Zurück zur Übersicht
01.03.2021

Aktendiebstahl im Landeskriminalamt

Durch Medienberichte wurde die Aufsichtsbehörde auf den Verlust personenbezogener Daten im Landeskriminalamt (LKA) aufmerksam.

Grund war der Diebstahl einer Aktentasche aus dem Auto eines LKA-Beschäftigten. Dieser Vorgang stellte eine Verletzung des Schutzes personenbezogener Daten und damit ein meldepflichtiges Ereignis gemäß § 41 Absatz 1 des Niedersächsischen Datenschutzgesetzes (NDSG) in Verbindung mit Art. 33 Datenschutz-Grundverordnung (DSGVO) dar.

Der Fall war besonders brisant, weil der in der Akte genannte Betroffene eine sogenannte Vertrauensperson war, deren Identität und Zusammenarbeit mit der Polizei gegenüber dritten Personen einer besonderen Geheimhaltung unterliegt. Trotz der Meldepflicht wurde die Datenpanne nicht – wie in § 41 Absatz 1 NDSG in Verbindung mit Art. 33 DSGVO vorgeschrieben – gemeldet. So musste die Datenschutzaufsicht selbst die Initiative ergreifen und das LKA zu einer Stellungnahme auffordern. Fälschlicherweise ging das LKA davon aus, dass eine Meldung entbehrlich war. Das LKA verneinte ein Risiko für die Rechte der Vertrauensperson, da keine Einsichtnahme durch einen Unbefugten nachzuweisen war, nachdem die Behörde die Akten zurückerhalten hatte.

Noch keine abschließende Bewertung möglich

Im Rahmen der ersten Kontaktaufnahme unterrichtete die Behörde das LKA über dessen datenschutzrechtliche Pflichten. Zusätzlich übersandte sie Fragen, um den Sachverhalt zu ermitteln und damit eine datenschutzrechtliche Prüfung zu ermöglichen.

Das LKA bot ein Erörterungsgespräch sowie Einsichtnahme in die relevante Dokumentation an. Dieses Angebot wird die Aufsichtsbehörde nach Abschluss der strafrechtlichen Ermittlungen annehmen. Erst dann wird eine abschließende datenschutzrechtliche Prüfung möglich sein.

Meldung von Datenpannen auch für öffentliche Stellen Pflicht

In diesem Zusammenhang ist auf die folgenden gesetzlichen Regelungen hinzuweisen: Für die vom Anwendungsbereich des § 23 NDSG umfassten öffentlichen Stellen besteht seit dem 25. Mai 2018 nach § 41 des NDSG die Pflicht, der Behörde Datenpannen zu melden. Für die anderen öffentlichen Stellen ergibt sich die entsprechende Meldepflicht grundsätzlich unmittelbar aus Artikel 33 der DSGVO.

Vielen Behörden scheint diese gesetzliche Verpflichtung nicht geläufig zu sein. Die Datenschutzaufsicht rät daher dringend allen Verantwortlichen, sich mit den Anforderungen der DSGVO vertraut zu machen und diese umzusetzen.

Quelle: LfD Niedersachsen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks