Meldungen von Datenschutzverletzungen
Die Meldungen von Datenschutzverletzungen gem. Art. 33 DSGVO haben deutlich zugenommen. Allein aus dem Bereich der Wirtschaft (ohne Unternehmen aus dem Sozial- und Gesundheitsbereich) gingen viele Meldungen ein. Gegenstände der Meldungen, die Hinweise der Aufsichtsbehörde zu Abhilfemaßnahmen der Verantwortlichen auslösten, betrafen insbesondere:
Versendungen von Briefpost an Nichtberechtigte
Häufig erfolgten fehlerhafte Adressierungen, z. B. bei Gleichheit des Nachnamens. Erhebliche Risiken für betroffene Personen bestehen z.B. dann, wenn Kontodaten oder Beschäftigtendaten einen nicht beabsichtigten Empfänger erreichen und dieser den Brief öffnet. Der Landesbeauftragte empfahl genau zu prüfen, ob der im Adressfeld angegebene Empfänger auch der beabsichtigte ist. Hier kann das Vier-Augen-Prinzip oder eine deutliche Sensibilisierung der Beschäftigten, die mit der Versendung betraut sind, helfen. Soweit Unberechtigte die Briefpost erhalten haben, sollten sie gebeten werden, diese an den Absender zurückzugeben. Zudem sollten sie darauf hingewiesen werden, dass sie keine Berechtigung haben, diese Daten aus der Briefpost zu verarbeiten.
Versendung von E-Mails an nicht beabsichtigten Empfänger sowie mit offenem Verteiler
Mehrfach gelangten auch E-Mails an Empfänger, die diese E-Mails nicht erhalten sollten. Das geschah z.B. durch die fehlerhafte Eingabe einer E-Mailadresse oder durch die Nutzung eines falschen E-Mailverteilers. Erhebliche Risiken für die betroffenen Personen können hier insbesondere dann entstehen, wenn in der E-Mail besonders geheimhaltungswürdige Daten (z. B. besondere Kategorien personenbezogener Daten oder Bank- oder andere detaillierte Vermögensdaten) übermittelt werden. Schutz bietet hier große Sorgfalt bei der Eingabe der E-Mail-Adresse bzw. des Verteilers oder die E-Mail-Verschlüsselung. Seit mehreren Jahren gehen bei den Aufsichtsbehörden regelmäßig Meldungen mit dem Inhalt ein, dass E-Mails mit offenem Verteiler versandt wurden. Hier hilft die sorgfältige Auswahl des Versendungsmodus Blindkopie bzw. BCC oder eine entsprechende Voreinstellung im E-Mail-Programm, wodurch die jeweiligen Empfänger anderen Empfängern nicht mitgeteilt werden.
Versendung von E-Mails durch den Virus „Emotet“
Dieser Virus nutzt die Adressbücher von E-Mail-Programmen und versendet ohne Zutun des Berechtigten E-Mails. Aufsichtsbehörden weisen in den gemeldeten Fällen auf die Homepage des BSI hin. Dort werden geeignete Schutzmaßnahmen beschrieben und Verhaltenshinweise gegeben.
Abhandengekommene Datenträger
Auch sind wieder Datenträger abhandengekommen, auf denen sich mitunter sensible personenbezogene Daten befanden. So wurden ganze Personalcomputer aus Räumen entwendet oder mobile Datenträger auf Reisen verloren. In mehreren Fällen nahmen Familienangehörige bzw. enge „Freunde“ dienstlich genutzte Datenträger an sich, um den Besitzer zu kompromittieren. Hier wird auf die notwendige Verschlüsselungen hingewiesen. Sofern Datenträger mit einer aktuellen Software und einem sicheren Passwort verschlüsselt werden, ist eine Kenntnisnahme der darauf gespeicherten personenbezogenen Daten nahezu ausgeschlossen.
Entsorgung von Unterlagen mit personenbezogenen Daten im Papiermüll
In einem Fall wurden Unterlagen, die detaillierte Informationen über das Vermögen zahlreicher betroffener Personen enthielten, im Papiermüll entsorgt. Die Aufsichtsbehörde wies darauf hin, dass Datenträger in Papierform – aber auch elektronische Datenträger – so entsorgt werden müssen, dass Unberechtigte keine Kenntnis der darauf gespeicherten personenbezogenen Daten erlangen können. Dies gelingt unter Berücksichtigung der Norm DIN 66399 „Büro- und Datentechnik – Vernichten von Datenträgern“. Im Falle der Entsorgung von Papiermüll sollten insbesondere Reinigungskräfte – auch solche, die nur vertretungsweise tätig werden – im Rahmen der datenschutzrechtlichen Belehrung genau darüber informiert werden, wie der Papiermüll zu entsorgen ist.
Kompromittierung eines Amazon-Kontos
Ein Unternehmen berichtete, dass sein Konto bei Amazon durch einen Unbekannten übernommen wurde, welcher fiktive Artikel zu unterdurchschnittlichen Preisen anbot, um sich am Erlös zu bereichern. Richtigerweise hat der Unternehmer sein Amazon-Konto sofort sperren lassen. Da nicht ausgeschlossen werden konnte, dass der Angreifer das Amazon-Konto mit Hilfe der E-MailAdresse, welche für dieses Konto genutzt wird, übernommen hat, riet der Landesbeauftragte, ein neues Passwort für diese E-Mail-Adresse einzugeben. Schutz vor derartigen Angriffen bietet vor allem die von Amazon angebotene 2-Faktor-Authentifizierung.
Verschlüsselung durch Schadsoftware
In einigen Fällen wurde die Verschlüsselung von Dateien durch Schadsoftware gemeldet. Damit waren personenbezogene Daten für den Verantwortlichen entgegen Art. 32 Abs. 1 lit. b DSGVO nicht verfügbar. Auch hier bietet das BSI entsprechende Hilfe ab.
Fehlerhafte Zuordnung von Unterlagen
Durch die Aufnahme von Unterlagen in falsche Akten ist ebenfalls die Verfügbarkeit der personenbezogenen Daten nicht gewährleistet. In einem gemeldeten Fall wurden die fehlerhaft zugeordneten Unterlagen allerdings nach langer Suche aufgefunden und richtig zugeordnet.
Doppelte Vergabe von Sendungsnummern
Ein Unternehmen meldete, dass in etlichen Fällen Sendungsnummern für Pakete, die nur einem Kunden zugeordnet werden sollten, doppelt vergeben wurden. Mit dieser Sendungsnummer soll der berechtigte Empfänger erfahren können, wo sich seine Bestellung befindet und wann er sie dort abholen kann. Die doppelte Vergabe der Sendungsnummer führte dazu, dass jeweils ein zweiter Kunde die Sendung eines nicht an ihn gerichteten Pakets verfolgen konnte.
Quelle: LfD Sachsen-Anhalt
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks