Datenpannen von nicht EU Unternehmen
Datenpannen von nicht in der EU niedergelassenen Verantwortlichen
Auch Verantwortliche, die über keine Niederlassung in der Europäischen Union verfügen, können gemäß der Datenschutzgrundverordnung verpflichtet sein, den EU-Aufsichtsbehörden Verletzungen des Schutzes personenbezogener Daten zu melden. Dies ist u. a. dann der Fall, wenn sie personenbezogene Daten von betroffenen Personen verarbeiten, die sich in der Europäischen Union befinden, oder wenn die Verarbeitung im Zusammenhang damit steht, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist.
Entsprechende Meldungen erfolgen jedoch nur in geringer Zahl und insbesondere aus Großbritannien sicher zurückzuführen auf die örtliche Nähe sowie den Umstand, dass die Datenschutz-Grundverordnung dort bis zum Austritt aus der Europäischen Union Anwendung fand und den Vereinigten Staaten von Amerika, wobei es sich hier überwiegend um größere Unternehmen handelt, die offenbar bereits zuvor über eine rechtliche Vertretung in Deutschland verfügten.
Aber auch Verantwortliche aus Asien kamen den gesetzlichen Vorgaben der Datenschutzgrund-verordnung nach: Im Jahr 2022 meldete ein Hotel aus Hongkong einen unrechtmäßigen Zugang zu personenbezogenen Daten von Gästen aus Deutschland durch einen IT-Vorfall, außerdem wurde eine Verletzung des Schutzes personenbezogener Daten in Form einer Offenlegung auf der Pinnwand eines Anbieters einer Spielplattform aus Shanghai gemeldet.
Unter den gemeldeten Sachverhalten befanden sich auch Verletzungen des Schutzes personen- bezogener Daten, die ein hohes Risiko für die betroffenen Personen darstellten. So flossen bei einem Unternehmen aus Großbritannien, von dem auch 17 Kundinnen und Kunden aus Schleswig-Holstein über den Online-Shop Waren erworben hatten, durch einen Angriff auf das Zahlungssystem Kreditkartendaten ab; die betroffenen Personen wurden über den Vorfall benachrichtigt.
Einen aktuellen politischen Hintergrund hatte ein unrechtmäßiger Zugriff auf eine Spendenplattform in den Vereinigten Staaten von Amerika: Hier beabsichtigten die Angreifer in Zusammenhang mit der Verschärfung des Abtreibungsrechts Spenderlisten von Abtreibungsgegnern zu erlangen, um diese im Internet zu veröffentlichen. Als ehrenamtlicher Helfer einer Entwicklungshilfeorganisation, die die Plattform für die Verwaltung ihrer Helfer nutzte, war eine Person in Schleswig-Holstein zwar nicht Ziel des Angriffs, jedoch war davon auszugehen, dass ihre personenbezogenen Daten dennoch an die Angreifer abgeflossen waren. Auch hier erfolgte eine Benachrichtigung der betroffenen Person.
Die Möglichkeiten der Landesbeauftragten für Datenschutz als Aufsichtsbehörde, ihre Aufgaben und Befugnisse außerhalb der Europäischen Union wahrzunehmen und auszuüben, sind beschränkt. Die Verantwortlichen, die Verletzungen des Schutzes personenbezogener Daten meldeten, kamen den gesetzlichen Vorgaben nach den vorliegenden Erkenntnissen jedoch bisher umfassend nach.
Quelle: ULD
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks