HMDATA Datenschutz-Newsletter 02/21

Aufgedrängt und ungefragt: fremde personenbezogene Daten erhalten?

HMDATA Datenschutz-Newsletter 05/2021, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Was tun, wenn man unabsichtlich Empfänger von personenbezogenen Daten Dritter wird?
Man kennt es ja: einmal nicht aufgepasst und schon geht die vertrauliche eMail mit den Kundendaten an einen falschen Empfänger. Zumindest, wenn man die 5-Sekunden-Durchschnaufregel nicht kennt.

Nur was, wenn man eben dieser jene Empfänger ist, den ein anderer versehentlich ausgewählt hat?
Oder aber ein Kunde nutzt die Kommunikationssysteme des Unternehmens und gibt viel zu viel von sich oder Dritten an. Schon hat man Zugang zu möglicherweise vertraulichen Daten Betroffener, ohne dies explizit gewollt zu haben.

Die Theorie

Betrachtet man den Fall aus datenschutztheoretischer Sicht, ergibt sich folgender Sachverhalt: es handelt sich wohl meist um automatisierte, da „elektronische“ Kommunikation personenbezogener Daten. Insofern könnte daraus die Zuständigkeit der DSGVO abgeleitet werden. Und auch nach Art. 4 Abs. 2 DSGVO wäre eine Verarbeitung zumindest in Form eines Erhebens oder bspw. bei E-Mail-Systemen auch eines Speicherns gegeben. Das würde aber bedeuten, dass eine rechtliche Grundlage existieren müsste, die bei einer versehentlichen oder fahrlässigen Zustellung sicherlich nicht gegeben ist.
Der Konflikt wird glücklicherweise gelöst, da gängige Lehrmeinung ist, dass für die Zuständigkeit der DSGVO für die Verarbeitung durch eine verantwortliche Stelle auch ein aktives Zutun notwendig ist.
Und das ist mit Sicherheit bei dermaßen durch Fahrlässigkeit eines Dritten aufgedrängten Daten nicht der Fall, somit findet auch keine Verarbeitung nach DSGVO statt und es sind keine datenschutzrechtlichen Konsequenzen zu befürchten. Ebenso hat die reine Kenntnisnahme keine Auswirkungen.

Auswirkungen

Für ein korrektes Verhalten beim Umgang mit aufgedrängten Daten sind nun feine Unterschiede zu beachten. Zum einen wird die Kenntnisnahme meist per eMail erfolgen. Hierbei ist zu beachten, dass der Betrieb eines revisionssicheren E-Mail-Archives nach GODB verpflichtend und datenschutzrechtlich nach Art. 6 Abs. 1 lit. c DSGVO eine Grundlage besitzt. Der Zugriff ist allerdings streng administrativ beschränkt, eine weitergehende Verarbeitung durch den Mitarbeiter wäre nicht gedeckt. Daher folgt als Konsequenz, dass die aufgedrängten Daten unmittelbar gelöscht werden müssen. Auch eine Schwärzung oder Teillöschung der die personenbezogenen Daten betreffenden Stellen wäre denkbar. Eine Speicherung zur Bearbeitung zu einem späteren Zeitpunkt wäre allerdings bereits kritisch. Sollte allerdings weder Löschung noch Unkenntlichmachung erfolgen können oder die Verarbeitung erwünscht sein, muss eine rechtliche Grundlage geschaffen werden und es würden die Informationspflichten des Betroffenen (nicht des Absenders!) nach Art. 13 DSGVO ausgelöst werden. Dies gilt es in der Praxis zu vermeiden.
Es empfiehlt sich daher, die Mitarbeiter zum Thema zu sensibilisieren und zu schulen.

Umsetzung in der Praxis

Eine weitere Pflicht zum Umgang mit aufgedrängten Daten entsteht nicht, man muss also weder Absender noch Betroffenen informieren. Dies allerdings nur, wenn umgehend gelöscht wird, ansonsten tritt die DSGVO in Kraft mit der Pflicht zur Schaffung einer gesetzlichen Grundlage der Verarbeitung nach Art. 6 Abs. 1 DSGVO und der Information des Betroffenen nach Art. 13 DSGVO. Man kann also auch nicht vom Absender der aufgedrängten Daten gezwungen werden, die Daten zu löschen oder einen Nachweis der Löschung erbringen zu müssen. Kommt man dem aber nicht freiwillig und vorbeugend durch die eigene Compliance nach, müsste man eine Verarbeitung nach DSGVO wie o.a. durchführen.

Insofern ist die umgehende Löschung aufgedrängter Daten im Regelfall unumgänglich.

Ob denn nun der Absender auf Grund seiner Fahrlässigkeit auf die Datenpanne hingewiesen wird oder nicht, liegt im persönlichen Ermessen.
Dies kann u.U. notwendig sein, sollte vom gleichen Absender oder dessen Firma öfter fehlerhaft personenbezogene Daten zugesandt werden, da immer das Risiko besteht, bei nicht korrektem internen Umgang eine eigene Datenschutzverletzung durch Nichtlöschung zu begehen und außerdem zu vermuten ist, dass beim Absender keine ausreichende DSGVO-Konformität besteht.

Sollte man sich hierzu entscheiden, wäre Folgendes zu beachten:

  1. a) auf keinen Fall die Original-E-Mail vollständig zurücksenden, insb. nicht den Passus oder Anhang mit den personenbezogenen Daten des Betroffenen. Ansonsten tritt man selbst als Verarbeiter ohne rechtliche Grundlage auf, das wäre dann eine Datenpanne. Idealerweise wäre hier ein kurzes neutrales Schreiben ohne Bezug auf den Inhalt.
  2. b) nichts versprechen, was man nicht halten kann. Wenn man eine Löschung schriftlich bestätigt, muss diese auch konsequent und tatsächlich durchgeführt sein. Bei komplexen Kommunikationssystemen mit mehreren Auftragsverarbeitern mag dies nicht immer ersichtlich trivial sein.
  3. c) je nach Bedarf kann man auch den Hinweis ergänzen, bei mehrfachem Vorkommen die Datenpanne des Versendenden behördlich anzuzeigen, damit zukünftig auch dort die DSGVO beachtet wird und man selbst von aufgedrängten Daten verschont bleibt.

Fazit

Der Erhalt aufgedrängter Daten ist grundsätzlich kein Problem, wenn umgehend gelöscht wird. Das sollten aber alle Mitarbeiter wissen und beherzigen.

©2024 by Harald Müller-Delius. Dieser Text ist urheberrechtlich geschützt. Das Verwenden - auch in Auszügen - ist nur nach ausdrücklicher schriftlicher Genehmigung durch den Autor gestattet. Jede widerrechtliche Nutzung ist untersagt. Für diesen Text können Nutzungsrechte erworben werden, Anfragen zur Nutzung per E-Mail an hmd@hmdata.de