Vor 3 Wochen berichteten wir darüber, dass ein bekanntes Umfrage-Institut ein „Strategie-Papier“ nicht nur an die beabsichtigen Empfänger, sondern irrtümlich an 800 Personen aus einem „Public-Health-Verteiler“ gesandt hatte. Wir fragten daher Mag. Novotny, ob das eine Datenpanne sei („JA“) und erhielten von ihm eine Reihe von „Datenpannen-Szenarien“, um ein Gefühl zu erhalten, was eine Datenpanne ist und was nicht. Und begannen die Frage zu klären, was bei einer Datenpanne zu tun ist. Zum Nachlesen von Teil 1 dieses Beitrags klicken Sie hier…
Um Ihr Problembewusstsein zu erhöhen, haben wir eine Woche später informiert, ob man immer eine Datenpanne melden muss, wie man dabei abwiegt und wo und wie man eine Datenpanne meldet. Zum Nachlesen von Teil 2 klicken Sie hier…
Vorige Woche sahen wir uns die Konsequenzen – konkrete Urteile – an, die eintreten, wenn man die Datenpanne einfach verschweigt. Strafen durch Behörden. Klagen durch Betroffene, aber auch Konkurrenten sind die Folge. Zum Nachlesen von Teil 3 klicken Sie hier…
Heute sehen wir uns mit RA Mag. Stephan Novotny eine besonders skurrile Datenpanne an, die der Kunde selbst verursacht hat.
Und dennoch wurde die Firma mit über 50.000 € bestraft. WARUM?
Den unten geschilderten, außergewöhnlichen Fall möchten wir zum Anlass nehmen, weiteres Problembewusstsein für das Thema Datenpanne zu wecken. Denn selbst wenn die Datenpanne nicht von Ihnen / Ihrem Unternehmen verursacht wurde: Die Behörde kennt „keinen Spaß“, wenn Sie nicht die richtigen Maßnahmen gesetzt haben. Daher: Datenpannen NIEMALS auf die LEICHTE SCHULTER nehmen.
Und: Diese Datenschutz-Entscheidung hat „wahnsinniges Gefahrenpotential“. Damit könnte man die Konkurrenz vom Markt fegen, sollte sich jemand Testkunden besorgen, die die falsche E-mail-Adresse angeben und schauen, „was passiert“…
Hier folgt nun der Beitrag, den wir mit RA Mag. Stephan Novotny erarbeitet haben.
Wie avisiert, sehen wir uns heute im letzten Teil der Serie zu „Datenpannen“ einen weiteren – außergewöhnlichen – Fall näher an und fassen danach das Allerwichtigste zum Thema Datenpannen für die tägliche Praxis zusammen und geben Tipps, wie man Datenpannen weitestgehend vermeiden könnte.
53.154 € Strafe für eine vom Kunden selbst verursachte Datenpanne!
So titelte die auf Datenschutz spezialisierte Firma „Meineberater.at“ ihren Newsletter. Den darin geschilderten, außergewöhnlichen Fall möchten wir zum Anlass nehmen, weiteres Problembewusstsein für das Thema Datenpanne zu wecken. Denn selbst wenn die Datenpanne nicht von Ihnen / Ihrem Unternehmen verursacht wurde: Die Behörde kennt „keinen Spaß“, wenn Sie nicht die richtigen Maßnahmen gesetzt haben. Daher: Datenpannen NIEMALS auf die LEICHTE SCHULTER nehmen.
Was war passiert?
Ein Kunde schloss einen Vertrag mit einem Telekommunikationsunternehmen ab. Um den Vertrag elektronisch zu erhalten, gab er eine E-Mailadresse an und bestätigte mit Unterschrift die Richtigkeit der Daten. Daher sandte das Telekom-Unternehmen an die genannte Mail-Adresse den Vertrag.
Im Nachhinein fiel dem Kunden auf, dass er bei Vertragsabschluss irrtümlich eine falsche E-Mailadresse angegeben hatte und meldete dies dem Telekom-Unternehmen. Somit musste dem Unternehmen zu diesem Zeitpunkt klar gewesen sein, dass der Vertrag an eine andere E-Mail-Adresse gesandt worden war, also eine Datenpanne vorlag.
Dennoch erfolgte keine Meldung der Datenpanne an die Datenschutzbehörde.
Vielleicht, weil man dachte, der Kunde sei selbst schuld gewesen und habe die Mail-Adresse selbst als richtig bestätigt.
Zwischenzeitlich hat sich aber der fälschlicherweise angeschriebene Empfänger der E-Mail an die Datenschutzbehörde gewendet, da ihm ein Vertrag zugeschickt wurde, der offensichtlich für eine andere Person mit demselben Namen bestimmt war. Damit erhielt er mit dem Vertrag wichtige personenbezogene Daten wie Name, Adresse, Telefonnummer, Personalausweisnummer und PESEL-Nummer (nationale Identifikationsnummer).
Folge: Die Datenschutzbehörde wertete den Vorfall als Datenpanne und verhängte eine Strafe in der Höhe von umgerechnet 53.154 €.
Die Tatsache, dass der Kunde selbst seine E-Mailadresse angegeben und auch bestätigt hatte, änderte nichts daran, dass es sich um eine Datenschutzverletzung mit hohem Risiko einer realistischen negativen Beeinträchtigung der Rechte und Freiheiten des Kunden handelte, so zitierten MeineBerater. Die Datenpanne hätte jedenfalls an die Datenschutzbehörde gemeldet werden müssen und auch der Kunde hätte über die Verletzung des Schutzes seiner Daten informiert werden müssen.
Erschwerend wertete die Datenschutzbehörde, dass keine Meldung – weder an die Behörde, noch an den Betroffenen – erfolgte, obwohl das Unternehmen auf diesen Fehler hingewiesen worden war.
Auch Art und Inhalt der betroffenen Daten führten zu der hohen Strafe. Der soziale und wirtschaftliche Wert der Daten hätten dem Unternehmen bewusst sein müssen, so MeineBerater.at. Damit meinte wohl die Behörde, dass man heute z.B. im Internet mit Namen, Adresse und Ausweisnummer eine Fülle von Betrügereien starten kann, etwa Online-Bestellungen durchführen, sogar Konten eröffnen, die man dann für Geldwäsche-Aktivitäten verwenden könnte, etc.
Abschließend ein paar Tipps für die tägliche Praxis, um Datenpannen weitestgehend vermeiden zu können.
Schwachstelle Mensch durch Mitarbeiter-Schulung stärken!
Natürlich kann Datenverlust durch veraltete Systeme verursacht werden. Daher warnen wir regelmäßig vor „ablaufender Software“ und raten dringend Aktualisierungen einzuspielen, um es Hackern nicht allzu leicht zu machen in die Systeme einzudringen und Daten zu stehlen.
Aber die meisten Datenpannen passieren wohl dadurch, dass man zu schnell auf etwas klickt.
Entweder zu schnell auf „Senden“, obwohl Outlook automatisch einen falschen Namen vervollständigte und an diesen das Mail sendet. Was der Anlassfall war, warum wir diese Serie zu Datenpannen gestartet hatten. Zum Erinnern: Ein bekanntes Umfrage-Institut hatte ein „Strategie-Papier“ nicht nur an die beabsichtigen Empfänger, sondern irrtümlich an 800 Personen aus einem „Public-Health-Verteiler“ gesandt.
Aber noch öfter klickt man auf irgendwelche Links, Bilder, Videos in Mails, wodurch man Schadsoftware herunterlädt und damit Hacker-Angriffe und damit Datenverluste ermöglichte.
Daher: Schulung der Mitarbeiter, aber auch regelmäßige „Tests“ sind ein nützliches Instrument, um das Problembewusstsein hoch zu halten.
Aber auch „Schreibtisch zusammenräumen“ sollte oberste Priorität haben.
Damit ist gemeint, dass man einen passwortgeschützten Bildschirm-Schoner nutzt, der sich einschaltet, wenn man z.B. 60 Sekunden den PC nicht mehr nutzt und etwa den Platz verlässt.
Auf dem Schreibtisch sollten niemals Ordner offen herumliegen, spätestens aber nach Büro-Schluss sollten die Ordner im Schrank versperrt sein.
Auch wenn normalerweise kein Kundenverkehr zu erwarten ist. Denn nicht nur in Spionage-Filmen stöbern Handwerker, Entsorgungsfirmen oder Putztrupps durch Büro-Akten…
Wir hoffen, dass durch die Tipps einige Datenpannen verhindert werden können.
Und falls doch etwas passiert: Bitte binnen 72 Stunden die Datenpanne zu melden!
Beste Grüße vom IVVA Team und Mag. Novotny
Quellen und weitere nützliche Links:
https://koehrer.de/datenpanne-meldung-strafen-und-beispiele/
https://www.pcwelt.de/article/1194458/datenschutz-booking-com-muss-475-000-euro-strafe-zahlen.html
https://www.it-recht-kanzlei.de/lg-darmstadt-dsgvo-schadensersatz-abstrakte-schadenseignung.html
https://openjur.de/u/2391126.html
https://medien-internet-und-recht.de/volltext.php?mir_dok_id=3307
Beste Grüße vom IVVA Team und Mag. Novotny.
Sollten Sie noch keinen Anwalt haben: Mag. Stephan Novotny, ein auf Versicherungs- und Datenschutzrecht spezialisierter Fachanwalt steht gerne zur Verfügung. Für IVVA-Mitglieder sogar zum Spezialpreis.
RA Mag. Stephan Novotny
1010 Wien, Landesgerichtsstraße 16/12