Erfolglose Fehlersuche – Fehlversand von Rechnungen
Die Datenschutzbehörde erreichten mehrere Beschwerden von Kundinnen und Kunden eines Unternehmens, bei dem diese Online-Geschenkgutscheine für Kinobesuche erworben hatten. Gemeinsam mit ihrer eigenen Rechnung waren ihnen die Kaufbelege von jeweils bis zu 45 weiteren Personen zugesandt worden, sodass die Sorge bestand, dass auch ihre personenbezogenen Daten anderen Kundinnen und Kunden gegenüber offengelegt worden waren. Bei den in den Rechnungen enthaltenen personenbezogenen Daten handelte es sich um den Namen, die Anschrift und die Kundennummer der Kundin- nen und Kunden sowie deren Telefonnummer. Ebenfalls in den Rechnungen abgedruckt waren an die beschenkten Personen gerichtete Gruß- texte, aus denen sich teilweise weitere personen- bezogene Daten wie die Namen oder Spitznamen weiterer Familienmitglieder oder der beschenkten Personen und Informationen über den Anlass der Schenkung ergaben: In den bekannten Grußtexten waren dies beispielsweise ein Dank für die Hilfe bei einem Umzug, ein Geburtstag oder eine Eheschließung.
Aus dem übermittelten Schriftwechsel ergab sich, dass das Unternehmen über die Verletzung des Schutzes personenbezogener Daten benachrichtigt worden war, eine entsprechende Meldung des Verantwortlichen an die Landesbeauftragte für Datenschutz war jedoch nicht erfolgt.
Der Verantwortliche wurde zu dem geschilderten Sachverhalt angehört und teilte in einer Stellungnahme mit, dass es bei dem Versand der Rechnungen zu einem technischen Fehler gekommen sei, auf den das Unternehmen durch einen Kunden aufmerksam gemacht worden sei. Diesen Hinweis habe man zum Anlass genommen, die Fehlersuche zu beginnen. Da der technische Fehler trotz detaillierter Suche nicht verlässlich habe ausfindig gemacht werden können, sei der Rechnungsversand inzwischen eingestellt worden.
Aufgrund des langen Zeitraums von mindestens 21 Tagen, in dem ein fehlerhafter Versand immer wieder aufgetreten war, erfolgte eine genauere Nachfrage. Es stellte sich heraus, dass der zuständige Dienstleister nach dem ersten Bekanntwerden des Fehlversands zunächst einen vermeintlichen Fehler auf dem Liveserver korrigiert hatte und damit der Überzeugung war, das Problem erfolgreich behoben zu haben. Der Fehlversand korrelierte zeitlich mit einer kurz zuvor durchgeführten Änderung am E-Mail-Versand, die zurückgenommen worden sei.
Zehn Tage später wurden weitere gleichartige Fälle bekannt, woraufhin durch eine erneute genauere Prüfung festgestellt wurde, dass der angenommene Fehler nicht ursächlich für den Fehlversand war. Die Prüfung ergab, dass das Problem grundsätzlich schon vorher existierte, jedoch aufgrund des geringen Bestellaufkommens zuvor nie zum Tragen kam. Der Fehler trat nur genau dann auf, wenn innerhalb einer Minute mehr als eine erfolgreich abgeschlossene Bestellung durchgeführt wurde. Dieser Umstand führte nach Angaben des Verantwortlichen auch dazu, dass der Fehler bei routinemäßigen Tests und auch im Produktivbetrieb des Shops bisher nicht aufgetreten war. Der Code des E-Mail- Rechnungsversands wurde verändert und der Rechnungsversand wieder aktiviert. Etwa zwei- einhalb Stunden nach der Änderung wurden nach Angaben des Verantwortlichen vier weitere Rechnungsmails versendet, die jeweils nur eine korrekte Rechnung als Dateianhang hatten.
Wiederum neun Tage später wurden jedoch weitere Fälle des Fehlversands bekannt. In der Folge wurden die E-Mail-Anhänge komplett deaktiviert.
Eine Verletzung des Schutzes personenbezogener Daten lag nach Auffassung des Verantwortlichen nicht vor, da es sich bei den durch die Rechnungen offengelegten Daten um Daten eines normalen Schutzbedarfs handele, die typischer- weise auch dem Telefonbuch und im Einzelnen auch anderen öffentlichen Medien zu entnehmen seien. Voraussichtlich führe die Verletzung des Schutzes personenbezogener Daten somit nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen; eine Meldepflicht habe daher nicht bestanden.
Dieser Einschätzung wurde nicht gefolgt, da weder mobile Telefonnummern noch vollständige Namen unter Angabe der Anschrift üblicherweise in Telefonbüchern vermerkt werden, sondern zumeist – wenn überhaupt ein Eintrag vorliegt – lediglich der Hausanschluss unter Anfügung eines Anfangsbuchstabens oder des Vornamens eines Familienmitgliedes, in der Regel eines Elternteils, sollte es sich um einen Familienanschluss handeln. Im Hinblick auf ein mögliches Risiko ist insbesondere zu beachten, dass tatsächlich einzelne Informationen den öffentlichen Medien zu entnehmen sind, die durch den vorliegenden Sachverhalt um Informationen ergänzt werden können. So wäre es möglich, anhand des Namens einer betroffenen Person deren Profil in den sozialen Medien aufzufinden oder durch Einspeichern der mobilen Telefonnummer ein möglicherweise bei einem Messengerdienst hinterlegtes Profilbild zu erlangen. Eine Kontaktaufnahme wäre problemlos möglich, da die Telefonnummer sowie die Anschrift durch die erfolgte Übermittlung bekannt waren. Bei Zusatzinformationen könnten diese ebenfalls genutzt werden, um etwa eine Bekanntschaft mit den in den Grußworten genannten Personen vorzugeben.
Neben der Verletzung des Schutzes personenbezogener Daten wurde die Rechtmäßigkeit der Erhebung der Telefonnummer geprüft. Hierzu teilte der Verantwortliche mit, dass diese zur Erfüllung des Vertrags erforderlich sei, da in seltenen Einzelfällen physische Gutscheine nicht aktiviert werden könnten, weil deren Barcodes nur teilweise, unvollständig oder gar nicht übermittelt wurden. Um in solchen Fällen eine schnelle Klärung herbeizuführen, könne der betroffene Kunde direkt kontaktiert und um Übermittlung des Barcodes gebeten werden, sodass eine manuelle Nachaktivierung erfolgen könne.
Diese Darstellung war als nicht schlüssig zu betrachten, da es sich bei den physischen Gutscheinen um Geschenkkarten oder -boxen handelt, die sich zu dem Zeitpunkt, zu dem ein Defekt oder das Fehlen des Barcodes bemerkt wird, üblicherweise nicht mehr im Besitz des Schenkenden befinden. Eine telefonische Kontaktaufnahme zu diesem würde eine Klärung somit nicht oder nur in seltenen Fällen ermöglichen. Zudem war nicht ersichtlich, wie dem Verantwortlichen ohne eine vorherige Kommunikation durch die Person, die den Gutschein einlösen möchte, oder das Kinopersonal, das den Gut- schein nicht einlösen kann, der Defekt oder das Fehlen des Barcodes zur Kenntnis gelangen könnte. Nach alldem war nicht ersichtlich, wie es zu einer ersten Kontaktaufnahme vonseiten des Unternehmens zur Lösung der beschriebenen Problematik kommen könnte.
Der Fehlversand der Anlagen zeigte auf, dass durch den Verantwortlichen keine geeigneten technischen und organisatorischen Maßnahmen getroffen worden waren, um eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten. Hierbei war insbesondere zu beanstanden, dass Korrekturen aufgrund von lediglich vermuteten Fehlerquellen erfolgten und ein geeignetes Testverfahren nicht vorhanden war, um die Wirksamkeit der ergriffenen Maßnahmen zu prüfen. Der Verantwortliche wurde diesbezüglich sowie aufgrund der Verarbeitung personenbezogener Daten ohne Rechtsgrundlage und der nicht erfolgten Meldung der Verletzung des Schutzes personenbezogener Daten verwarnt. Die Erhebung der Telefonnummern im Online-Shop wurde durch den Verant- wortlichen eingestellt.
Was ist zu tun? Getroffene technische und organisatorische Maßnahmen sind auf ihre Wirksamkeit hin zu prüfen.
Quelle: ULD
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks