Der Umgang mit Datenschutz-Verletzungen


Zu Zeiten des alten Bundesdatenschutzgesetzes (BDSG) mussten nur Datenschutz-Verletzungen gemeldet werden, bei denen Gesundheitsdaten, Bank- und Kreditkartendaten oder Informationen aus Strafverfahren betroffen waren. Vorfälle, die solche Daten beinhalteten, waren an die Datenschutz-Aufsichtsbehörden zu melden, nicht jedoch den betroffenen Personen.

Die Meldepflichten im Fall von Datenschutz-Verletzungen sind mit der Datenschutz-Grundverordnung (DSGVO) deutlich ausgeweitet worden. Gemeldet werden müssen nunmehr alle Verletzungen des Schutzes personenbezogener Daten und zwar an die Aufsichtsbehörde als auch an die betroffenen Personen.

Art. 33 und 34 DSGVO

Diese Vorschriften führten dazu, dass wir in den letzten 12 Monaten so viele Benachrichtigungen von Pannen im Umgang mit personenbezogenen Daten erhalten haben, wie in den gut 15 Jahren unserer Beratungstätigkeit zuvor nicht.

Die DSGVO bindet die Pflicht zu melden an die Voraussetzung, dass durch die Schutzverletzung für die betroffenen Personen ein „Risiko“ bzw. ein „hohes Risiko“ besteht (Art. 33 und 34 DSGVO). Auch dies ist neu – es geht nicht um den Schutz des Unternehmens vor Rufschaden oder ähnlichen Folgen, sondern die Person steht im Fokus. Die Person, um deren Daten es sich handelt.

Vorgehen bei Datenschutz-Verletzungen

Im Fall einer Datenschutz-Verletzung im Unternehmen ist es wichtig, zügig und überlegt die nötigen Schritte einzuleiten. Das nachfolgende Beispiel zeigt einen Vorfall aus unserer Beratung, anhand dessen wir den Ablauf im Fall einer einer Datenschutz-Verletzung darstellen wollen. Hintergrund des Vorfalls war der unüberlegte Einsatz einer Software für die Projektorganisation.

Was war passiert?

Die Personalabteilung der Firma Wegner ** wollte für eine bessere Organisation ihrer internen Abläufe die Software „Trello“ einsetzen. Trello ist ein Tool für das Projektmanagement in Teams. Es ist eine Cloud Lösung und wird in den USA gehostet. Mehrere Mitarbeiter von Wegner registrieren sich für die kostenlose Version.

Am 19. März fand ich um kurz vor 9 Uhr eine E-Mail eines Hans Nielsen von der Firma MediaX, der mir schrieb, bei meinem Auftraggeber Wegner habe es eine Datenschutz-Verletzung gegeben.

„Gestern wurde ich <Hans Nielsen, MediaX> durch Herrn Burmester der Wegner AG auf ein nicht öffentliches Trello Board … ungefragt eingeladen (18.03.2019, 18:07) und auf diesem hinzugefügt (18.03.2019, 18:07; Maileingang 18:09). Diese Einladung erfolgte ohne vorherige Kontaktaufnahme oder meine Zustimmung. Neben meinen Namen enthält dieses Board diverse personenbezogene Daten anderer Personen. So sind hier Vor- und Nachnamen ersichtlich aber auch Verläufe zu deren Bewerbungsprozess wie Status der Bewerbung, Anmerkungen zu Reisebereitschaft und allgemein zu diesem Bewerber“.

Es folgte die nicht öffentliche URL des Boards und mehrere Screenshots der Mail, sowie die Information, dass er Herrn Burmester informiert und dieser den Zugriff am 19.03.2019 um 09:58 Uhr wieder unterbunden habe.

Ich setzte mich mit dem in der Mail genannten Herrn Burmester in Verbindung, um Details der Sache zu erfahren. Herr Burmester war nicht zu erreichen. Ein Anruf in der IT ergab die Auskunft: „Wir kennen dieses Tool nicht und haben den Einsatz nicht freigegeben“.

Es droht Ungemach

Ich schrieb eine EILT! DATENSCHUTZ! Mail an den Geschäftsführer und wies ihn darauf hin, dass diese Datenschutz-Verletzung nach meiner vorläufigen Einschätzung an die Datenschutz-Aufsichtsbehörde gemeldet werden muss. Damit lief auch die Frist; nach Art. 33 Abs. 1 DSGVO muss eine Datenschutz-Verletzung innerhalb von 72 Stunden „nach Kenntnis des Vorfalls“ an die Aufsichtsbehörde gemeldet werden.

In unserem Fall hieß das: Kenntnis des Vorfalls bei der Datenschutzbeauftragten etwa zeitgleich mit der Kenntnis im Unternehmen am 19.03.2019 um 09:30 Uhr. Die 72 Stunden Frist nach Art. 33 Abs. 1 DSGVO endete am Freitag, 22.03.2019, 09:30 Uhr.

Betroffene Personen

Es waren ungefähr ein Dutzend Personen betroffen, die sich bei der Firma Wegner beworben hatten. Es waren keine Geburtsdaten, keine Adressen, keine Details aus Lebensläufen öffentlich geworden, aber die Angabe über den Status des Bewerbungsverfahrens („Gespräch hat stattgefunden“, „passt von Qualifikation her nicht“) und Angaben zum Hintergrund („kommt aus Consulting“, „viel SAP Erfahrung“).

Wie konnte das passieren?

Trello speichert offenbar alle Namen und Mailadressen von Personen, die irgendwann mal damit gearbeitet haben – und sei es auch nur probehalber und vorübergehend. Wenn man mit der Funktion „hinzufügen mittels Einladung“ einen Namen eingibt, gleicht das System den Namen mit den schon auf Vorrat gespeicherten ab und schickt ohne weitere Nachfrage eine Einladung raus. Dementsprechend landete nach Eingabe des Namens des „Hans Nielsen“ von der Firma Wegner, der eingeladen werden sollte, die Einladung bei Hans Nielsen von der Firma MediaX. Dieser zweite Hans Nielsen war im Gegensatz zu dem ersten offenbar schon einmal bei Trello registriert.

Die nächsten Maßnahmen

Der Geschäftsführer rief mich am späteren Abend zurück und ich empfahl ihm mehrere Maßnahmen:

  • Die umfassende Dokumentation des Vorfalls
  • Eine Meldung an die Aufsichtsbehörde innerhalb der gesetzlichen Frist

Darüberhinaus empfahl ich:

  • Das sofortige Verbot, Trello weiter einzurichten oder zu nutzen
  • Die sofortige Löschung aller bis dahin eingegebenen personenbezogenen Daten

In Anbetracht der Tatsache, dass die Daten nur für eine Person und auch nur über einen relativ kurzen Zeitraum einsehbar waren, sah ich keine Verpflichtung nach Art. 34 DSGVO, die betroffenen Personen zu informieren. Hinzu kam, dass es sich „nur“ um den Namen und den Status des Bewerbungsverfahrens handelte.

Fazit

Bei allem, was hier im Vorfeld schiefgelaufen war, wurde immerhin richtig und angemessen reagiert, als der Schaden entstanden war. Die Meldung an die Aufsichtsbehörde wurde gemacht und ich warte nunmehr auf eine Reaktion von dort.

Damit eine richtige und angemessene Reaktion nicht dem Zufall überlassen bleibt, bietet es sich an, unternehmensinterne Prozesse und Verantwortlichkeiten für den Fall einer Datenschutz-Verletzung festzulegen und bei den Verantwortlichen bekannt zu machen.

** alle Namen wurden erfunden. Es handelt sich nicht um die tatsächlichen Namen der Beteiligten.