Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar. Vorletzter Teil der Serie und ein letztes Mal Hausaufgaben: Die EDSA-Richtlinien 01/2021 zu Meldepflichten bei Datenschutz- Verletzungen ist fast „durchgearbeitet“!
FALL 13: LÖSUNG
Die beiden betroffenen Kunden haben jeweils Name und Anschrift des Anderen (wegen der beigefügten Packzettel) erfahren, können außerdem detektivisch auf Schuh- und Fußgrößen sowie modische Vorlieben des anderen Kunden (anhand des fehlgelieferten Schuhmodells) rückschließen. In Fällen dieser Art hätte es im „Datenschutz-Panik-Jahr“ 2018 wahrscheinlich hitzige Diskussionen gegeben, ob (wegen der Schuh- und Fußgröße) biometrische Daten vorliegen. Der EDSA verliert in seiner aktuellen Richtlinie dazu kein Wort, notiert vielmehr allgemein: „Im konkret beschriebenen Fall ist das Risiko gering, weil keine besonderen Kategorien personenbezogener Daten oder Daten mit hohen Missbrauchsrisiken betroffen sind …“ (Rn. 107).
Mit dieser Begründung, dem Fehlen konkreter Nachteile für die Betroffenen und deren geringer Zahl (zwei Personen) wird begründet, dass Meldepflichten weder gegenüber der Aufsichtsbehörde, noch gegenüber den Betroffenen bestehen. Der Verantwortliche solle „für kostenlose Rücksendung der Lieferung und der beigefügten Rechnungen“ sorgen, außerdem die Empfänger auffordern, alle eventuellen Kopien der fehlgeleiteten Rechnungen/Packzettel zu vernichten (Rn. 108). Diese Kommunikation mit den Betroffenen dient der Schadensbeseitigung (ergibt sich also nicht aus Art. 34 DS-GVO).
FALL 14: LÖSUNG
Die (erhebliche) Datenschutz-Verletzung betrifft allein den Aspekt der Vertraulichkeit (Offenlegung von Datensätzen zu mehr als 60.000 Personen an mehr als 60.000 unbefugte Empfänger). Datenintegrität und -verfügbarkeit sind nicht beeinträchtigt.
Der Verantwortliche kann zehntausende Fehl-Empfänger zwar um Löschung der Nachricht bitten, diese aber nicht effektiv kontrollieren. Nach der Lebenserfahrung ist davon auszugehen, dass nicht alle Empfänger der Lösch-Bitte nachkommen. Deshalb verbleibt – mit Blick auf die Inhalte der Datensätze einschließlich Sozialversicherungsnummer – ein erhebliches Missbrauchsrisiko.
Neben der internen Dokumentation sind Aufsichtsbehörde und betroffene Personen über den Vorfall zu informieren.
FALL 15: LÖSUNG
Auch hier betrifft die Datenschutz-Verletzung (wie typischerweise bei Fehl-Adressierungs-Fällen) die Dimension der Vertraulichkeit, nicht die Aspekte der Datenverfügbarkeit und -integrität.
Der EDSA befasst sich (Rn. 115) eingehender mit der Frage, ob die Antworten zu Essensvorlieben (Laktose-Intoleranz) als besondere Kategorie personenbezogener Daten dazu führen können, dass aus der Datenschutz-Verletzung hohe Risiken für betroffene Personen entstehen. Er verneint dies im Ergebnis, weil konkrete Missbrauchs-Szenarien bei Kenntnis der Laktose-Intoleranz nicht erkennbar seien. Betont wird, dass Laktose-Intoleranz „im Gegensatz zu anderen Essensvorlieben … nicht mit religiösen … Anschauungen“ verbunden ist.
Im Ergebnis sieht der EDSA – für mich überraschend – weder Meldepflichten an die Aufsichtsbehörde, noch gegenüber den betroffenen Personen. Bei Offenlegung von Namen, E-Mail-Adressen und Essens-Unverträglichkeiten gegenüber 15 unberechtigten Dritten (Teilnehmern früherer Sprachkurse) glaube ich nicht, dass per se von zuverlässiger Löschung der Nachricht durch sämtliche Fehl-Adressaten ausgegangen werden kann. Außerdem ist (gerade mit Blick auf das branchenspezifische Kursthema) recht wahrscheinlich, einer der Fehl-Adressaten unter Umständen Kontakt mit betroffenen Personen aufnimmt, die dann überrascht wird, weil sie keine Information erhielt. Mir scheint deshalb – abweichend vom EDSA-Vorschlag – eine Meldung des Vorfalls an die Aufsichtsbehörde plausibel und eine Nachricht an die Betroffenen (nicht nach Art. 34 DSGVO geboten, aber) fair und empfehlenswert.
FALL 16: LÖSUNG
Datenverfügbarkeit -und -integrität sind wiederum nicht betroffen. Das Versicherungsschreiben für (lediglich) einen Versicherungsnehmer wird von (lediglich) einem unbefugten Versicherungsnehmer gesehen.
