Gemeldete Datenpannen: Diebstahl und Verlust von Hardware
Mehrere Meldungen der Verletzung des Schutzes personenbezogener Daten betrafen den Diebstahl oder den Verlust von Hardware.
Die Art und Schwere der Vorfälle sowie der Grad der Fahrlässigkeit im Hinblick auf die zur Gewährleistung der Sicherheit der personenbezogenen Daten getroffenen Maßnahmen unterschieden sich hierbei stark. Aus technischer Sicht von Bedeutung war insbesondere, dass teilweise Datenträger mit personenbezogenen Daten nicht verschlüsselt wurden, obwohl diese den in der Regel hinreichend geschützten Bereich der Unternehmen verließen: So erfolgte in zwei Fällen der Versand von unverschlüsselten Datenträgern in einfachen Briefen. Der Verbleib eines USB-Sticks mit sensiblen Beschäftigtendaten blieb ungeklärt, da der Briefumschlag den Empfänger beschädigt und ohne den Datenträger erreichte, eine verloren geglaubte CD wurde zu einem späteren Zeitpunkt wieder aufgefunden.
In einem weiteren Fall wurde der Diebstahl einer unverschlüsselten Festplatte mit umfangreichen personenbezogenen Kunden- und Beschäftigtendaten aus einem Back-up gemeldet. Die Festplatte war in einem Raum aufbewahrt worden, zu dem zwar nur ein begrenzter Personenkreis Zugang hatte, weitere physische Maßnahmen (z. B. Lagerung in einem abschließbaren Sicherheitsschrank) wurden jedoch nicht getroffen. Die technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der personenbezogenen Daten reichten nicht aus.
Die Relevanz der organisatorischen Maßnahmen sowie die Notwendigkeit, diese konsequent anzuwenden, zeigte sich auch bei Meldungen, die in Zusammenhang mit der Bereitstellung von Hardware an Beschäftigte standen.
So wurde im Zuge der Prüfung eines Diebstahls eines unverschlüsselten Tablets durch eine Befragung des Beschäftigten festgestellt, dass hierauf entgegen der Annahme des Verantwortlichen personenbezogene Daten gespeichert worden waren, obwohl das Tablet hierfür nicht vorgesehen war. Der Umfang der Nutzung der zur Verfügung gestellten Hardware ist als organisatorische Maßnahme konkret festzulegen, entsprechend zu kommunizieren und auch in datenschutzrechtlichen Schulungen zu thematisieren.
Dass sich jedoch auch bei umfassenden organisatorischen Maßnahmen durch den Verantwortlichen eine Verletzung des Schutzes personenbezogener Daten nicht vollständig ausschließen lässt, zeigte ein Vorfall, der sich auf ein bewusstes Fehlverhalten eines Beschäftigten zurückführen ließ. Entgegen der ihm erteilten detaillierten Anweisungen führte dieser neben seinem verschlüsselten Notebook auch einen unverschlüsselten USB-Stick mit darauf gespeicherten personenbezogenen Daten im Urlaub mit sich; beides wurde aus einem Pkw entwendet. Das Unternehmen nahm den Vorfall zum Anlass, die Sicherheit durch die technische Maßnahme zu erhöhen, das Speichern von Daten auf externen Datenträgern grundsätzlich zu deaktivieren. Das Reaktivieren dieser Funktion im berechtigten Einzelfall erfordert nun das Durchlaufen eines Genehmigungsprozesses, in dem die Ausnahme nachvollziehbar begründet werden muss.
Unter Abwägung insbesondere der Art, Schwere und Dauer des jeweiligen Verstoßes, dem Grad der Fahrlässigkeit und unter Berücksichtigung der ergriffenen Maßnahmen zur Minderung des eventuell entstandenen Schadens wurden gegenüber den Verantwortlichen Hinweise, Verwarnungen sowie auf die Zukunft gerichtete Warnungen ausgesprochen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks