Der Verantwortliche muss für die Datenverarbeitung von personenbezogenen Daten technische und organisatorische Maßnahmen nach dem Stand der Technik treffen, die die Sicherheit der Verarbeitung gewährleisten. Dazu gehört auch ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit dieser Maßnahmen. Technik und Werkzeuge (= Tools) sind nur dann nützlich und unterstützend, wenn sie an der richtigen Stelle im notwendigen Umfang und mit menschlichem Augenmaß eingesetzt werden.
Es kommt durchaus vor, dass Kunden ihre Rechnungen nicht immer rechtzeitig zahlen. Den Unternehmen bleibt dann nichts anderes übrig, als Mahnungen zu versenden. Um sich Arbeit zu ersparen und möglichst effizient zu handeln, haben viele Unternehmen ihr Mahnwesen automatisiert. Leider kommt es auch bei automatisierten Verfahren wie auch bei menschlichem Handeln immer wieder zu Fehlern. So auch bei einer Energieversorgungsfirma, der dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) mitteilte, dass die Mahnungen unterschiedlicher Kunden zusammen in einem Briefumschlag versandt worden waren. Die betreffende Energieversorgungsfirma war dabei als öffentliche Stelle, die am Wettbewerb teilnimmt, gemäß § 26 Thüringer Datenschutzgesetz anzusehen. Hierbei handelte es sich um eine Meldung nach Art. 33 Datenschutz-Grundverordnung (DSGVO). Danach müssen Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten der Aufsichtsbehörde diese unverzüglich und möglichst binnen 72 Stunden melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Hiervon war nicht auszugehen, denn niemand möchte gerne, dass andere Personen erfahren, dass sie ihre Rechnungen nicht zahlen.
Grund für die Verletzung des Schutzes personenbezogener Daten war in diesem Fall, dass sich ein softwaretechnischer Fehler in die Reportgenerierung des Mahnlaufes eingeschlichen hatte. Somit war es den Empfängern, die diese Briefe erhielten, möglich, Einsicht in die Mahnungen anderer Kunden zu nehmen. Der Energieversorger war allerdings nicht untätig geblieben und ergriff sofort nach der Entdeckung des Fehlers Maßnahmen:
Um die daraus entstandene Verletzung des Schutzes personenbezogener Daten abmildern zu können, wurden die Verarbeitungsprozesse des Energieversorgers vorrübergehend bis zur Beseitigung des Fehlers gestoppt. Weiterhin wurden die Empfänger der fehlgesandten Schreiben identifiziert und aufgefordert, die fälschlicherweise erhaltenen Mahnschreiben mit einem beigefügten frankierten Rückumschlag zurückzusenden beziehungsweise die datenschutzkonforme Vernichtung zu bestätigen. Um das erneute Auftreten einer Fehlkuvertierung wirksamer ausschließen zu können, wurde ein moderneres Tool mit verbesserten Möglichkeiten der Dokumentensteuerung und -kontrolle eingeführt. Da die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko für die persönlichen Rechte und Freiheiten der betroffenen Kunden führte, wurden die betroffenen Kunden von dem Energieversorger über die Verletzung ihrer personenbezogenen Daten benachrichtigt. Dazu ist der Verantwortliche nach Art. 34 Abs. 1 DSGVO verpflichtet.
Der TLfDI konnte in seiner Prüfung feststellen, dass der Inhalt der Meldung den Anforderungen von Art. 33 DSGVO entsprach, wonach eine Meldung zumindest folgende Informationen enthalten muss:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Die vom Verantwortlichen ergriffenen und vorgeschlagenen Maßnahmen dienten der Abmilderung der aus dem Softwarefehler entstandenen nachteiligen Auswirkungen. Sie genügten der Aufarbeitung des Vorfalls mit dem Ziel, künftig ähnliche Vorfälle zu verhindern. Insbesondere wurden auch eine Plausibilitätsprüfung durchgeführt und Prüfroutinen eingeführt.
Der Verantwortliche wurde vorsorglich darauf hingewiesen, dass er dafür Sorge zu tragen hat, dass gemäß Art. 32 Abs. 1 Buchstabe d) DSGVO „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ etabliert sein muss. Die technischen und organisatorischen Maßnahmen müssen sich dabei am „Stand der Technik“ (Art. 32 Abs. 1 Satz 1 DSGVO) ausrichten.
Quelle: LfDI Thüringen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks