Zurück zur Übersicht
04.04.2021

Datenpannen im Homeoffice

Als Coronamaßnahme mussten in diesem Jahr einige Branchen aufgrund der ergangenen Landesverordnung ihren aktiven Geschäfts- oder Vereinsbetrieb vorübergehend einstellen oder einschränken, Auswirkungen der Pandemie ergaben sich in unterschiedlichem Maße für nahezu alle Verantwortlichen.

Offener Emailverteiler

Um ihre Kundinnen und Kunden oder Mitglieder über Schließungen, Wiedereröffnungen, geänderte Öffnungszeiten oder weitere Maßnahmen zu benachrichtigen, wählten viele Verantwortliche eine Zusendung von Informationen per E-Mail. Hier kam es zu einer Vielzahl von Versendungen mit offenem E-Mail-Verteiler und somit zur unrechtmäßigen Offenlegung von personenbezogenen Daten, denn die Empfänger erfuhren auf diese Weise unbefugt Namen und E-Mail-Adressen anderer Personen.

Dateianhang mit Kundendaten

In einem weiteren Fall erfolgte zwar der Versand eines Informationsschreibens per E-Mail korrekt, allerdings war der E-Mail anstatt eines nicht personalisierten Schreibens ein zuvor erstellter Serienbrief angehängt, aus dem sich sämtliche Namen und Anschriften derjenigen Personen ergaben, denen das Schreiben auf dem Postweg zugestellt wurde. Eine Kontrolle durch Aufrufen und Prüfen der angehängten Datei vor dem Absenden hätte als organisatorische Maßnahme mit wenig Aufwand die unbefugte Offenlegung der personenbezogenen Daten abwenden können.

Eigenmächtiger Fernzugang zum Emailsystem

Bei vielen Verantwortlichen wurde die Anzahl der im Unternehmen vor Ort tätigen Beschäftigten reduziert und die Tätigkeiten, soweit möglich, von zu Hause aus im sogenannten Homeoffice ausgeübt. Da die bisherigen Infrastrukturen nicht umfassend zur Verfügung standen, waren die üblichen Arbeitsabläufe teilweise gestört. Wege, sich diesbezüglich zu behelfen, standen nicht immer im Einklang mit der Datenschutz-Grundverordnung und führten somit zu weiteren Verletzungen des Schutzes personenbezogener Daten.

So stellte ein Verantwortlicher bei der Prüfung von Unregelmäßigkeiten im Bereich der E-Mail-Verarbeitung fest, dass mittels eines unrechtmäßig installierten Programms zur Fernnutzung von Computern von einem externen Computer Zugriff auf den Dienstcomputer einer Filiale genommen wurde. Die weiteren Ermittlungen ergaben, dass sich ein Beschäftigter die Freiheit genommen hatte, ohne Wissen seines Arbeitgebers sich selbst unerlaubt ins Homeoffice zu „versetzen“. Um von zu Hause aus Kunden-E-Mails beantworten zu können, hatte er in diesem Zusammenhang eine Weiterleitung der auf den dienstlichen E-Mail-Account eingehenden Nachrichten an seine eigene private E-Mail-Adresse veranlasst.

Geteiltes Laufwerk

Zu einer besonders umfangreichen Offenlegung von personenbezogenen Daten, die wohl auch in der geänderten Arbeitssituation in Zusammenhang mit den durch den Arbeitgeber getroffenen Maßnahmen zum Schutz der Beschäftigten begründet lag, kam es durch eine fehlerhafte Nutzung eines Transferlaufwerks. Um einem derzeit aus dem Homeoffice arbeitenden Beschäftigten zur Lösung von technischen Problemen Zugriff auf eine Mitarbeiterstatistik zu gewähren, wurde ihm diese auf einem Transferlaufwerk zur Verfügung gestellt – jedoch hatten außer ihm darauf auch sämtliche zu dieser Zeit im System angemeldeten Beschäftigten Zugriff. Der Verantwortliche stellte dar, dass dem Personalbereich zum sicheren Datentransfer von vertraulichen Daten entsprechende IT-Lösungen zur Verfügung stünden; durch einen Arbeitsfehler sei es dennoch zu der beschriebenen Verletzung des Schutzes personenbezogener Daten gekommen.

Quelle: UlD

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks