Zurück zur Übersicht
15.06.2020

Daten von Kindersportprojekt im Netz

Initiieren Unternehmen abseits ihres Kerngeschäfts regionale soziale Projekte und unterstützen diese als Sponsoren, steht die erfolgreiche Durchführung des Projekts zum Wohle derjenigen, die davon profitieren sollen, im Vordergrund.


Werden im Rahmen dieses Engagements personenbezogene Daten verarbeitet, ist zu betrachten, wer über die Zwecke und Mittel der Verarbeitung dieser Daten entscheidet und somit als Verantwortlicher im Sinne der Datenschutz-Grundverordnung anzusehen ist. Dies kann eine Stelle allein oder es können mehrere zusammen als gemeinsam Verantwortliche sein.


Eine dem ULD gemeldete Verletzung des Schutzes personenbezogener Daten betraf eine Sicherheitslücke im Internetauftritt der Projektpartner, die Kindern die Teilnahme an einem sportlichen Event ermöglichen wollten. Das Unternehmen, das die Internetseite erstellt hatte, sah sich selbst in der Verantwortung und teilte mit, dass durch die Sicherheitslücke ein Zugriff auf personenbezogene Daten von Kindern möglich war, die sich für eine Teilnahme an dem Projekt angemeldet hatten. Neben Adressdaten waren auch sensible Daten wie gesundheitliche Einschränkungen betroffen. Ein Zugriff war möglich, da ein Tool durch einen Beschäftigten versehentlich nicht vom Webserver gelöscht wurde. Das entsprechende Unterverzeichnis war allerdings auf der Webseite nicht verlinkt und auch nicht im Quelltext der Internetseite zu finden.

Die Internetseite war im Auftrag dreier Hauptsponsoren des Projekts erstellt worden, die untereinander einen Kooperationsvertrag geschlossen hatten. Aus der weiteren Prüfung ergab sich, dass der meldende technische Dienstleister nicht als Verantwortlicher, sondern als Auftragsverarbeiter tätig geworden war. Die Hauptsponsoren waren in einer kurz nach Bekanntwerden der Sicherheitslücke stattfindenden Besprechung von dem meldepflichtigen Vorfall informiert worden, erkannten jedoch keine datenschutzrechtliche Relevanz für sich als Projektpartner. Die Projektpartner wiesen auch ihren Dienstleister nicht an, die ihnen selbst obliegende Meldung der Sicherheitslücke an das ULD vorzunehmen.

Da die Meldepflicht einer Verletzung des Schutzes personenbezogener Daten jedoch nicht den Auftragsverarbeiter, sondern den Verantwortlichen trifft, wurden die Hauptsponsoren zur Aufklärung des Sachverhalts angehört. Die Anhörung ergab, dass die Sponsoren die Zwecke und Mittel zur Verarbeitung der personenbezogenen Daten festlegten und somit bezüglich des Projekts als Verantwortliche in Betracht kamen.

Die drei Hauptsponsoren reichten infolgedessen jeweils eigenständige Meldungen der Verletzung des Schutzes personenbezogener Daten nach. Die bisherige Meldung des technischen Dienstleisters bzw. des Auftragsverarbeiters war weder gesetzlich gefordert noch ausreichend, um eine fristgemäße Meldung der auftraggebenden Hauptsponsoren zu ersetzen.

Da die Sicherheitslücke innerhalb weniger Minuten nach Bekanntwerden geschlossen und die Internetseite zudem wenige Tage später nach Rücksprache mit den Hauptsponsoren vollständig gelöscht wurde, waren keine weiteren Maßnahmen erforderlich.

Die Verantwortlichen wurden durch die Landesbeauftragte für Datenschutz verwarnt, da sie ihrer Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde nicht unverzüglich nachgekommen waren.

Quelle: ULD

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks