Externen Datenschutzbeauftragten bei Weitergabe von personenbezogenen Daten unbedingt ins Boot holen
Eine der häufigsten Datenpannen im Alltag ist wohl der Versand von einer E-Mail an den falschen Empfänger oder mit dem falschen Anhang. Aus Sicht des Datenschutzes, liegt hier meist eine Datenpanne vor, welche nicht selten meldepflichtig ist.
Verschiedene Schritte sind nötig, um diese Datenpanne zu beurteilen und im vorgegebenen Zeitfenster bei den unterschiedlichen Ansprechpartnern zu melden. Es gibt aber auch Möglichkeiten, solchen Pannen vorzubeugen. Eine wichtige Rolle spielt hierbei auch die Zusammenarbeit mit dem (externen) Datenschutzbeauftragten. Daher möchten wir von Datenschutzberater.NRW Ihnen in diesem Datenschutz-Blog eine kurze Übersicht geben.
Verletzung des Schutzes personenbezogener Daten
Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) geben die Richtlinien vor, wie der Datenschutz in Deutschland umgesetzt werden soll. Dabei geht es vor allem darum, personenbezogene Daten und damit den Betroffenen zu schützen.
Wenn Daten im Zusammenhang mit deren Verarbeitung vernichtet werden, verloren gehen oder verändert werden, aber auch dann, wenn Daten unbefugt abgerufen oder offengelegt werden, spricht man von einer Verletzung des Schutzes personenbezogener Daten.
Kommt so etwas vor, handelt es sich unter umständen um eine meldepflichtige Datenpanne. Dabei sollte man wissen, dass eine solche meldepflichtige Datenpanne innerhalb von 72 Stunden nach Bekanntwerden (egal ob Wochenende oder Feiertage) an die zuständige Aufsichtsbehörde gemeldet werden muss. In NRW ist dies die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).
Je nachdem welches Risiko für den Betroffenen besteht, muss dieser ebenfalls über die Datenpanne informiert werden.
Versand an falschen E-Mail-Empfänger als meldepflichtige Datenpanne
Im Alltag passiert es erstaunlicherweise immer wieder sehr schnell, dass E-Mails an den falschen Empfänger verschickt werden. Die automatische Ergänzung der Adresse oder ähnliche Namen und Schreibweisen, dazu Stress oder eine kurze Unkonzentriertheit und schon ist es passiert: Die E-Mail wurde an den falschen Empfänger verschickt.
Besonders schädlich ist das natürlich, wenn sensible Daten an den falschen Empfänger verschickt wurden. Aber auch bei einer vermeintlich harmlosen Mail, können personenbezogene Daten an den falschen Empfänger geraten. Bereits E-Mail-Adressen, Telefonnummern oder IP-Adressen können personenbezogene Daten sein. Durch E-Mail-Signaturen und andere automatisch hinzugefügte Bausteine oder auch Anhänge können natürlich eine Vielzahl von Daten weitergegeben werden.
(Externen) Datenschutzbeauftragten informieren und Daten prüfen
Ist eine Nachricht an den falschen Empfänger verschickt worden, sollte immer der (externe) Datenschutzbeauftragte zur Beurteilung der Sachlage hinzugezogen werden. In erster Linie muss geprüft werden ob und welche personenbezogenen Daten an den falschen Adressaten geschickt wurden. Danach sollte der Fachmann beurteilen, welches Risiko für den Betroffenen von der Vorliegenden Datenpanne ausgeht.
Danach sollten in Absprache mit dem Verantwortlichen die nötigen Schritte eingeleitet werden. Mehr zum Thema der Meldung einer Datenpanne lesen Sie auch in unserem Blog.
Fehlerquellen im Datenschutz beim E-Mail-Versand
Damit im Alltag ein solcher Fehler nicht passiert, gilt es frühzeitig Gegenmaßnahmen und Vorgaben zu integrieren. Dazu gehört natürlich, dass man sich beim Versand von E-Mails angemessen Zeit nimmt, um Inhalte, Anlagen und Adressen zu kontrollieren.
Gerade beim Versand von Massenmails, können Fehler schnell problematisch werden. Dabei ist eine häufige Fehlerquelle, dass die E-Mail-Adressen nicht in BCC („blind carbon copy“ oder auch Blindkopie), sondern in CC („carbon copy“ oder auch Kopie) verschickt werden. Passiert das, sind alle dort aufgeführten Adressen für alle Empfänger sichtbar.
Bei einem Newsletter-Versand sollten Sie am besten prüfen, ob der Versand über eine spezielle und angepasste Software erfolgen kann. Durch die entsprechenden Tools kann der Versand möglichst sicher erfolgen. Prüfen Sie hierbei, ob ein AVV-Vertrag (Auftragsverarbeitung) benötigt wird.
Gegenmaßnahmen um falschen Mail-Versand zu vermeiden
Wir haben Ihnen ein paar Tipps zusammengefasst, um Datenschutzpannen beim E-Mail-Versand zu vermeiden:
- Kontrollieren Sie den Empfänger noch einmal genau, bevor Sie die Mail versenden (Achtung bei der automatischen Vervollständigung von Adressen!).
- Prüfen Sie den E-Mail-Verteiler: Sind alle im Verteiler berechtigt, die personenbezogenen Daten zu sehen.
- Kontrollieren Sie den Anhang: Passt der Anhang zum Empfänger?
- Massenmails immer an BCC-Empfänger senden – Adressen nicht in CC setzen.
- Auch E-Mail-Gruppen, die man sich im Postfach angelegt hat, sollten vor dem Versand geprüft werden.
- Versenden Sie Newsletter immer aus spezieller, angepasster Software.
- Sensibilisieren Sie Ihre Mitarbeiter für dieses Thema (Mitarbeiterschulungen, Arbeitsanweisungen) und Datenpannen dürfen nicht verschwiegen werden.
- E-Mails, die personenbezogene Daten enthalten, sind immer zu verschlüsseln. (Lesen Sie mehr dazu hier.)
Datenpannen nicht verschweigen
Eine Datenpanne, gerade im E-Mail-Versand kommt öfter vor, als man denkt. Im stressigen Alltag, kann dies passieren. Wichtig ist dabei, dass man alle Mitarbeiter für den sicheren Umgang mit E-Mails sensibilisiert. Darüber hinaus sollte aber auch klar gemacht werden, dass jeder Fehlversand von Unterlagen oder sichtbaren E-Mail-Adressen eine Datenpanne darstellt, die ggf. meldepflichtig ist.
Mindestens genauso wichtig, wie das genaue Arbeiten mit personenbezogenen Daten, ist aber auch, dass solche Datenpannen kommuniziert und geprüft werden. Kommt es zum Beispiel zu einer Beschwerde durch einen Betroffenen, kann dies über ein Bußgeld hinaus auch zu einem Schadensersatzanspruch führen. Nicht zu reagieren ist daher niemals eine Option.
Eine Meldung einer Datenpanne erfolgt dabei immer mit der Abwägung des Risikos für den Betroffenen und sollte immer mit dem Datenschutzbeauftragten abgesprochen sein. Der externe Datenschutzbeauftragte kann darüber hinaus durch regelmäßige Einschätzungen (z.B. in einer Datenschutz-Erstberatung oder bei einem regelmäßigen Datenschutz-Audit) Schwachstellen im Datenschutz aufdecken und Empfehlungen geben, diese zu beheben. Auch bei Datenpannen sollte immer der (externe) Datenschutzbeauftragte hinzugezogen werden.
Datenschutzberater.NRW bietet Ihnen neben diesem Service auch noch weitere Angebote im Bereich Datenschutz an. Nehmen Sie gerne mit uns Kontakt auf und wir erstellen Ihnen ein praxisnahes und individuelles Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten. Wir betreuen Mandanten im Großraum Köln, Düsseldorf, Bonn, Siegen, Gummersbach, Siegburg und ganz NRW.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.