Smartphone weg! Was nun?
PSP Case Study zur DSGVO: Praxisfall 35

DSGVO: Praktischer Fall

Die Huber AG hat Frau Maier ein Smartphone zur betrieblichen (E-Mails, Kontakte, Telefonie, Internet etc.) und privaten Nutzung zur Verfügung gestellt. Frau Maier nutzt dieses Smartphone nur sporadisch, findet es aber nun schon seit einer Woche nicht mehr, und gibt nun eine „Vermisstenanzeige“ bei der Huber AG auf. Der Datenschutzbeauftragte der Huber AG sinniert, ob er den Vorfall melden soll.

Nach der DSGVO ist eine „Datenpanne“ – also auch das „Vermissen“ personenbezogener Daten ohne Kenntnis ihres Aufenthaltsorts – binnen 72 Stunden an die zuständige Datenschutzaufsichtsbehörde zu melden. Im gesetzestechnischen Sinne ist eine „Datenpanne“ die Verletzung des Schutzes personenbezogener Daten – also nach der Definition in Art. 4 Nr. 12 DSGVO, dass eine „Verletzung der Sicherheit“ der Daten (im Sinne von Art. 32 DSGVO) vorliegt. Diese Verletzung der Sicherheit muss dazu geführt haben, dass die Daten außerhalb der rechtmäßigen Verarbeitung vernichtet, verloren oder verändert wurden oder dass auch nur eine unbefugte Offenlegung bzw. ein unbefugter Zugang zu den Daten stattgefunden hat (s. dazu auch noch Fall 41).

Wie schlimm ist’s?

Ist diese Voraussetzung eines Datenschutzverstoßes (Sicherheitsverletzung) erfüllt, besteht die Meldepflicht nur dann nicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ (Art. 33 Abs. 1 DSGVO). Da es eine vollkommen risikolose Verarbeitung nicht geben kann, ist diese Formulierung als „nur zu einem geringen Risiko führend“ zu verstehen. Es muss also im Rahmen einer Risikoanalyse ein „geringes Risiko“ von einem „nicht-geringen Risiko“ abgegrenzt werden. Die Frage ist nur, was das bedeutet. Die Datenschutzkonferenz hat im Kontext der in Art. 24, 32 DSGVO geforderten Risikobewertung eine Risikomatrix veröffentlicht, wonach der mögliche Schaden und die Eintrittswahrscheinlichkeit zu ermitteln und zu quantifizieren sind (s. dazu noch Fall 37). Ein geringes Risiko liegt vor, wenn sowohl der mögliche Schaden als auch dessen Eintrittswahrscheinlichkeit als „gering bis überschaubar“ eingeschätzt werden. Nach Empfehlungen aus der Beratungspraxis sollte diese Risikobewertung, bezogen auf die konkrete Datenpanne, „bestenfalls von einem außenstehenden unabhängigen Gutachter vorgenommen werden, damit sich das Unternehmen im Falle einer möglichen Datenschutzverletzung auch gegenüber einer Aufsichtsbehörde entsprechend positionieren kann“. Da sollte das eine oder andere Unternehmen wohl am besten gleich einmal feste Kontingente bei „unabhängigen Gutachtern“ buchen.

Wie wahrscheinlich ist die Überwindung der Sicherheitshürden?

Im Vorfeld der Risikobewertung ist das verantwortliche Unternehmen (natürlich) zu einer Aufklärung des entsprechenden Sachverhalts verpflichtet. Der Verantwortliche kann sich nicht darauf berufen, er habe mangels Kenntnis der Details keine Meldung vornehmen können. Aber der Verantwortliche muss auch den zugrundeliegenden technischen Basissachverhalt (Verwendung unternehmenseigener Smartphones) bewertet und (risikoabhängig) „im Griff“ haben, und zwar schon vor der konkreten Anwendung (Art. 25 Abs. 1 DSGVO). Bei einem Smartphone stellt sich in diesem Zusammenhang – wie auch bei anderen mobilen IT-Geräten – die Frage, wie sicher die Daten im Hinblick auf einen Zugriff Dritter sind, der das Gerät in die Hand bekommt. Ist der Inhalt des Geräts verschlüsselt? Welche Verschlüsselungsform bzw. welcher Zugangsschutz liegt vor (Datenträgerverschlüsselung, Kennwortschutz)? Wie komplex ist das verwendete Kennwort? Wurde es irgendwo zugänglich aufbewahrt (Sticker am Monitor etc.)? Mit welchen Hilfsmitteln kann der Inhalt auch ohne Kenntnis des Kennworts entschlüsselt werden („brute force“-Angriff, Software- oder Hardware-Lücke)? Vielleicht gibt es Methoden, den Schutz zu „knacken“, die in der Öffentlichkeit noch gar nicht bekannt sind? Hat sich insoweit etwas Neues ergeben (s. zur „Monitoring-Pflicht“ Fall 32)? „Unknackbare“ Geräte gibt es schlichtweg nicht.

Natürlich ist – wie immer – streitig, ob eine Verschlüsselung der Daten dazu führt, dass von keinem relevanten Risiko ausgegangen werden darf. Nach dem Datenschutz- und Informationsfreiheitsbericht 2019 der Landesdatenschutzbeauftragten in Nordrhein-Westfalen ist ein Schadenseintritt höchst unwahrscheinlich, wenn die Daten „sicher verschlüsselt“ sind – was immer das heißt. Der Vorfall ist dann nicht an die Behörde zu melden, sondern „nur“ intern zu dokumentieren und die entsprechenden Maßnahmen zu ergreifen, um künftig solche Vorfälle zu vermeiden. Wie soll das beim Verlust eines Smartphones umgesetzt werden? Anketten?

Auch das noch!

Im Übrigen hätte Frau Maier, die das Smartphone auch privat nutzt und damit entsprechend Verantwortliche für die privat genutzten Daten (Kontaktdaten, Chats etc.) ist, diese Risikoabwägung auch selbst anstellen müssen (s. Fall 18). Dann ist es natürlich zumindest „erklärungsbedürftig“, wenn einer der Verantwortlichen – der Arbeitgeber oder der Arbeitnehmer als Privatperson und Verantwortlicher der privaten Daten – eine solche Meldung abgibt, der andere aber nicht.

Benachrichtigung der Betroffenen?

Ein deutsches Elektronikversandunternehmen veröffentlichte im November 2019 auf seiner Website die Information, dass Unbekannte über Monate hinweg auf 14 Millionen (unverschlüsselte) Kundendatensätze zugreifen konnten. Die Daten umfassten Postadressen, teilweise E-Mail-Adressen, Fax- und Telefonnummern sowie bei ca. 2,8 Millionen Datensätzen auch IBAN-Daten der Kunden. Bei der Aufklärung arbeitete das Unternehmen nach eigenen Angaben eng mit dem zuständigen Bayerischen Landesamt für Datenschutzaufsicht zusammen. Die Kunden wurden nicht, wie von Art. 34 DSGVO Abs. 1 DSGVO vorgegeben, individuell benachrichtigt (die Information auf der Webseite stellt keine individuelle Benachrichtigung dar).

Dies wirft die Frage auf, wann im Rahmen einer Datenpanne ein „hohes Risiko“ für die Betroffenen vorliegt, sodass diese nach Art. 34 DSGVO zu informieren sind. Die Abwägung der Risiken für die „Rechte und Freiheiten natürlicher Personen“ wird noch in Fall 37 im Detail dargestellt. In Bezug auf die Kundeninformationen im oben geschilderten Fall kann hier zunächst festgehalten werden, dass mit den IBAN-Informationen spezifische Zahlungsinformationen „entkommen“ konnten (Risiko des Missbrauchs des Lastschriftverfahrens). Die E-Mail-Adressen können – ggf. unter Zuhilfenahme von Namen, Adressen und Telefonnummern, was den Anschein der Rechtsmäßigkeit erhöht – für Malware oder Phishing-Mails missbraucht werden. Mittels der Telefonnummern (aber auch der Adressen, dort nur mit höherem Aufwand) können die Kunden belästigt werden. Ob dies nun ein „hohes Risiko“ für die Betroffenen bedeutet, mag jeder selbst entscheiden.

Im Ausgangsfall wäre eine genügend „starke“ Verschlüsselung hingegen schon geeignet, auch bei sensiblen Daten – und damit „eigentlich“ hohem Risiko – die Information an die Betroffenen jedenfalls entfallen zu lassen. Dies wurde ausnahmsweise relativ ausdrücklich geregelt (Art. 34 Abs. 3 lit. a DSGVO).

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden