Kategorie: Datenschutzmanagement

Einbindung des Datenschutzbeauftragten

Einbindung des Datenschutzbeauftragten

Bußgeld wegen fehlender Einbindung des Datenschutzbeauftragten

Wegen der unzureichenden Einbindung des Datenschutzbeauftragten musste ein Unternehmen aus Luxemburg nun ein Bußgeld in Höhe von 15.000 Euro zahlen. Der betreffende Datenschutzbeauftragte wurde nicht bei allen Datenschutzfragen einbezogen. Die Behörde stellte daher u.a. einen Verstoß gegen Art. 38 Abs. 1 DSGVO fest. Hiernach ist sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Fragen, die mit dem Schutz personenbezogener Daten zusammenhängen, eingebunden wird.

 

Fälle der Einbeziehung

In der Praxis ist eine Einbindung des Datenschutzbeauftragten insbesondere in folgenden Fällen erforderlich:

  • vor der Auswahl eines Auftragsverarbeiters,
  •  vor der Aufnahme neuer Verarbeitungstätigkeiten,
  • bei Datenschutzvorfällen,
  • bei der Durchführung einer Datenschutz-Folgenabschätzung,
  • bei der Gestaltung von Betriebs- bzw. Dienstvereinbarungen,
  •  bei allen sonstigen Projekten und Maßnahmen, bei denen personenbezogene Daten eine Rolle spielen

 

Datenschutzorganisation

Die Einbindung des Datenschutzbeauftragten erfordert überhaupt erstmal eine Organisation des Datenschutzes im eigenen Unternehmen. Im ersten Schritt ist die Benennung des Datenschutzbeauftragten allen Mitarbeitern bekannt zu machen. Um als Ansprechpartner für das Thema Datenschutz im Unternehmen zur Verfügung zu stehen, sollten neben den Kontaktdaten vor allem die Aufgaben und Zuständigkeiten des Datenschutzbeauftragten in einer Leitlinie zusammengefasst werden. Nach dieser sollte jeder Mitarbeiter verpflichtet werden, datenschutzrelevante Themen an den Datenschutzbeauftragten zu melden.

 

Frühzeitige Einbindung

Oft werden dem Datenschutzbeauftragten abgeschlossene Vorgänge zur Kenntnis gebracht. Dann ist es meist zu spät, um noch Veränderungen zu bewirken oder grundsätzliche Fragen mit der Aufsichtsbehörde abzustimmen. Die Einbindung des Datenschutzbeauftragten sollte daher möglichst schon im Prozess der Auswahl oder Entscheidung über eine neue Verarbeitungstätigkeit erfolgen. Nur so wird sichergestellt, dass auch die Anforderungen der DSGVO berücksichtigt werden und nachträglich kein zusätzlicher Planungsaufwand entsteht. Sinnvoll ist es daher zum Beispiel auch, den Datenschutzbeauftragten bereits vor der Auswahl eines neuen Dienstleisters oder vor dem Kauf einer neuen Software ins Boot zu holen.

Rechtsanwalt Robert Harzewski

Fehlversand von Bewerberdaten

Fehlversand von Bewerberdaten

Bestimmte Gruppen von Betroffenen sind besonders sensibel zu behandeln. Hierzu zählen insbesondere abgelehnte Bewerber. Dies musste nun auch eine Privatbank erleben und für den Fehlversand von Bewerberdaten 1.000 Euro Schadensersatz zahlen.

 

Was war passiert?

Als die Bank eine Nachricht über Xing an einen Bewerber schicken wollte, ging diese fehl und erreichte einen unbeteiligten Dritten. Die Nachricht enthielt u.a. auch Angaben darüber, dass sich der Bewerber als Händler beworben hatte und dass seine Gehaltsvorstellungen zumindest über der Jahresvergütung in Höhe von 80.000 € liegen. Nachdem der Bewerber für die Stelle nicht weiter berücksichtigt wurde, beschwerte sich dieser über den Fehlversand und, dass er von der Bank nicht informiert wurde. Der Datenschutzbeauftragte der Bank bestritt, dass die Bank für die falsche Versendung verantwortlich sei und verneinte insoweit einen Datenschutzverstoß.

 

Entscheidung

Das angerufene Landgericht Darmstadt (Urteil vom 26.05.2020, Az.: 13 O 244/19) verurteilte die Bank daraufhin zur Zahlung eines Schmerzensgeldes in Höhe von 1.000 Euro.
Bei einer Datenpanne bzw. Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) ist bei einem hohen Risiko neben der Meldung bei der Aufsichtsbehörde auch eine Unterrichtung des Betroffenen selbst vorgesehen (Art. 34 DSGVO).
Das Gericht nahm durch den Fehlversand von Bewerberdaten ein hohes Risiko an, da der Bewerber die Kontrolle über seine Informationen verloren hatte. Die fehlgegangen Daten waren zu einer Benachteiligung des Bewerbers geeignet, da diese Informationen an etwaige Konkurrenten für einen Arbeitsplatz gelangen oder gar seinen Ruf schädigen konnten. So hätte auch der derzeitige Arbeitgeber des Bewerbers erfahren können, dass sich dieser nach anderweitigen Arbeitsstellen umschaut.
Da die Bank den Bewerber nicht unverzüglich über den Fehlversand informiert hatte, nahm das Gericht einen Verstoß gegen die Meldepflicht an. Zudem stellte es eine Verletzung von Art. 6 DSGVO fest, da die Bank für den Fehlversand keine Rechtsgrundlage habe.
Das Landgericht erachtet dabei ein Schmerzensgeld in Höhe von 1.000 Euro für angemessen, da der Bewerber keine weiteren beruflichen oder persönlichen Beeinträchtigungen erlitten hat und die Nachricht nur an einen Dritten fehlgeleitetet wurde.

 

Kein Nachweis einer Schulung begründet Wiederholungsgefahr

Neben dem Zuspruch von Schadensersatz sprach sich das Gericht auch für eine Wiederholungsgefahr in Bezug auf die von der Bank abzugebende Unterlassungserklärung aus. Eine solche kann grundsätzlich nur widerlegt werden, wenn nach allgemeiner Lebenserfahrung nicht mehr mit einem Verstoß zu rechnen ist. Der Umstand des Zeitraums, in dem seit der Rechtsverletzung bis zum Urteil keine weiteren Probleme bzw. Rechtsverletzungen eingetreten sind, reichte dem Gericht dabei allein nicht aus.
Die Durchführung von Schulungsmaßnahmen für alle Mitarbeiter war im Verfahren nicht nachweisbar. Zwischen dem Vorfall und einer entsprechenden Benachrichtigung an die Mitarbeiter vergingen mehr als 6 Wochen, so dass seitens der Bank nicht unverzüglich auf die Situation reagiert wurde, um etwaige weitere Verstöße bereits zeitnah bzw. sofort zu verhindern. Darüber hinaus hielt das Gericht eine von neuen Mitarbeitern abzugebende Erklärung allein nicht für ausreichend an, um im Rahmen zumutbarer Maßnahmen weitere zukünftige Verstöße angemessen zu verhindern.

 

Fazit

Eine der häufigsten Datenpannen ist das organisatorische Fehlverhalten durch nicht getroffene technisch-organisatorische Maßnahmen. Hierzu zählen insbesondere
- versehentlichen Falsch-Adressierung von Briefen, Faxen und E-Mails
- die Versendung einer Massen-E-Mail unter Verwendung des cc- statt des bcc-Feldes
- der Zugriff auf vertrauliche Unterlagen infolge fehlender Passwort-Vorgaben oder eines den fachlichen Standards entsprechenden Berechtigungskonzeptes
Der Vorfall zeigt auch, wie wichtig die Reaktion nach Entdeckung eines Datenschutzvorfalls ist.

 

Rechtsanwalt und Datenschutzbeauftragter Robert Harzewski

Passwortwechsel

Passwortwechsel Goodbye

Der regelmäßige Passwortwechsel entsprich nach dem aktuellen IT-Grundschutzkompendium nicht mehr dem Stand der Technik. Das Positive: Bei Verwendung von sicheren Passwörtern sparen Sie
sich also künftig Arbeitsaufwände.

Im entsprechenden Baustein ORP.4.A8 heißt es:

„IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen.“

Die DSK hatte bereits im März 2019 klargestellt, dass ein regelmäßiger Passwortwechsel  nicht mehr erforderlich ist, sofern starke Passwörter verwendet werden.

Um eine Kompromittierung zu erkennen, sollten Nutzer-Passworte mit Blacklists abgeglichen werden, z.B. über https://haveibeenpwned.com/ oder https://sec.hpi.de/ilc/search?lang=de.

Rechtsanwalt Robert Harzewski