Menschenfreundlich, datenschutzfreundlich?
PSP Case Study zur DSGVO: Praxisfall 40

DSGVO: Praktischer Fall

Die Huber AG ist ein Telekommunikationsunternehmen, dessen Kunden ihre Rufnummer bei einem Anbieterwechsel auf einen Dritten übertragen können (Rufnummernportierung). Daneben verfügt die Huber AG über eine „do not call“-Liste derjenigen Kunden, die nicht zu Marketingzwecken kontaktiert werden möchten. Aufgrund einer fehlerhaft implementierten Software wurden in vielen Fällen bei einem Wunsch nach Rufnummernportierung, der später vom Kunden widerrufen wurde (d. h. der Kunde wollte doch Kunde der Huber AG bleiben), der Eintrag des Kunden in der „do not call“-Liste zwar beim ursprünglichen Antrag auf Anbieterwechsel gelöscht (weil die Rufnummer dann generell aus der Kundenkartei entfernt wird), aber beim späteren Widerruf nicht wieder in die Liste aufgenommen. Als Folge hat die Huber AG die betroffenen Kunden wieder für Marketing-Aktionen kontaktiert.

Letztlich geht es hier „nur“ um eine fehlerhaft implementierte Software. Der Fall geht auf einen Bußgeldbescheid der griechischen Datenschutzbehörde vom Oktober 2019 zurück. Die griechische Behörde sanktionierte nicht nur das „legitimationslose“ Ansprechen von (doch beim Telekommunikationsanbieter verbliebenen) Kunden als solches – also den konkreten „Außenverstoß“ –, sondern auch die fehlerhafte Software-Implementierung an sich unter dem Gesichtspunkt der „privacy by design“-Vorgabe (Art. 25 Abs. 1 DSGVO). Ebenso erging es demselben Telekommunikationsunternehmen mit ihrer „Abmelden“-Funktion für aktive Kunden: Wenn diese auf die „unsubscribe“-Schaltfläche drückten, passierte – zumindest seit 2013 – nichts. Etwa 8000 Kunden waren von diesem zweiten Software-Fehler betroffen.

Das dafür in Summe verhängte Bußgeld in Höhe von 400.000 Euro, das auch andere Normen, gegen die verstoßen worden war, umfasste, ist hier nicht so wichtig. Entscheidend ist, dass die (fahrlässig verursachte) Fehlfunktion einer Software sanktioniert wurde: Durch den Fehler war die Software zumindest insoweit nicht mehr „datenschutzfreundlich“. Man kann daraus in erster Näherung den (trivialen) Schluss ziehen, dass wenn eine von einem Unternehmen eingesetzte Software einen Datenschutzverstoß verursacht, nicht nur der verursachte Datenschutzverstoß relevant ist, sondern auch die Fehlerhaftigkeit der Software als Fehlleistung des Verantwortlichen im Rahmen der Planung (Spezifikation).

Diese Anforderungen an die „Prozess-Design-Phase“ betreffen nicht nur die Planung und Implementierung von Software, sondern jegliche technische und organisatorische Maßnahmen, mit denen die Einhaltung der datenschutzrechtlichen Anforderungen sichergestellt werden soll (s. dazu auch oben Fall 37). Schließlich hätte im Ausgangsfall das Register auch manuell geführt werden können und es hätte nur an einer Prozessvorgabe fehlen müssen, bei Widerruf der Portierung die entsprechende Rufnummer wieder auf die „do not call“-Liste zu setzen. Die Austauschbarkeit von technischen Maßnahmen einerseits und organisatorischen Maßnahmen andererseits – und die prinzipiellen Vorzüge der technischen Maßnahme – zeigt ein Fallbeispiel in den Empfehlungen des Europäischen Datenschutzausschusses vom November 2019 zum Thema „privacy by design/by default“ im Hinblick auf ein Löschkonzept (s. dazu auch Fall 14):

The controller collects personal data where the purpose of the processing is to administer a membership with the data subject, the personal data shall be deleted when the membership is terminated. The controller makes an internal procedure for data retention and deletion. According to this, employees must manually delete personal data after the retention period ends. The employee follows the procedure to regularly delete and correct data from any devices, from backups, logs, e-mails and other relevant storage media. To make deletion more effective, the controller instead implements an automatic system to delete data automatically and more regularly. The system is configured to follow the given procedure for data deletion which then occurs at a predefined regular interval to remove personal data from all of the company’s storage media. The controller reviews and tests the retention policy regularly.

Dies macht deutlich, dass die frühzeitige Strukturierung unternehmensinterner Prozesse – oder eben der diese Prozesse automatisierenden Software – unter Datenschutzgesichtspunkten von großer Wichtigkeit ist. In diesem Rahmen muss, wie der Ausgangsfall zeigt, auch ein ausführliches Testen der Funktionen unter realen Bedingungen erfolgen. Ein zwischen 2013 und 2019 nicht funktionierender Software-Bestandteil wäre im Bereich einer unternehmenskritischen bzw. direkt mit dem Geschäftsmodell im Zusammenhang stehenden Funktionalität undenkbar. Im Bereich „nur“ des Datenschutzes schien dies nicht so wichtig zu sein.

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden