Wenn Sie unseren Newsletter regelmäßig lesen, werden Ihnen schon so manche Tipps geläufig sein, wie Strafen der Datenschutzbehörde vermieden werden können. Eine im November 2022 erlassene Entscheidung zeigt, dass Sie Datenpannen auch dann nicht auf die leichte Schulter nehmen sollten, wenn der Betroffene das Leck seiner Daten selbst herbeigeführt hat.
Was war passiert?
Ein Kunde schloss einen Vertrag mit einem Telekommunikationsunternehmen ab. Im Zuge dessen gab er seine E-Mailadresse an, um den Vertrag auch auf elektronischem Weg zu erhalten. Nachdem der Kunde seine Daten mit Unterschrift als richtig bestätigte, wurde der Vertrag automatisch an die angegebene Mailadresse geschickt. Im Nachhinein fiel dem Kunden auf, dass er bei Vertragsabschluss irrtümlich eine falsche E-Mailadresse angegeben hatte und meldete dies dem besagten Unternehmen. Bereits zu diesem Zeitpunkt hätte dem Unternehmen klar sein sollen, dass es zu einer Datenpanne gekommen war. Ein Verstoß der DSGVO war für das Unternehmen jedoch nicht erkennbar und es kam daher nicht auf die Idee den Vorfall der Datenschutzbehörde zu melden. Immerhin hatte der Kunde seine E-Mailadresse ja freiwillig mit dem Wissen angegeben, dass eine Kopie seines Vertrages an die von ihm angegebene und als richtig bestätigte Adresse geschickt werden würde.
Inzwischen wandte sich der (dann falsche) Empfänger der E-Mail an die polnische Datenschutzbehörde, da ihm vom Telekommunikationsunternehmen der Vertrag zugeschickt wurde, der offensichtlich für eine andere Person mit demselben Namen bestimmt war. Der Vertrag enthielt personenbezogene Daten wie Name, Adresse, Telefonnummer, Personalausweisnummer und PESEL-Nummer (nationale Identifikationsnummer).
Die Behörde sah dies natürlich als Datenpanne und verhängte gegen das Unternehmen eine Strafe in der Höhe von umgerechnet 53.154 €.
Warum wurde das Unternehmen bestraft und wie hätte die Strafe vermieden werden können?
Die Tatsache, dass der Kunde selbst seine E-Mailadresse angegeben und auch bestätigt hatte, änderte nichts daran, dass es sich um eine Datenschutzverletzung mit hohem Risiko einer realistischen negativen Beeinträchtigung der Rechte und Freiheiten des Kunden handelte. Das Unternehmen hätte die falsche Email-Adresse auf keinen Fall mehr verwenden dürfen. Die Datenpanne hätte jedenfalls an die Datenschutzbehörde gemeldet werden müssen und auch der Kunde hätte über die Verletzung des Schutzes seiner Daten informiert werden müssen.
Erschwerend wertete die Datenschutzbehörde insbesondere die Art und den Inhalt der betroffenen Daten. Das Risiko einer Datenpanne und der soziale und wirtschaftliche Wert der Daten hätten dem Unternehmen bewusst sein müssen. Erschwerend war auch die Tatsache, dass keine Meldung an die Behörde erfolgte, obwohl das Unternehmen bereits zweimal, sowohl vom Kunden, als auch dem Empfänger des Vertrages, über die erfolgte Datenschutzverletzung informiert worden war.
Unsere Praxistipps bei Datenpannen
• Verständigen Sie unverzüglich (jedoch LÄNGSTENS binnen 72 Stunden) die zuständige Aufsichtsbehörde.
• Informieren Sie bei hohem Risiko die betroffene Person, auch wenn Sie davon ausgehen, dass sie schon von der Datenschutzverletzung Kenntnis hat.
• Kontaktieren Sie uns, wir unterstützen Sie bei Datenpannen 24/7 😉