05.04.2021
Zurück zur Übersicht
Zurück zur Übersicht
05.04.2021

Datenpannen durch falsche Berechtigungen

Dem Erstellen eines Berechtigungskonzepts sowie dessen Pflege und korrekter Verwaltung kommt als technischer und organisatorischer Maßnahme zum Schutz personenbezogener Daten eine große Bedeutung zu. Je nach Komplexität und Dynamik sind teilweise häufige Anpassungen notwendig, bei denen es immer wieder zu Fehlern kommt.

Bei den diesbezüglich gemeldeten Verletzungen des Schutzes personenbezogener Daten handelte es sich zumeist um die Erteilung fehlerhafter Berechtigungen für Beschäftigte, die auf diese Weise Zugriff auf die personenbezogenen Daten ihrer Kolleginnen und Kollegen erhielten; in einem Fall konnte Zugriff auf Ordner des Betriebsrats genommen werden.

Als Grund für die Einrichtung der fehlerhaften Berechtigung wurde in allen Fällen ein menschlicher Fehler der mit der Aufgabe betrauten Beschäftigten genannt. Einige Verantwortliche zeigten sich überrascht davon, dass diese Begründung für eine abschließende Bewertung des Vorfalls nicht als ausreichend betrachtet wurde. Da jedoch durch den Verantwortlichen geeignete technische und organisatorische Maßnahmen zu treffen sind, die den Schutz der personenbezogenen Daten gewährleisten, ist eine genauere Betrachtung erforderlich: Wie kam es zu dem menschlichen Fehler? Hier wurde den Verantwortlichen im Rahmen des aufsichtsbehördlichen Verfahrens die Gelegenheit gegeben, zu den zum Zeitpunkt des Vorfalles ergriffenen Maßnahmen (z. B. Prozesse, Arbeitsanweisungen, Ressourcen) Stellung zu nehmen. In verschiedenen Fällen wurde auf die Möglichkeit zur Stellungnahme verzichtet, jedoch angekündigt, das Rechtemanagement anlässlich der Verletzung des Schutzes personenbezogener Daten einer Revision zu unterziehen, teilweise unter Hinzuziehung von externen Fachkräften.

Was ist zu tun? In Zusammenhang mit getroffenen technischen Maßnahmen ist jeweils zu beachten, welche flankierenden organisatorischen Maßnahmen erforderlich sind, um einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten.

Eine Berechtigungsproblematik aus technischer Sicht ergab sich für einen Verantwortlichen bei der Nutzung eines Lohnportals. Der Personalbereich selbst lud hier die Steuerbescheinigungen der Beschäftigten auf das Portal hoch, die so Zugriff auf ihre Daten erhielten. In dem gemeldeten Sachverhalt wurde eine Bescheinigung unbemerkt irrtümlich in einem Format erstellt, das dazu führte, dass das Portal keine automatische Zuordnung der hochgeladenen Daten zu der passenden Person ausführen konnte. In der Folge wurde jedoch keine Fehlermeldung generiert, sondern die Steuerbescheinigung für sämtliche am Portal teilnehmenden Personen zur Einsichtnahme bereitgestellt. Als organisatorische Maßnahme zur Gewährleistung der Sicherheit der personenbezogenen Daten bestand für die mit der Verarbeitung betraute Beschäftigte die Anweisung, die korrekte Ausführung zu kontrollieren, was jedoch nicht erfolgte. Allerdings könnte hier auch in der technischen Funktionalität des Portals nachgebessert werden, denn eine Bereitstellung eines Dokuments für alle Beschäftigten sollte nicht der Standardfall sein.

Ebenfalls in Zusammenhang mit der Nutzung von Portalen standen Verletzungen des Schutzes personenbezogener Daten, die sich aus der fehlerhaften Vergabe von Zugangscodes ergaben. So beauftragte eine Baugenossenschaft einen Dienstleister, die Kontaktdaten der Mieterinnen und Mieter über ein Portal abzufragen. Beim Druck der Anschreiben mit jeweils einem persönlichen Zugangscode wurden jedoch die Codes nicht korrekt übernommen. In der Folge erhielten alle Empfängerinnen und Empfänger denselben Zugangscode und konnten nach dem Einloggen die Daten derjenigen Mieterinnen und Mieter sehen, die bereits Änderungen vorgenommen hatten. Trotz einer stichprobenartigen manuellen Kontrolle vor dem Absenden war der Fehler nicht entdeckt worden.

Quelle: ULD

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks