Datenpannen durch Fehlversendungen

Eine Mail mit personenbezogenen Daten geht per cc versehentlich an Adressaten, die sie gar nicht erhalten sollten. Personalunterlagen werden per Post an den falschen Herrn Meier geschickt. Alles nicht so schlimm? Eine kurze freundliche Entschuldigung, und alles ist wieder gut? So einfach ist es leider nicht!

In unserem aktuellen Blogbeitrag wollen wir uns daher einmal mit dem Thema Datenpannen und damit beschäftigen, wie Sie diesen vorbeugen können.

Pflicht, Datenpannen zu melden

Die Datenschutz-Grundverordnung (DSGVO) enthält eine Verpflichtung, Verletzungen des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde für den Datenschutz zu melden. Dies muss im Normalfall binnen 72 Stunden geschehen. Sollte Sie die Meldung nicht innerhalb von 72 Stunden machen können, muss die Verzögerung gegenüber der Behörde begründet werden.

Eine Ausnahme hiervon gilt nur dann, wenn voraussichtlich nicht mit Risiken für die betroffenen Personen zu rechnen ist. So regelt es Art. 33 Abs. 1 DSGVO. Wann ein solcher Ausnahmefall vorliegt ist immer eine Einzelfallentscheidung, zu deren Beantwortung in jedem Fall ein Fachexperte hinzugezogen werden sollten.

Dem aber nicht genug. Auch die von einer Datenschutzverletzung betroffenen Personen müssen gegebenenfalls benachrichtigt werden. Das regelt Art. 34 DSGVO. Eine solche Pflicht besteht nach dem Gesetz wenn ein besonders hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen bestehen.

Auch hier gilt:

Besprechen Sie sich dazu mit einem Experten und lassen sich idealerweise von ihrem externen Datenschutzbeauftragten beraten.

Jedes Unternehmen muss sich so organisieren, dass es Datenpannen tatsächlich bemerkt. Anders gesagt: Es muss seine Mitarbeiterinnen und Mitarbeiter dazu verpflichten, Datenpannen auch zu melden.

Vorbeugende Maßnahmen

Noch besser ist es natürlich, wenn solche Pannen erst gar nicht vorkommen. Die häufigste Art von Pannen sind Fehlversendungen. Das zeigen die Statistiken der Aufsichtsbehörden. Sie betreffen sowohl klassische Briefsendungen als auch Mails. Die Gründe sind jeweils unterschiedlich.

Pannen bei Briefsendungen

Bei Briefsendungen ist es schlicht so, dass vor allem jüngeren Mitarbeiterinnen und Mitarbeitern die Übung im Umgang mit Briefen fehlt. Privat schreiben sie kaum welche. Und im Unternehmen sind Briefe tendenziell ebenfalls seltener geworden.

Der Klassiker in diesem Bereich: Es müssen Unterlagen an eine größere Zahl von Adressaten verschickt werden. Auf den Unterlagen steht jeweils die Anschrift des Adressaten, und zwar fehlerfrei. Die Umschläge werden getrennt davon mit der jeweiligen Anschrift versehen. Beim Zusammenführen von Umschlägen und Unterlagen passieren dann die Fehler. Die Unterlagen kommen jeweils in den falschen Umschlag. Das geschieht besonders oft, wenn Praktikanten oder andere wenig geübte Personen damit beauftragt werden.  

Schnell stellt sich dann heraus, dass auch solche scheinbar einfachen Arbeiten eben doch nicht „jeder kann“.

Fensterumschläge als Lösung?

Manche Aufsichtsbehörden empfehlen inzwischen, in solchen Fällen Fensterumschläge zu verwenden. Dann ist es nicht mehr nötig, die Umschläge gesondert zu beschriften. Vielmehr wird die entsprechende Unterlage so in den Umschlag hineingesteckt, dass die Anschrift im Brieffenster erscheint. Das ist an sich keine schlechte Idee. Freilich kann dabei ein anderes Problem auftauchen. Immer wieder beginnt nämlich der Text auf einer Unterlage so nah an der Anschrift, dass Teile des Textes im Brieffenster zu sehen sind. Auch wenn es sich banal anhört, ist hier also genaues Falten des Papiers gefragt. Das verlangt ebenfalls Übung.

Vier-Augen-Prinzip

Eine andere Möglichkeit wäre, nach dem Vier-Augen-Prinzip vorzugehen. Das bedeutet allerdings, dass jeder Brief von zwei Mitarbeitern in die Hand genommen werden muss. Dieser Aufwand ist oft schlicht zu groß.

Pannen bei E-Mails

Klassische Datenpannen beim Versand von E-Mails ist die versehentliche Nutzung der cc-Funktion anstelle der bcc-Funktion, um ein und dieselbe Mail an eine größere Zahl Adressaten zu schicken. Sie wissen nicht, was der Unterschied ist? Dann sollten Sie offen gesagt die Finger davon lassen, mit diesen Funktionen zu arbeiten.

Nur kurz zur Erinnerung:

Bei der bcc-Funktion sieht ein Adressat die Mailadressen der anderen Adressaten nicht, bei der cc-Funktion dagegen schon. Auf diese Weise ist dann schnell einmal eine komplette Kundenliste offengelegt. Dadurch kann dann ein Problem entstehen, das weit über den Datenschutz hinausreicht.

Die Funktion „an alle

Eine ausgesprochen tückische Funktion ist auch die Funktion „an alle“. Mit „alle“ sind dabei dann beispielsweise sämtliche Mitarbeiter eines Unternehmens gemeint, die ein Mailsystem benutzen. Das können Tausende von Mailadressen sein.

Viele Unternehmen behalten die Nutzung dieser Funktion deshalb bestimmten Personen oder Funktionseinheiten vor (beispielsweise der Pforte, wenn sie etwa in einem Notfall eine Warnung verschicken muss, und der Firmenleitung, wenn es zum Beispiel um Weihnachtsgrüße an alle geht). Solche Beschränkungen sind weder Schikane noch Misstrauen. Sie verhindern im Gegenteil Pannen größerer Art.

Wegducken hilft nicht!

In jedem Fall gilt:

Sollte es zu einer Versendungspanne kommen, muss dies sofort dem Vorgesetzten und dem Datenschutzbeauftragten gemeldet werden. Denn nur so kann das Unternehmen seine Meldepflicht gegenüber der Datenschutzaufsicht und betroffenen Personen erfüllen und damit gegebenenfalls auch weiteren Schaden abwenden. Neben der Gefahr eines möglichen Bußgeldes, besteht nämlich auch die Gefahr, dass die Daten zu betrügerischen Zwecken verwendet werden können.

Wir sind TÜV-zertifizierte Datenschutzbeauftragten und stehen Ihnen gerne beratenden zur Seite.