Datenpanne bei Software für Kontaktnachverfolgung

Der Chaos Computer Club (CCC) hat massive Sicherheitslücken bei einem Software-Anbieter gefunden, bei dem Restaurants Daten hinterlegen können: Reservierungen, aber auch Daten für die aktuell vorgeschriebene Möglichkeit zur Kontaktnachverfolgung. Dabei habe man sich gar nicht sonderlich anstrengen zu müssen, an Millionen Datensätze zu gelangen, so der CCC. Unter den Daten waren auch 87.000 Datensätze aus den Nachverfolgungslisten von 180 Restaurants, die teilweise bereits hätten gelöscht sein müssen.

Das betroffene Unternehmen, immerhin, hat offenbar schnell reagiert auf die Hinweise des CCC und die Lücken geschlossen. Das Unternehmen teilte mit, dass für die Datensätze und das rechtzeitige Löschen aber der jeweilige Vertragspartner verantwortlich sei.

So oder so, diese Entdeckung wird sicherlich keine Werbung dafür sein, Daten digital zu hinterlassen.

Meldung bei „Datenpanne“

Bei einem Datenleck bzw. generell einer Verletzung des Schutzes personenbezogener Daten (= „Datenpanne“) muss der verantwortliche Datenverarbeiter unverzüglich, normalerweise binnen 72 Stunden nach Bekanntwerden der Verletzung diese bei der für ihn zuständigen Aufsichtsbehörde melden (Art. 33 Absatz 1 DSGVO).

Eine Ausnahme zu Meldepflicht besteht nur dann, wenn die Verletzung des Schutzes personenbezogener Daten „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“.

Eine solche Datenpanne liegt bspw. vor, wenn es zu einem Fall kommt, der

• zur Vernichtung, zum Verlust oder zur Veränderung (egal ob unbeabsichtigt oder unrechtmäßig!), oder
• zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Beispiele für ein geringes Risiko für die Rechte der Betroffenen = keine Meldung notwendig:

• Unbefugte haben Zugang zu personenbezogenen Daten erhalten, die aber verschlüsselt sind: Eine Verletzung der Vertraulichkeit von (nach dem Stand der Technik) verschlüsselten Daten, die mit einer bisher nicht „geknackten“ Methode verschlüsselt wurden, birgt ein sehr geringes Risiko für die Rechte und Freiheiten der betroffenen Personen. Die Daten sind nämlich für Dritte faktisch nicht lesbar.
• Verlust eines verschlüsselten USB-Sticks oder Smartphones, wenn die darauf befindlichen Daten verschlüsselt sind – siehe aber Beispiel unten.
• Fehlversandter Brief kam ungeöffnet zurück: Wenn verschlossene Briefe – egal ob mit der Hauspost oder einem Postdienstleister versandt – ungeöffnet zurückkommen, weil sie den falschen Empfänger erreicht haben und dieser sie hat zurückgehen lassen, besteht in der Regel ein nur geringes Risiko für die betroffene Person.
• Brief mit falscher Anlage: Wenn aus der Anlage lediglich Namen und Daten zu z. B. gebuchten Hotelzimmern (einschließlich Zeiträumen) hervorgehen, ist das Risiko eher gering.