(20.12.2019) Datenpannen sind eine lästige Sache. Wir bei fox-on haben seit Mai 2018, also seit die DSGVO “scharf gestellt“ ist, sehr viele Vorfälle datenschutzrechtlich beurteilt.
Sie ahnen vermutlich schon, was das am häufigsten vorkommende Szenario ist? Richtig, es sind Fehlversendungen von E-Mails. Diese können leider, je nach Inhalt oder Datei-Anhang, eine Meldepflicht auslösen bzw. sogar eine Benachrichtigung der betroffenen Personen erforderlich machen.
Es gibt aber auch ganz andere Fälle:
- Die „magische Löschung“ eines Firmen-Tablets:
Ein leitender Angestellter hat uns kontaktiert, weil auf zunächst unerklärliche Weise sein Tablet “gelöscht“ wurde. Was war passiert? Nachforschungen ergaben, dass ein ehemaliger IT-Administrator des Unternehmens noch seine Passwörter benutzen konnte. Und nicht nur das: Er hatte von zuhause aus Zugriff auf das Firmennetzwerk und auf die Fern-Administration der mobilen Firmengeräte.Dieses kriminelle Verhalten fand auch die Polizei nicht amüsant. Um einen ähnlichen Vorfall wirksam verhindern zu können, sollte man nach Ausscheiden eines Mitarbeiters konsequent sein Nutzerkonto löschen/deaktivieren und umgehend alle Zugangsdaten ändern, die der ausgeschiedene Mitarbeiter genutzt hat.
- Der USB-Stick, den es so nicht geben dürfte:
Ein Student hat einen unserer Kunden kontaktiert, nachdem er auf der Straße einen USB-Stick mit dessen Firmenlogo gefunden hatte. Auf dem unverschlüsselten Stick waren u.a. Arbeitsverträge und Gehaltsabrechnungen gespeichert.Die Personalerin war fassungslos, weil sie natürlich solche Daten nie auf einem unverschlüsselten Stick gespeichert hätte. Nachforschungen ergaben schließlich: Vor mehreren Jahren fand eine Prüfung durch das Finanzamt statt. Die Beamtin hatte sich damals Unterlagen auf einem Stick geben lassen und sie nicht sofort auf ihr Notebook übertragen. Stattdessen hat sie den Stick mitgenommen und jahrelang fleißig weiter benutzt und von vielen Unternehmen sensible Daten darauf gespeichert. So lange, bis sie ihn dann zu allem Übel auch noch verloren hat. Als sie von diesem verantwortungslosen Umgang mit Personaldaten erfuhr, war die Personalerin noch fassungsloser.
Die allermeisten Datenpannen beruhen jedoch nicht auf Böswilligkeit oder verantwortungslosem Verhalten, sondern passieren aus Versehen, wie der berühmte „Vertipper“ in der E-Mailadresse.
Seien Sie deshalb bitte wachsam: Gerade im Vorweihnachts-Trubel kann schon mal etwas schiefgehen. Melden Sie es sofort, wenn Sie den Eindruck haben, dass personenbezogene Daten durch Unbefugte eingesehen, verändert oder gelöscht wurden. Eventuell muss die Behörde innerhalb von 72 Stunden darüber informiert werden. Dazu gibt es aber auch eine gute Nachricht: Eine wirksame Meldung verhindert eine Geldbuße.
Wir wünschen Ihnen möglichst wenig Vorfälle im neuen Jahr, egal, ob sie meldepflichtig sind oder nicht. Kommen Sie gut rüber nach 2020 und genießen Sie vorher die Weihnachtsfeiertage.