Risikoabwägung bei Datenschutzverletzung
Die polnische Datenschutzbehörde (SA) wurde über einen Datenschutzvorfall bei einem Versicherungsunternehmen informiert. Ein unbefugter Empfänger erhielt eine E-Mail-Anlage mit sensiblen persönlichen Daten wie Vorname, Nachname, Postanschrift, Fahrzeugdetails, Policennummer, Schadensnummer und der Höhe des zugesprochenen Schadens. Der unbefugte Empfänger informierte das Versicherungsunternehmen über den Erhalt der E-Mail, erhielt jedoch keine Antwort.
Das Versicherungsunternehmen gab den Vorfall zu und erklärte ihn als menschliches Versagen. Sie führten eine Risikoanalyse gemäß der „ENISA-Methodik“ durch, die von der polnischen Datenschutzbehörde empfohlen wurde. Die Analyse ergab ein geringes Risiko für die Rechte und Freiheiten der betroffenen Person. Daher vermerkte das Unternehmen den Vorfall in seinem internen Register, meldete ihn jedoch nicht der Aufsichtsbehörde und informierte auch nicht die Betroffenen. Aufgrund dieser Unterlassung leitete die polnische Datenschutzbehörde von Amts wegen ein Verwaltungsverfahren gegen das Unternehmen ein.
Wesentliche Feststellungen:
Die polnische Datenschutzbehörde entschied, eine Verwaltungsstrafe gemäß Artikel 83 Absatz 2 Buchstabe a DSGVO zu verhängen und berücksichtigte dabei mehrere erschwerende Faktoren:
- Lange Dauer des Verstoßes
- Vorsätzliche Verletzung der Datenschutzvorschriften in anderen anhängigen Verfahren gegen das Unternehmen
- Unzureichende Zusammenarbeit mit der Aufsichtsbehörde
Die Datenschutzbehörde wies darauf hin, dass das Versicherungsunternehmen besonderen Verpflichtungen gemäß Artikel 35 Absatz 1 des Gesetzes über Versicherungs- und Rückversicherungsaktivitäten vom 11. September 2015 unterliegt, wonach das Versicherungsunternehmen und seine Mitarbeiter sowie Personen und Einrichtungen, durch die das Unternehmen Versicherungsoperationen durchführt, zur Geheimhaltung individueller Versicherungsverträge verpflichtet sind.
Entscheidung
Der Präsident der polnischen Datenschutzbehörde verhängte eine Verwaltungsstrafe in Höhe von 24.000 € (PLN 103.752) gegen das Versicherungsunternehmen. Der Grund für die Verhängung der Strafe war das Versäumnis, den Datenschutzvorfall der Aufsichtsbehörde zu melden und die Betroffenen zu informieren.
Wir beraten Unternehmen und öffentliche Einrichtungen als externe Datenschutzbeauftragte und Informationssicherheitsbeauftragte, damit Datenschutzvorfälle korrekt behandelt werden.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks