Im Rahmen unserer Mitmach-Serie „Datenschutz-Verletzung und Meldepflicht“ stellen wir regelmäßig einzelne Fälle der Richtlinie 01/2021 „examples regarding data breach notification“ des Europäische Datenschutzausschusses (EDSA) vor und legen die Lösungsansätze dar.
FALL 8: LÖSUNG
Der EDSA betont, dass die entwendeten Daten (Adressen) grundsätzlich nicht sensibel sind und für die Betroffenen keine hohen Risiken entstehen. Je nach Einzelfall kann sich dies anders verhalten. So war die Datenpanne bei LEDGER auch für jene Kunden problematisch, bei denen „nur“ Adressdaten in unbefugte Hände gerieten. Wegen des betroffenen Produkts – Bitcoin-Valets – ist für Angreifer erkennbar, dass tendenziell die Wohnanschriften wohlhabender Personen erfasst sind.
Zugunsten des Verantwortlichen vermerkt der EDSA außerdem, dass der Angreifer (ehemaliger Mitarbeiter) die Adressdaten offenbar „nur“ für Werbezwecke nutzen wolle, allerdings wird auch angemerkt, dass insoweit ein Restrisiko weitergehender Missbräuche verbleibt. Die Daten sind „außer Kontrolle“. Ganz lebensnah wird vom EDSA festgestellt, bei Versuchen, sie wieder unter Kontrolle zu bringen – z.B. durch Aufforderungen oder gerichtliche Verfahren gegen den ehemaligen Mitarbeiter – sei der Erfolg „bestenfalls zweifelhaft“, Rdnr. 75 EDSA-Richtlinie.
Im konkreten Fall verbleiben keine hohen, aber doch Risiken. Folglich: Dokumentation notwendig, Meldung nach Art. 33 DS-GVO notwendig, Meldung nach Art. 34 DS-GVO entbehrlich (EDSA-Richtlinie, Rdnr. 77: Mitteilung an die Betroffenen vielleicht dennoch aus Imagegründen sinnvoll für den Verantwortlichen). Als mögliche Schutzvorkehrung wird empfohlen, Vertraulichkeitsklauseln in Arbeitsverträge aufzunehmen und gekündigten Mitarbeitern Zugriffsrechte zu entziehen. Beide Maßnahmen sind natürlich nicht immer wirksam. Das ist aber kein Grund, auf sie zu verzichten.
FALL 9: LÖSUNG
Fall Nr. 9 behandelt einen „Klassiker“ aus der Praxis: Personenbezogene Daten werden von Verantwortlichen versehentlich unbefugten Dritten offengelegt. In diese Fallgruppe gehören nicht nur (wie im Beispiel) falsch gewählte Dateianhänge und fehlerhafte Rechtevergaben, sondern auch die in der Praxis häufigen Fehladressierungen (bei traditionellen Briefen ebenso wie bei E-Mail und Telefax). Der EDSA bestätigt in seiner Falllösung, dass auch aus seiner Sicht insoweit gilt: Für das mit der Datenschutzverletzung entstehende Risiko ist entscheidend, welchen Personen die Daten versehentlich offengelegt wurden. Handelt es sich um vertrauenswürdige, dem Verantwortlichen gegenüber kooperative Dritte? Oder sind es völlig Unbekannte, deren Verhalten der Verantwortliche schwer beziehungsweise gar nicht prognostizieren kann?
Der Vorgang betrifft nicht die Integrität und Verfügbarkeit, sondern „nur“ die Vertraulichkeit der Daten. Wenn eine Weiterverwendung der Daten durch den unbeabsichtigten Empfänger mit guten Gründen ausgeschlossen werden kann, bestehen nicht nur keine hohen Risiken (Art. 34 DS-GVO), sondern – auch nach Ansicht des EDSA – gar keine Risiken (folglich auch keine Meldepflicht gemäß Art. 33 DS-GVO). Ist das Verhalten des Datenempfängers nicht vorhersehbar, so wird jedenfalls eine Meldung nach Art. 33 DS-GVO notwendig sein. Reagiert dieser Empfänger auf Lösch-Anforderungen des Verantwortlichen nicht oder gibt es sonstige Gründe, am rechtskonformen Verhalten des Empfängers zu zweifeln, wird auch eine Information der Betroffenen nach Art. 34 DS-GVO stattfinden müssen. Lösung im konkreten Fall: interne Dokumentation des Vorgangs, keine Meldung an Aufsichtsbehörde oder Betroffene.
Die EDSA-Richtlinie verlässt damit den Bereich der Datenschutz-Verletzungen durch vorsätzliches oder fahrlässiges Verhalten von Beschäftigten und gibt (in Rdnr. 84) noch diesbezügliche Präventions-Empfehlungen. Neben sehr allgemeinen Ratschlägen („Einführung robuster und effektiver Datenschutzregeln, -verfahren und -systeme“), finden sich bekannte und bewährte Vorgaben:
– differenzierte Rechtevergabe,
– unverzüglicher Rechteentzug bei Ausscheiden von Beschäftigten,
– Prüfung unüblicher/auffälliger Datenflüsse,
– Clean-Desk-Policy,
– Bildschirmsperren.
Im nächsten Schritt widmen wir uns mit dem EDSA gestohlenen elektronischen und Papier-Dokumenten.
FALL 10: GESTOHLENE GERÄTE MIT VERSCHLÜSSELTEN PERSÖNLICHEN DATEN
Bei einem Einbruch in eine Kindertagesstätte wurden zwei Tablets gestohlen. Die Tablets enthielten eine App mit Daten der betreuten Kinder (Name, Geburtsdatum, Bildung). Die Daten auf beiden Tablets (zum Zeitpunkt des Einbruchs ausgeschaltet) waren verschlüsselt, die App mit einem starken Passwort geschützt. Ein Backup der Daten war verfügbar. Per Fernzugriff wurde Löschbefehl für die Daten auf den Tablets erteilt.
FALL 11: GESTOHLENES GERÄT MIT UNVERSCHLÜSSELTEN DATEN
Das Notebook des Mitarbeiters eines Dienstleistungsunternehmens wurde gestohlen. Es enthielt Namen, Vornamen, Geschlecht, Adressen und Geburtsdaten von mehr als 100.000 Kunden. Es war nicht zu klären, ob auch andere Kategorien von persönlichen Daten betroffen waren. Der Zugriff auf die Festplatte des Notebooks war nicht durch ein Passwort geschützt. Persönliche Daten konnten aus täglich verfügbaren Backups wiederhergestellt werden.
FALL 12: GESTOHLENE PAPIERAKTEN MIT SENSIBLEN DATEN
Aus einer Reha-Einrichtung für Drogenabhängige wurde ein offen „herumliegendes“ Papier-„Logbuch“ gestohlen. Das Buch enthielt Identitäts- und Gesundheitsdaten der Patienten, die in die Reha-Einrichtung aufgenommen wurden. Die Daten waren nur auf Papier gespeichert und den behandelnden Ärzten stand keine Sicherungskopie zur Verfügung.
Abschließend an dieser Stelle eine Ermunterung zu Feedback und Rückfragen: Ist die EDSA-Richtlinie aus Ihrer Sicht für die Praxis hilfreich? Welche Punkte fehlen oder welchen Positionen würden Sie widersprechen? Ihnen allen einen guten Start in den Sommer!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
