Fehlversand E-Mail-Verteiler: Datenpanne menschlicher Fehler
02.06.2022
[IITR – 02.06.22] „Bei Verstößen gegen die folgenden Bestimmungen werden […] Geldbußen von bis zu 20.000.000 EUR oder im Falle eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist“ (Art. 83 Abs. 5 DSGVO)
Das datenschutzrechtliche Damoklesschwert, das mit in Kraft treten der Datenschutzgrundverordnung vor vier Jahren über jedem Unternehmen hängt, lässt viele Unternehmer hoffen, nicht Gefahr zu laufen, einen größeren Datenschutzrechtsverstoß zu begehen. Denn die vermeintliche Geldbuße hat eine erhebliche Höhe und muss – so Art. 83 Abs. 1 DSGVO – gerade auch „abschreckend“ sein.
Datenpanne mit circa 1.000 Betroffenen
Im vergangenen Monat ereignete sich bei einem Verein eine ebensolche Datenpanne, als der Vereinsvorsitzende per E-Mail eine Excel-Datei mit personenbezogenen Daten übersandte, wobei ca. 1.000 Personen betroffen waren. Daraufhin wurden die Betroffenen informiert und Datenpanne an die zuständige Aufsichtsbehörde gemeldet.
Eine solche Datenschutzverletzung kann durch die jeweils zuständige Behörde selbstverständlich nicht unbearbeitet oder unbeantwortet bleiben. Der Umfang sowie die Sensibilität der geteilten Daten lassen so manchen vielleicht Böses ahnen…
Reaktion der Aufsichtsbehörde
„Auf Grund der Anzahl der betroffenen Personen und der besonderen Sensibilität der betroffenen Daten (Mitgliedschaft einer politischen Vereinigung) wurde der Vorgang der Bußgeldstelle beim Landesbeauftragten zur Prüfung vorgelegt. Die festgestellte Datenpanne war auf einen menschlichen Fehler zurückzuführen; es war nicht ersichtlich, dass der Versand der Daten bewusst zum Nachteil der Betroffenen erfolgt ist oder die Daten öffentlich zugänglich waren. Vielmehr wurden die Daten nur anderen Vereinsmitgliedern offenbart. Auch hat die verantwortliche Stelle, bei der es sich um einen Verein handelt, bei dem alle verantwortlichen Personen ehrenamtlich tätig sind, zwischenzeitlich weitere Maßnahmen zum Schutz personenbezogener Daten ergriffen. Im Ergebnis wurde festgestellt, dass die Einleitung eines Bußgeldverfahrens nicht geboten ist. Somit ist der Fall für den Landesbeauftragten abgeschlossen.“ (so der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg)
Fazit: Was tun im Ernstfall?
Dieser Fall soll nun keineswegs zeigen, dass man von der Datenschutzaufsicht nichts zu befürchten hätte, sollte ein derartiges Ereignis eintreten.
Vielmehr zeigt er – erneut – dass in solchen Fällen seitens der Behörden erwartet wird, dass entsprechende Maßnahmen und Vorkehrungen getroffen werden, um neue Gegebenheiten zu schaffen, die das Risiko eines weiteren derartigen Vorfalls zu verringern.
Außerdem stellt der Fall klar, dass „menschliche Fehler“ durchaus Berücksichtigung in der Gesamtbeurteilung finden – ähnlich dem Augenblicksversagen im Straßenverkehr.
So ist es aus Sicht eines Datenschutzbeauftragten, Unternehmen unbedingt nahezulegen, bei Datenpannen Ruhe zu bewahren, klar und verständlich zu dokumentieren und später gegebenenfalls offen zu kommunizieren, anstatt lediglich darauf zu hoffen, es werde schon niemandem auffallen.
LG
Liegt durch das "menschliche" Fehlverhalten dann auch kein Fall eines Sicherheitsversagens nach Artt. 33 f. DSGVO vor?