Datenpanne in Berlin?

In Berlin sind aufgrund einer technischen Störung Daten einer Datenschutz- aufsichtsbehörde gelöscht worden.

 

 

 

Stellen Sie sich Folgendes Szenario vor:

Sie reichen bei der Aufsichtsbehörde - uU am letzten Tag einer Frist - eine Beschwerde über das Online-Formular, das die Behörde anbietet, ein. Diese beinhaltete auch personenbezogene Daten. Die Beschwerde geht auch bei der Aufsichtsbehörde ein, aber aufgrund eine technischen Fehlers werden die Daten gelöscht

 

So geschehen nun in Berlin! Auf der Website der Berliner Beauftragten für den Datenschutz und die Informationsfreiheit (Stand 25.02.2020) wurde folgende Information veröffentlicht:

 

Die Folgen?

Die Aufsichtsbehörde ersucht, das Formular erneut auszufüllen. Die Beschwerde kann daher ein weiteres Mal eingereicht werden. 

Ein Databreach?

Auch eine Datenschutzaufsichtsbehörde muss sich an die DSGVO und die sonstigen datenschutzrechtlichen Bestimmungen halten.

 

Wenn die Aufsichtsbehörde schreibt, dass die Beschwerden neuerlich eingebracht werden sollen, dann ist wohl davon auszugehen, dass der Datenverlust unwiderbringlich ist. 

 

Ein unwiderbringlicher Verlust von Daten, der auch personenbezogene Daten betrifft, ist als Datenschutzverletzung anzusehen. Art 4 Z 12 DSGVO definiert die Verletzung des Schutzes personenbezogener Daten als 

 

eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

 

Art 32 DSGVO legt fest, dass die personenbezogenen Daten vom Verantwortlichen durch technische und organistorische Maßnahmen auch gegen den Verlust zu sichern sind. Die "Verfügbarkeit" der Daten spielt in der DSGVO eine wesentliche Rolle.

 

Information an die Aufsichtsbehörde?

Wenn nicht ausgeschlossen ist, dass durch den Verlust bzw. die Vernichtung dieser personenbezogenen Daten, dh den unwiderbringlichen Verlust der eingereichten Beschwerden, ein Schaden für die betroffenen Personen entsteht, dann ist die Aufsichtsbehörde iSd Art 33 DSGVO zu informieren. Eine Data Breach Notification ist unverzüglich, jedenfalls aber binnen 72 Stunden, durchzuführen

Information der betroffenen Personen?

Wenn der Datenverlust voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zu Folge haben kann, dann hat der Verantwortliche auch die betroffenen Personen zu benachrichtigen. 

 

Die öDSB ist davon ausgegangen, dass bei einem Verlust eines Suchmittelbuches die Betroffenen iSd Art 34 DSGVO zu benachrichtigen sind. Die finnische Datenschutzbehörde hat festgestellt, dass Anträge, die an eine Sozialversicherung gestellt werden, und die als Postpaket auf dem Weg zum Scannen verloren werden, die Verpflichtung zur Information auslösen.

 

Wenn nun die Aufsichtsbehörde in Berlin keine Möglichkeit hat, die betroffenen Personen zu identifizieren, und davon ausgehen muss, dass ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen mit dem Verlust der Daten verbunden ist, dann kann auf die finnische Entscheidung verwiesen werden. Die Aufsichtsbehörde ging in diesem Fall davon aus, dass eine öffentliche Bekanntmachung notwendig ist, um die betroffenen Personen zu informieren.

 

Die Verpflichtung zur Information wird davon abhängig sein, welche Folgen der Verlust der Daten hat. Wenn es sich um (fristgebundene) Beschwerden gehandelt hat, die dann dazu führen, dass das Beschwerderecht nicht mehr geltend gemacht werden kann (im österreichischen DSG gibt es hierfür in § 24 Abs 4 DSG Fristen, zB 1 Jahr nach Kenntnis vom beschwerenden Ereignis (dh zB einer fehlerhaften Auskunft).

Das war nicht das erste Mal

Auf Twitter gibt es dazu eine Diskussion und es wird darauf verwiesen, dass diese technische Störung nicht das erste Mal passiert ist. Schon im Oktober 2018 sind Daten aus Beschwerden über das Online-Formular gelöscht worden.

 

 

 

25.02.2020, Autor:
Michael Schweiger, zert DSBA

Kommentar schreiben

Kommentare: 0