HMDATA Datenschutz-Newsletter 08/24

Datenpanne verursacht, bemerkt ... und dann?

HMDATA Datenschutz-Newsletter 08/2024, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Grundsätzlich gibt es zwei Arten von Datenpannen: Löschung und Exfiltration. Im ersten Fall sind Daten weg, im zweiten Fall sind sie noch da nur hat sich auch ein unbefugter Dritter.
Gegen den ersten Fall hilft ein solides Backup-Konzept, das elementare Pflicht ist ("Kein Backup, kein Mitleid"). Ransomware-Attacken werden durch Präventivmaßnahmen und ebenso durch robuste Backup-Strategien eliminiert.

Dieser Newsletter dreht sich um den zweiten Fall: die Exfiltration, unabsichtlich, fahrlässig oder vorsätzlich. Gegen Vorsatz hilft das Strafrecht, bei Unabsichtlichkeit oder Fahrlässigkeit muss das interne Incident-Management greifen. Es ist allerdings dabei nicht trivial, eine Datenschutzverletzung überhaupt festzustellen, dabei helfen nur professionelle Monitoring-Maßnahmen, die bspw. in aktuellen Firewalls und deren Möglichkeiten für Alarmmeldungen enthalten sind. Mit ein wenig IT-Expertise geben regelmäßige Kontrollen entsprechender Log-Files genug Auskunft über den aktuellen Sicherheitsstatus der Systeme.

Bei Inbetriebnahme von neuen Software-Komponenten oder Schnittstellen sollten ausführliche Tests und ein geeignetes Qualitätsmanagement Prävention genug sein.

Aber: es gibt sie doch mit Abstand am Häufigsten, die fahrlässigen Datenpannen, beispielsweise durch unachtsamen E-Mail-Fehlversand. In vielen Fällen "versandet" der Fahlversand, sei es, weil es den Empfänger nicht interessiert oder der verwendete E-Mail-Account gar nicht existiert. Manchmal aber bekommt man vom Empfänger der aufgedrängten Mail eine Nachricht zurück und wird über den Fehlversand aufgeklärt. Idealerweise hat man aber selbst noch ein E-Mail-Qualitätsmanagement-System im Betrieb implemenetiert, sei es nur durch Stichprobenkontrollen oder zukünftig mittels KI-gestützten System wie bspw. den Microsoft Copilot.

Allerdings sei zu beachten: Datenpanne bleibt Datenpanne, egal wie marginal sie auch anfangs erscheinen mag und muss nach Art. 33 DSGVO auf behördliche Meldepflicht untersucht werden.

Ausschlaggebend hierfür ist eine Risikobetrachtung aus Sicht des Betroffenen, also insb. Umstände, Art und Umfang der Daten der Datenpanne.

Zur Einschätzung und Erleichterung ist dem Newsletter eine Checkliste beigefügt, die zusammen mit dem Datenschutzbeauftragten ausgefüllt werden sollte. Besteht nach Einschätzung und Analyse ein konkretes Risiko für die Betroffenen ist innerhalb von 72 Stunden zu melden. Ergibt sich ein geringes Risiko dient die Checkliste des Nachweises der Nichtmeldung.

Häufigste Ursache der fahrlässigen Exfiltration: E-Mail-Fehlversand

Für den häufigsten Fall des E-Mail-Fehlversandes ist eine kurze Einschätzung und Handlungsanweisung beigefügt. Über wirksame Präventionsmaßen wurde in vorhergehenden Newslettern bereits ausführlich berichtet.

Ab dem Zeitpunkt des Fehlversandes tickt die Uhr:

  1. der (falsche) Empfänger meldet sich von alleine (s. Newsletter "Aufgedrängt und ungefragt: fremde personenbezogene Daten erhalten?") und bestätigt unkompliziert die Gegenstandslosigkeit des Fehlversandes (oder aber eskaliert je nach Inhalt datenschutzrechtlich)
  2. man bemerkt es und stellt fest, dass es sich um eine meldepflichtige Datenpanne handelt (s. Umgang mit Datenpannen), dann ticken die 72 Stunden der behördlichen Meldefrist und die konforme Bearbeitung der Datenpanne
  3. man bemerkt es und stellt (unter Zuhilfenahme datenschutzrechtlicher Beratung) fest, dass der Inhalt keine datenschutzrelevanten Daten über einen Betroffenen enthält.
  4. man bemerkt es selbst nicht und die Dinge nehmen - je nach Schwere der Datenpanne - ganz von alleine ihren Lauf

Option c) soll nun Gegenstand des Newsletter sein.

Was tun?

Man kann es aussitzen und darauf hoffen, dass dem Gegenüber der Erhalt mehr oder weniger egal ist, geschweige denn unbemerkt untergeht. Das mag in vielen Fällen eine korrekte, aber zweifelhafte Annahme sein. Man weiß allerdings nicht, wer der "Gegenüber" ist, da kommt die 50/500-Kunden-Regel in's Spiel: jeder 50ste wird also eine spitze Bemerkung zurückschreiben mit Hinweis auf dessen Datenschutzexpertise. Und jeder 500ste wird wutschnaubend die Vermutung verlauten lassen, wenn schon bei so einfachen Dingen bei der eigenen Firma der Datenschutz und die ITSicherheit nicht funktionieren, was dann der Rest der Firma für ein Saustall sei und das ja gar nicht ginge und sich daher verpflichtet fühlt, ordnungsgemäß eine Meldung bei der zuständigen Datenschutzbehörde anzuzeigen, da ihm sein Gewissen gar keine andere Option zuließe.

Anmerkung für den verwunderten Leser: alles schon zigfach so vorgekommen und über meinen Schreibtisch gelaufen.

Der Zwiespalt, den es nun aufzulösen gilt ist:

  1. passiv: sitze ich es aus und wecke keinen schlafenden Hunde?
  2. aktiv: reagiere ich proaktiv und professionell?

Wer jetzt meint, wenn bei jeder falsch versendeten E-Mail ein Aufwand entstünde und daher gar nicht mehr zum arbeiten käme, solle sich überlegen, ob es nicht sinnvoller wäre, zuerst die Fehlerquote durch geeignete Maßnahmen radikal zu senken.

Insofern sollte Option b) allererste Wahl sein. Warum?

E-Mail-Fehlversand kommt bei jedem und alltäglich vor. Mit der richtigen Reaktion zeigt man nach außen ein professionelles Auftreten, bestätigt ein Qualitätsbewusstsein des Unternehmens, testatiert ein funktionierendes Fehlermanagementsystem und verdeutlicht vor allem, dass es zur Firmenkultur gehört, offen und transparent zu kommunizieren.

Aus meiner Sicht ein sehr sympathisches Verhalten.
Was also konkret tun?

Und wie immer, kein Problem ohne Lösung: anbei ein Beispieltext zur Kommunikation mit einem Empfänger nach Fehlversand.

Aber bitte beachten:

  1. jeder Fehlversand gehört zuerst datenschutzrechtlich betrachtet, ob eine Datenpanne vorliegt
  2. man prüfe vorab, ob die zu planende "Korrektur-E-Mail" nicht selbst eine Datenschutzverletzung produziert (also bitte nicht "Weiterleiten" oder "Antworten")
  3. es gilt, ständig die Maßnahmen zu prüfen, wie Fehlversand weitestgehend ausgeschlossen und präventiv minimiert werden kann
  4. Qualitätsmanagement im E-Mail-Verkehr gehört zu den Standardaufgaben des täglichen Betriebsablaufes
  5. 5-Sekunden-Durchschnaufregel


Sehr geehrte/r ...,

durch [Grund des Fehlversandes], haben Sie von uns am [Datum des Fehlversandes], [Art der Mail] erhalten, die [Art des Inhaltes] zum Inhalt hatten.
Für diese Fahrlässigkeit bitten wir um Entschuldigung.
[Option: Wie Sie sich sicher vorstellen können, ist es uns äußerst unangenehm.]
[Option: Solche Vorgänge entsprechen in keiner Weise unserem Leitbild und unsrem hochwertigen Qualitätsanspruch im Datenschutz und der IT-Sicherheit].
Unser Datenschutzbeauftragter bestätigt darüber hinaus, dass es sich um [datenschutzrechtliche Behandlung] handelt. Die [Grund der Ursache] ist korrigiert und es wurden geeignete präventive Maßnahmen ergriffen.
Ausdrücklich handelte es sich [Auswirkungen auf den Betroffenen], Sie müssen [nichts weiter unternehmen] [folgende Tätigkeiten durchführen].
Falls Ihnen möglich, bitten wir um Löschung und Nichtweiterleitung der E-Mail.
Wir hoffen auf Ihr Verständnis. Wenn Sie zu dieser Angelegenheit noch Fragen haben, dann wenden Sie sich gerne jederzeit an uns oder unseren Datenschutzbeauftragten [Name, Mail].

Ihr
[Name des Verantwortlichen]
©2024 by Harald Müller-Delius. Dieser Text ist urheberrechtlich geschützt. Das Verwenden - auch in Auszügen - ist nur nach ausdrücklicher schriftlicher Genehmigung durch den Autor gestattet. Jede widerrechtliche Nutzung ist untersagt. Für diesen Text können Nutzungsrechte erworben werden, Anfragen zur Nutzung per E-Mail an hmd@hmdata.de