Aktuelles

Meldungen von Verletzungen des Schutzes personenbezogener Daten

©geschmacksRaum® - stock.adobe.com

Im Falle einer nicht nur geringfügigen Verletzung des Schutzes personenbezogener Daten ist der Verantwortliche nach Art. 33 Datenschutz-Grundverordnung (DSGVO) verpflichtet, unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Art. 55 DSGVO zuständigen Aufsichtsbehörde zu melden. Im bayerischen öffentlichen Bereich haben somit alle bayerischen öffentlichen – insbesondere staatlichen und kommunalen – Stellen diese „Datenpannen-Meldungen“ gegenüber dem Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) als der für sie zuständigen Datenschutz-Aufsichtsbehörde zu erstatten. Nach Angaben des BayLfD war die Zahl der Meldungen nach Art. 33 DSGVO auch im aktuellen Berichtszeitraum 2020 wiederum steigend; dies zeigt, dass die bayerischen öffentlichen Stellen die gesetzlichen Pflichten dahingehend ernst nehmen. In seinem unten vermerkten 30. Tätigkeitsbericht vom 25.5.2021 führte der BayLfD unter Nr. 12.10 aus, aus welchen Bereichen die Meldungen kamen.

1. Datenfehlübermittlungen

„Die Hauptlast der gemeldeten Datenpannen betraf die Thematik, dass Daten oder Unterlagen per Postversand oder auch elektronisch unbeabsichtigt an unberechtigte Empfänger übermittelt wurden.“

2. Papierversand

„Diesen Vorfällen lagen meist eine unkorrekte Adressierung und eine fehlerhafte Zusammenstellung oder falsche Kuvertierung von Unterlagen zugrunde, sowohl durch fehlerhafte Konfiguration von Kuvertiermaschinen als auch bei der händischen Zusammenstellung. Dies fiel insbesondere häufiger in Krankenhäusern auf, wenn den Patientinnen oder Patienten Unterlagen mitgegeben wurden.“

3. Falscheingabe der Telefaxnummer

„Meldungen eines unsachgemäßen Versands von vertraulichen Unterlagen an unberechtigte Empfängerinnen und Empfänger über Telefax nahmen nicht ab. Gerade für die Übermittlung sensibler Daten wie Gesundheits- oder Sozialdaten sollte der Telefaxversand lediglich in Ausnahmefällen, und wenn, dann exakt und kontrolliert, genutzt werden. Ferner sollte stets geprüft werden, ob nicht auch ein alternatives Kommunikationsmedium zur Verfügung steht und eine verschlüsselte elektronische Übersendung der Daten möglich ist.“

4. (Unverschlüsselte) E-Mails an falsche Adressaten

„Ebenso blieb die fehlerhafte Adressierung von E-Mails ein Thema. Hierbei trat häufiger das Problem auf, dass bei der Eingabe der E-Mail-Adresse nicht ausreichend überprüft wurde, ob es sich tatsächlich um die gewünschte Empfängerin oder den gewünschten Empfänger handelte (beispielsweise ,Autovervollständigen‘). Dadurch wurden die E-Mails an falsche Empfängerinnen und Empfänger versandt. Hinzu kommt die Problematik, dass E-Mails mit sensiblen Inhalten unverschlüsselt über das Internet verschickt wurden, wenn die eigentlich vorgesehene Empfängerin oder der eigentlich vorgesehene Empfänger eine andere Beschäftigte oder ein anderer Beschäftigter der öffentlichen Stelle war.“

5. „cc“ statt „bcc“

„Es kam weiterhin mehrfach beim elektronischen Versand von Unterlagen an mehrere Adressatinnen und Adressaten zu einem Versand per ,cc‘, so dass jeweils alle Empfängerinnen und Empfänger Kenntnis der E-Mail-Adressen aller vom Verteiler umfassten Personen erhalten haben. Dies ist insbesondere kritisch zu sehen, wenn es sich dabei nicht um dienstliche E-Mail-Adressen handelt. Diesem Umstand lässt sich ohne zusätzlichen Aufwand dadurch begegnen, dass bei der Eingabe in den Header der E-Mail das ,bcc‘-Feld anstelle des ,cc‘-Feldes verwendet wird.“

 

Entnommen aus FstBY 11/2022, Rn. 131.