daten sind dank Backup beim Verantwortlichen weiter nutzbar. Vertraulichkeit: Durch Verschlüsselung, Passwortschutz und Fernlöschung sind Zugriffe unbefugter Dritter auf die Daten zuverlässig verhindert. Echtheit / Unverfälschtheit: Die Backup-Daten sind von dritter Seite nicht manipuliert.
Der Vorfall ist (natürlich) zu dokumentieren; es besteht aber keine Meldepflicht nach Art. 33 oder 34 DS-GVO.
FALL 11: LÖSUNG
Hier gibt es „Entwarnung“ nur bezüglich Datenintegrität und -verfügbarkeit – dank des vorhandenen täglichen Backups.
Hinsichtlich Vertraulichkeit zeigt der Fall die typischen Gefahren mobiler Datenträger mit großen Speicherkapazitäten: Für mehr als 100.000 betroffene Personen sind Datensätze im Zugriff unbefugter Dritter, wobei nicht einmal der Umfang dieser Datensätze genau bestimmbar ist (weil sich nicht rekonstruieren lässt, welche Daten auf dem gestohlenen Notebook gespeichert waren). Naheliegend leitet der EDSA aus der großen Zahl der Datensätze und ihrem vergleichsweise jeweils großen Umfang (Namen und Vornamen, Geschlecht und Adresse, Geburtsdaten) die Gefahr des Identitätsdiebstahls ab, schließt daher auf ein großes Risiko und bejaht eine Meldepflicht sowohl nach Art. 33 DS-GVO als auch nach Art. 34 DS-GVO.
FALL 12: LÖSUNG
Alle drei Aspekte einer Datenschutzverletzung sind geradezu beispielhaft „umgesetzt“:
– Die gestohlenen Daten können mangels Backups beim Verantwortlichen nicht wiederhergestellt (nur: soweit möglich neu erhoben) werden.
– Sie befinden sich vollständig in den Händen unbefugter Dritter.
– Dabei besteht das Potenzial der Datennutzung (mit oder ohne Daten-Änderungen).
Für die Betroffenen handelt es sich um eine echte Katastrophe. Eminent wichtige, hochpersönliche Daten, aus deren Bekanntwerden existenzielle Probleme z.B. im familiären und beruflichen Umfeld entstehen können, sind außer Kontrolle geraten. Darüber hinaus ist auch die weitere bestmögliche medizinische Behandlung durch den Datenverlust gefährdet.
Es bestehen Meldepflichten sowohl nach Art. 33 DS-GVO gegenüber der Aufsichtsbehörde als auch nach Art. 34 DS-GVO gegenüber den Betroffenen.
Ein „Zusatzpunkt“ bei der Lösung von Fall 12 geht an alle, die kurz überlegt haben, ob beim handschriftlichen „Logbuch“ überhaupt der Anwendungsbereich der DS-GVO eröffnet ist! Art. 2 Abs. 1 DS-GVO beantwortet die Frage mit „Ja“, weil ein „Dateisystem“ schon vorliegt bei der geordneten Speicherung von Informationen [hier: nach Tagen und / oder Patienten].
Die nächsten vier Fälle der EDSA-Richtlinie behandeln fehladressierte Nachrichten:
FALL 13: VERSANDFEHLER
Zwei Bestellungen für Schuhe werden von einem Versandunternehmen abgefertigt. Durch menschliches Versagen werden die Adressen verwechselt, so dass Schuhe und zugehörige Packscheine die jeweils falsche Person erreichen. Die beiden Kunden erhalten also die Bestellungen des jeweils anderen einschließlich der Packscheine, auf denen sich persönliche Adressdaten befinden. Nach Bekanntwerden des Fehlers ruft der Verantwortliche die Lieferungen zurück und schickt sie an die richtigen Empfänger.
FALL 14: SENSIBLE PERSONENBEZOGENE DATEN VERSEHENTLICH PER E-MAIL VERSCHICKT
Eine Arbeitsbehörde schickt eine E-Mail-Nachricht – über bevorstehende Schulungen – an Personen, die in ihrem System als Arbeitssuchende registriert waren. Versehentlich wird dieser E-Mail ein Dokument angehängt, das persönliche Daten aller (mehr als 60.000) kontaktierten Arbeitssuchenden enthält (Name, E-Mail-Adresse, Postanschrift, Sozialversicherungsnummer). Daraufhin bittet das Amt alle Empfänger, die Nachricht zu löschen und die darin enthaltenen Informationen nicht zu verwenden.
FALL 15: PERSONENBEZOGENE DATEN VERSEHENTLICH PER E-MAIL VERSCHICKT
Eine Teilnehmerliste für einen Kurs in Rechtsenglisch, der 5 Tage lang in einem Hotel stattfindet, wird versehentlich an 15 ehemalige Teilnehmer des Kurses statt an das Hotel geschickt. Die Liste enthält Namen, E-Mail-Adressen und Essensvorlieben der 15 Teilnehmer. Nur zwei Teilnehmer haben letztere ausgefüllt und angegeben, dass sie laktoseintolerant sind. Der Verantwortliche entdeckt den Fehler sofort nach Versenden der Liste, informiert die Empfänger über den Fehler und bittet sie, die Liste zu löschen.
FALL 16: KUVERTIER-FEHLER
Ein Versicherungskonzern bietet Kfz-Versicherungen an. Dazu verschickt er regelmäßig angepasste Beitrags-Policen per Post. Der Brief enthält neben dem Namen und der Adresse des Versicherungsnehmers das Kfz-Kennzeichen, die Versicherungstarife des laufenden und des nächsten Versicherungsjahres, die ungefähre Jahreskilometerleistung und das Geburtsdatum des Versicherungsnehmers. Gesundheitsdaten gemäß Artikel 9 DS-GVO, Zahlungsdaten (Bankverbindung), Wirtschafts- und Finanzdaten sind nicht enthalten. Die Briefe werden durch Kuvertiermaschinen verpackt. Aufgrund eines mechanischen Fehlers gelangen zwei Briefe für unterschiedliche Versicherungsnehmer in einen Umschlag und werden per Briefpost an einen Versicherungsnehmer versandt.
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.