Der Vorfall kann nur zur Kenntnis des Verantwortlichen gelangen, wenn der unbefugte Dritte die Fehlsendung mitteilt. Ansonsten würde sich allenfalls der betroffene Versicherungsnehmer melden, weil seine Vertragsinformation ausbleibt. Für die Versicherung wäre dann aber eher ein Briefverlust anzunehmen, als die versehentliche Mitversendung. Erst recht wäre für die Versicherung nicht aufklärbar, mit welchem anderen Brief das Schreiben fehlversendet war. Eine solche Rückmeldung des unbefugten Empfängers deutet bereits für sich genommen auf dessen Vertrauenswürdigkeit und spricht gegen ein nennenswertes Risiko aus der Datenschutz-Verletzung.
Der EDSA erwähnt diesen Umstand bei seiner Fallbetrachtung nicht und lässt völlig offen, wie der Vorfall zur Kenntnis des Verantwortlichen gelangt ist. Die Ausführungen zum Risiko sind dann sehr theoretisch (Rn. 119) und befassen sich – ohne Eingehen auf den konkreten Fall – mit der Möglichkeit, dass entsprechende Schreiben vielleicht aus sehr hohen Versicherungsprämien einen Rückschluss auf frühere Unfälle zulassen.
Im Ergebnis wird vom EDSA eine Meldepflicht nach Art. 33 DS-GVO (nicht jedoch nach Art. 34 DS-GVO) angenommen. Dies scheint mir – gerade auch im Vergleich mit dem EDSA-Vorschlag zu Fall Nr. 15 – unstimmig. Dass Kfz-Kennzeichen, Jahreslaufleistung und Versicherungsprämie im Vergleich zu Laktose-Intoleranz ein höheres Missbrauchsrisiko aufweisen, ist nicht erkennbar. Wenn bei versehentlicher Offenlegung an 15 unbefugte Personen (Fall 15) keine Meldepflicht gegenüber der Aufsichtsbehörde angenommen wird, ist die Offenlegung gegenüber einer, offenbar selbst vertrauenswürdig agierenden (die Datenpanne mitteilenden) Person (Fall 16) doch wohl deutlich risikoärmer.
Abschließend wird vom EDSA für E-Mail-Sendungen (Rn. 123) u.a. empfohlen:
– bei Massenversendung die Adressaten im Blind-Copy-Feld zu führen,
– voreingestellte Adressgruppen regelmäßig zu prüfen und zu aktualisieren,
– gegebenenfalls die verzögerte Nachrichtenaussendung zu aktivieren, um Korrekturen bei sofortiger Fehler-Entdeckung zu ermöglichen,
– die Funktion „Auto-Vervollständigung“ beim Ausfüllen der E-Mail-Adressfelder zu deaktivieren.
Im letzten Abschnitt befasst sich der EDSA unter „Sonstiges“ mit Social Engineering, also aus Sicht der Informationssicherheit mit dem „Menschen als Schwachstelle“. Dazu werden zwei Fälle behandelt:
FALL 17: IDENTITÄTSDIEBSTAHL
Das Callcenter eines Telekommunikationsunternehmens erhält einen Telefonanruf von jemandem, der sich als Kunde ausgibt und darum bittet, die E-Mail-Adresse für Rechnungsinformationen zu ändern. Der Mitarbeiter des Kontaktcenters überprüft die Identität des Kunden nach den Vorgaben des Unternehmens, indem er persönliche Daten abfragt. Der Anrufer gibt korrekt die Steuernummer und die Postanschrift des Kunden an. Danach erfolgen im Callcenter die gewünschten Änderungen. Rechnungen werden nun an die neue E-Mail-Adresse gesendet. Das Verfahren sieht keine Benachrichtigung des früheren E-Mail-Kontakts vor. Im Folgemonat kontaktiert der „echte“ Kunde das Unternehmen und erkundigt sich, warum er keine Rechnungen an seine E-Mail-Adresse erhält. Das Unternehmen bemerkt den Fehler und macht die Änderung rückgängig.
FALL 18: E-MAIL-EXPORT
Ein Handelsunternehmen entdeckt 3 Monate nach der Konfiguration, dass einige E-Mail-Konten verändert und Regeln erstellt wurden, so dass jede E-Mail, die bestimmte Ausdrücke enthält (z.B. „Rechnung“, „Zahlung“, „Banküberweisung“, „Kreditkartenauthentifizierung“, „Bankverbindung“) in einen unbenutzten Ordner verschoben und an eine externe E-Mail-Adresse weitergeleitet wird. Außerdem hat der Angreifer die Bankdaten eines Lieferanten in seine eigenen geändert und bereits mehrere gefälschte Rechnungen verschickt, die die neue Bankverbindung enthielten. Das Unternehmen kann nicht feststellen, wie sich der Angreifer Zugang zu den E-Mail-Konten verschaffte, vermutet aber eine infizierte E-Mail. Durch die schlagwortbasierte Weiterleitung von E-Mails erhielt der Angreifer die Namen von 99 Mitarbeitern; Namen und Monatsvergütung von 89 Mitarbeitern; Name, Familienstand, Anzahl der Kinder, Lohn, Arbeitszeiten und weitere Abrechnungsinformationen von 10 ausgeschiedenen Mitarbeitern. Der für die Verarbeitung Verantwortliche benachrichtigt nur die zuletzt genannten 10 früheren Mitarbeiter.
Bis zur „Auflösung“ im Schlussteil der Serie Ihnen allen einen schönen Sommer!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
