Datenverluste richtig vermeiden
Über gleich zwei Datenpannen wurde in der vergangenen Woche in den Medien berichtet. Egal ob Hackerangriff oder interne Panne – Datenverluste müssen nach den Vorgaben im Datenschutz bestimmte Aktionen nach sich ziehen. Die zwei Vorfälle sind für uns Grund genug, um noch einmal zu erklären, welche dies sein können.
BLOG-TIPP: RISIKO-BEURTEILUNG NACH DS-GVO
Datenpanne Stadt Köln – Nummernschilder waren öffentlich sichtbar
Laut Medienberichten hat die Stadt Köln aus Versehen ca. 45.000 Kennzeichen von Fahrzeugen veröffentlicht. Hintergrund ist, dass seit 2007 auf dem städtischen Open-Data-Portal die Daten von Geschwindigkeitsverstößen veröffentlicht werden. Im Normalfall stehen dort Informationen zu Datum, Uhrzeit und Ort, an dem die Fahrzeuge geblitzt wurden.
Ein Teil des Kennzeichens, welches bis auf die Ortskennung anonymisiert wird, wurde dabei auch immer veröffentlicht. Daten aus dem Mai 2020 standen, wie jetzt bekannt wurden, unverschlüsselt im Internet – für alle einsehbar.
BLOG-TIPP: BEI DER BROWSERNUTZUNG KÖNNEN UNBEMERKT PERSONENBEZOGENE DATEN VERARBEITET WERDEN
Nummernschilder sind personenbezogene Daten
Personenbezogene Daten, sind solche Daten, die einen Rückschluss auf eine natürliche Person zulassen können. Nummernschilder gehören daher zu personenbezogenen Daten. Da diese im Netz einsehbar waren, handelt es sich dabei vermutlich um eine Datenschutzverletzung. Zum Beispiel wurden hier – so Verwaltungsrechtler – personenbezogene Daten ohne Rechtsgrund offenbart.
Die Daten waren rund 15 Monate online einsehbar. Erst nach der Anfrage der Presse wurde der Datensatz durch die Stadt Köln entfernt, der Datenschutzbeauftragte der Stadt und die Aufsichtsbehörde wurden informiert. Wie genau die Datenpanne passieren konnte, ist bisher nicht bekannt.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Hotelkette Motel One – Daten von Hotelgästen im Darknet
Auch bei Hotelkette Motel One wurden personenbezogene Daten veröffentlicht. Hier wurden die Daten vermutlich durch Hacker abgegriffen und waren im Darknet veröffentlicht. Laut Medienberichten wurden vollständige Übernachtungslisten mit den persönlichen Daten der Gäste, interne Geschäftszahlen und Handynummern von Mitarbeitern veröffentlicht.
BLOG-TIPP: HACKERANGRIFF UND DATENSCHUTZ
Hacker wollen Geld erpressen
Laut aktuellen Berichten, wollten die Hacker mit der Veröffentlichung der Daten Geld erpressen. Das Unternehmen hat nach eigenen Angaben Strafanzeige gestellt und die Kreditkarteninhaber zum Beispiel über den Verlust der Daten informiert.
BLOG-TIPP: HACKERANGRIFFE UND DIE DS-GVO – WENN PERSONENBEZOGENE DATEN VERLOREN GEHEN
Datenpannen – Wie Unternehmen sich richtig verhalten
Wenn personenbezogene Daten abgegriffen werden zum Beispiel durch Hacker oder auch versehentlich durch einen Fehler veröffentlicht werden, also immer dann, wenn diese unrechtmäßig verarbeitet werden, handelt es sich um eine Datenpanne.
Wenn so etwas vorkommt, dann muss der Verantwortliche entsprechende Maßnahmen ergreifen. In manchen Fällen ist eine solche Datenpanne zum Beispiel meldepflichtig. Das bedeutet, dass diese bei der zuständigen Aufsichtsbehörde – in NRW ist dies die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) NRW – gemeldet werden muss. Diese Meldung muss innerhalb von 72 Stunden erfolgen. Diese Frist gilt unabhängig von Feiertagen und Wochenenden.
In bestimmten Fällen müssen auch die Betroffenen direkt informiert werden. Wichtig ist im Folgenden auch, dass die möglichen Schwachstellen, durch die die Datenpanne entstehen konnten, für die Zukunft geschlossen werden.
BLOG-TIPP: PRAXISTIPP: MELDEPFLICHTEN BEI DATENPANNEN
Bei Datenpanne immer Datenschutzbeauftragten hinzuziehen
Wenn eine Datenpanne vorliegt, sollte der interne oder externe Datenschutzbeauftragte (falls vorhanden) hinzugezogen werden.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.