Fehler beim Umgang mit personenbezogenen Daten, sogenannte Datenpannen, sind meldepflichtig. Diese Meldepflicht gehört zu den zentralen Vorgaben der DS-GVO. Datenpannen, das betrifft in den Augen vieler Kleinunternehmen ausschließlich die Großen im Markt. So machte vor wenigen Tagen die Meldung die Runde, dass ein vermeintliches Leck bei Mastercard zur Veröffentlichung von 90.000 Kundenadressen im Netz führte. Nicht jede Datenpanne ist eine Schlagzeile in der Print- und Onlinewelt wert, aber dennoch kann sie ein meldepflichtiger Tatbestand sein – auch für Kleinbetriebe. Denn die Meldepflicht für Datenpannen gilt natürlich für jede Betriebsgröße. Sie legt den Fokus vielmehr auf die den Schutz der Rechte und Freiheiten natürlicher Personen.
Führt die Datenschutzverletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen, hat der Verantwortliche nach Artikel 33 DS-GVO die Datenpanne unverzüglich, möglichst binnen 72 Stunden, der zuständigen Aufsichtsbehörde zu melden. In der Regel stehen hierfür Online-Meldeformulare bereit.
Wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Dr. Stefan Brink, unlängst veröffentlichte, hat sich die Anzahl der Meldungen von Datenpannen seit Mai 2018, also mit Wirksamwerden der DS-GVO, verzehnfacht. Knapp 1.000 solcher Meldungen erreichten ihn seit Anfang des Jahres. Allein 177 Meldungen gingen im Mai 2019 ein. Das waren so viele wie noch nie in einem Monat.
Die vom Landesbeauftragten veröffentlichte Liste der am häufigsten gemeldeten Datenschutzverletzungen lässt staunen. Unter den „Top 7“ der Datenpannen befinden sich Postfehlversand (Platz 1), E-Mail-Fehlversand (Platz 3), Versendung einer E-Mail mit offenem Adressverteiler (Platz 5) und Fax-Fehlversand (Platz 7). Die Feststellung des Landesbeauftragten, dass hinter einer jeden Meldung zumeist eine Nachlässigkeit oder ein Organisationsverschulden steht, ist bei solchen Tatbeständen nicht von der Hand zu weisen.
Platz | Art der Meldung |
1 | Postfehlversand |
2 | Hackingangriffe/Malware/Trojaner |
3 | E-Mail-Fehlversand |
4 | Diebstahl eines Datenträgers |
5 | Versendung einer E-Mail mit offenem Adressverteiler |
6 | Verlust eines Datenträgers |
7 | Fax-Fehlversand |
Quelle: Pressemitteilung des LfDI Baden-Württemberg vom 31. Juli 2019
Zunehmend Sorge bereitet dem Landesdatenschutzbeauftragten die hohe Zahl an Datenpannen in Arztpraxen. Vor allem Verschlüsselungstrojaner machten den Verantwortlichen zu schaffen. Ein häufiges Versehen sei aber auch, Patientenberichte, Rezepte oder Röntgenbilder an die falschen Empfänger zu übermitteln. Beim Umgang mit sensiblen Daten ist höchste Sorgfalt walten zu lassen.
Allein mit der Umsetzung technischer Maßnahmen ist es also in Sachen Datenschutz nicht getan. Durch Stress, Hektik und Nachlässigkeit entstehen ebenso schnell fatale Fehler. Das gilt für alle Betriebe. Auch Malerbetriebe sind nicht gefeit vor „Irrläufern“, egal ob per Post, per E-Mail oder Fax. Was früher als peinliches Versehen abgetan wurde, kann heutzutage folgenreich sein. Daher sollte alles, was auf dem klassischen Postweg, per E-Mail oder Telefax versendet wird, vor Versand nochmals auf die Korrektheit des Empfängers geprüft werden. Wer zu viel auf dem Schreibtisch liegen hat, greift schnell mal daneben. Da landen dann schnell für den Rückversand vorgesehene Bewerbungsunterlagen oder Arbeitsbescheinigungen beim falschen Empfänger. Lebensläufe, Arbeitszeugnisse, Verdienstbescheinigungen sind sensible Daten und haben in den Händen Dritter nichts verloren.
Schnelligkeit und Unachtsamkeit kann auch bei E-Mails schnell zum Problem werden. Arbeitet das E-Mail-Programm mit Abkürzungsfunktionen für eine Adresse oder schlägt es anhand des Eintrags sogleich eine Adresse vor (Autovervollständigung), so sollte zweimal hingeschaut und keinesfalls dem System blind vertraut werden. Nur allzu schnell ist die elektronische Post unterwegs zum falschen Empfänger. Und soll eine E-Mail an einen größeren Kundenkreis gesendet werden, so sind selbstverständlich die Empfängeradressen unter „Bcc“ einzutragen. Nur auf diese Weise sind die Empfängeradressen nicht für alle sichtbar und ein „offener Adressverteiler“ wird vermieden.
Doch nicht nur der Empfänger, auch der Inhalt einer Nachricht gehört auf den Prüfstand. So sollten beispielsweise Arbeitsunfähigkeitsbescheinigungen nicht unverschlüsselt per E-Mail an die Krankenkasse gesendet werden. Nach Ansicht des Bundesbeauftragten für Datenschutz steht eine unverschlüsselte E-Mail einer elektronischen Postkarte gleich und lässt es an einem entsprechenden Schutzniveau fehlen.
Um sich gegen Hacker und Erpressungstrojaner abzusichern, sind von den Betrieben technische Maßnahmen zu ergreifen. Zu diesem Themenbereich sind bereits folgende interessante Beiträge auf Malerblog.net erschienen:
Datenschutz nach DS-GVO: Mobile Geräte und Datenträger verschlüsseln
Smartphone, Tablet & Co: Virenschutz ist Datenschutz
Vorsicht Datenklau: Tipps für gute Passwörter