EVENTFAQ News

aus dem Eventrecht
Datenpanne bei Software für Kontaktnachverfolgung

Datenpanne bei Software für Kontaktnachverfolgung

Von Thomas Waetke 3. September 2020

Der Chaos Computer Club (CCC) hat massive Sicherheitslücken bei einem Software-Anbieter gefunden, bei dem Restaurants Daten hinterlegen können: Reservierungen, aber auch Daten für die aktuell vorgeschriebene Möglichkeit zur Kontaktnachverfolgung. Dabei habe man sich gar nicht sonderlich anstrengen zu müssen, an Millionen Datensätze zu gelangen, so der CCC. Unter den Daten waren auch 87.000 Datensätze aus den Nachverfolgungslisten von 180 Restaurants, die teilweise bereits hätten gelöscht sein müssen.

Das betroffene Unternehmen, immerhin, hat offenbar schnell reagiert auf die Hinweise des CCC und die Lücken geschlossen. Das Unternehmen teilte mit, dass für die Datensätze und das rechtzeitige Löschen aber der jeweilige Vertragspartner verantwortlich sei.

So oder so, diese Entdeckung wird sicherlich keine Werbung dafür sein, Daten digital zu hinterlassen.

Meldung bei “Datenpanne”

Bei einem Datenleck bzw. generell einer Verletzung des Schutzes personenbezogener Daten (= “Datenpanne”) muss der verantwortliche Datenverarbeiter unverzüglich, normalerweise binnen 72 Stunden nach Bekanntwerden der Verletzung diese bei der für ihn zuständigen Aufsichtsbehörde melden (Art. 33 Absatz 1 DSGVO).

Eine Ausnahme zu Meldepflicht besteht nur dann, wenn die Verletzung des Schutzes personenbezogener Daten “voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt”.

Eine solche Datenpanne liegt bspw. vor, wenn es zu einem Fall kommt, der

  • zur Vernichtung, zum Verlust oder zur Veränderung (egal ob unbeabsichtigt oder unrechtmäßig!), oder
  • zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Achtung!
Unterweisen Sie Ihre Mitarbeiter und informieren Sie sich selbst, was getan werden muss, wenn eine Datenpanne festgestellt wird. Wenn Sie erst im Falle des Falles damit anfangen, zu überlegen, was Sie tun müssen, geht wertvolle Zeit verloren.

Und: Die Beschäftigten müssen natürlich wissen, was eine Datenpanne sein kann.

Beispiele für ein geringes Risiko für die Rechte der Betroffenen = keine Meldung notwendig:

  • Unbefugte haben Zugang zu personenbezogenen Daten erhalten, die aber verschlüsselt sind: Eine Verletzung der Vertraulichkeit von (nach dem Stand der Technik) verschlüsselten Daten, die mit einer bisher nicht „geknackten“ Methode verschlüsselt wurden, birgt ein sehr geringes Risiko für die Rechte und Freiheiten der betroffenen Personen. Die Daten sind nämlich für Dritte faktisch nicht lesbar.
  • Verlust eines verschlüsselten USB-Sticks oder Smartphones, wenn die darauf befindlichen Daten verschlüsselt sind – siehe aber Beispiel unten.
  • Fehlversandter Brief kam ungeöffnet zurück: Wenn verschlossene Briefe – egal ob mit der Hauspost oder einem Postdienstleister versandt – ungeöffnet zurückkommen, weil sie den falschen Empfänger erreicht haben und dieser sie hat zurückgehen lassen, besteht in der Regel ein nur geringes Risiko für die betroffene Person.
  • Brief mit falscher Anlage: Wenn aus der Anlage lediglich Namen und Daten zu z. B. gebuchten Hotelzimmern (einschließlich Zeiträumen) hervorgehen, ist das Risiko eher gering.
Ein Beispiel
Ein Mitarbeiter verliert bei der Besichtigung einer Location sein Handy, auf dem auch personenbezogene Daten des Unternehmens (Mitarbeiter, Kunden usw.) gespeichert sind. Auf dem Handy ist lediglich ein einfacher Zugriffsschutz aktiviert, die Daten sind unverschlüsselt.

Sie brauchen Unterstützung bei der DSGVO-konformen Umsetzung Ihrer Datenverarbeitung? Mein Kollege Timo Schutt steht als Datenschutzbeauftragter und -berater mit anwaltlicher Expertise zur Verfügung.

Außerdem berät er Unternehmen in allen Belangen im Datenschutzrecht.

Auf unserer Webseite finden Sie alle Informationen dazu! Oder nehmen Sie den “kurzen Dienstweg” und schreiben uns eine E-Mail an info@eventfaq.de

Urheberangabe für das/die Foto(s) (Symbolfoto):