Durch Medienberichte wurde die Aufsichtsbehörde auf den Verlust personenbezogener Daten im Landeskriminalamt (LKA) aufmerksam.
Grund war der Diebstahl einer Aktentasche aus dem Auto eines LKA-Beschäftigten. Dieser Vorgang stellte eine Verletzung des Schutzes personenbezogener Daten und damit ein meldepflichtiges Ereignis gemäß § 41 Absatz 1 des Niedersächsischen Datenschutzgesetzes (NDSG) in Verbindung mit Art. 33 Datenschutz-Grundverordnung (DSGVO) dar.
Der Fall war besonders brisant, weil der in der Akte genannte Betroffene eine sogenannte Vertrauensperson war, deren Identität und Zusammenarbeit mit der Polizei gegenüber dritten Personen einer besonderen Geheimhaltung unterliegt. Trotz der Meldepflicht wurde die Datenpanne nicht – wie in § 41 Absatz 1 NDSG in Verbindung mit Art. 33 DSGVO vorgeschrieben – gemeldet. So musste die Datenschutzaufsicht selbst die Initiative ergreifen und das LKA zu einer Stellungnahme auffordern. Fälschlicherweise ging das LKA davon aus, dass eine Meldung entbehrlich war. Das LKA verneinte ein Risiko für die Rechte der Vertrauensperson, da keine Einsichtnahme durch einen Unbefugten nachzuweisen war, nachdem die Behörde die Akten zurückerhalten hatte.
Noch keine abschließende Bewertung möglich
Im Rahmen der ersten Kontaktaufnahme unterrichtete die Behörde das LKA über dessen datenschutzrechtliche Pflichten. Zusätzlich übersandte sie Fragen, um den Sachverhalt zu ermitteln und damit eine datenschutzrechtliche Prüfung zu ermöglichen.
Das LKA bot ein Erörterungsgespräch sowie Einsichtnahme in die relevante Dokumentation an. Dieses Angebot wird die Aufsichtsbehörde nach Abschluss der strafrechtlichen Ermittlungen annehmen. Erst dann wird eine abschließende datenschutzrechtliche Prüfung möglich sein.
Meldung von Datenpannen auch für öffentliche Stellen Pflicht
In diesem Zusammenhang ist auf die folgenden gesetzlichen Regelungen hinzuweisen: Für die vom Anwendungsbereich des § 23 NDSG umfassten öffentlichen Stellen besteht seit dem 25. Mai 2018 nach § 41 des NDSG die Pflicht, der Behörde Datenpannen zu melden. Für die anderen öffentlichen Stellen ergibt sich die entsprechende Meldepflicht grundsätzlich unmittelbar aus Artikel 33 der DSGVO.
Vielen Behörden scheint diese gesetzliche Verpflichtung nicht geläufig zu sein. Die Datenschutzaufsicht rät daher dringend allen Verantwortlichen, sich mit den Anforderungen der DSGVO vertraut zu machen und diese umzusetzen.
Quelle: LfD Niedersachsen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks