Login
Login
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Free

Falscher Empfänger – das unterschätzte Risiko

Dr. Niels LepperhoffAbrechnungspraxisDatenschutz
Lesezeit 6 Min.

Eine „Verletzung des Schutzes personenbezogener Daten“ ist spätestens innerhalb von 72 Stunden nach Kenntnisnahme an die zuständige Datenschutzaufsichtsbehörde zu melden (Art. 33 Abs. 1 DS-GVO).

Vier gelbe „@“-Symbole sind an Angelhaken befestigt und von Wassertropfen umgeben. Das Bild stellt metaphorisch Phishing dar, eine Art Cyberangriff, bei dem Angreifer betrügerische E-Mails oder Nachrichten verwenden, um Personen dazu zu bringen, persönliche Informationen preiszugeben.

Unter einer „Verletzung des Schutzes personenbezogener Daten“ versteht die DS-GVO „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. (Art. 4 Nr. 12 DSGVO). Alles klar?

Die Worte „Verletzung der Sicherheit“ verleiten zur Überlegung, dass eine „Verletzung des Schutzes personenbezogener Daten“ eher ein Thema der IT-Abteilung sei. Das ist insofern ein beruhigender Gedanke auch für HR, da eine Beschäftigung mit dem Thema Verletzung des Schutzes und Meldung an die Datenschutzaufsichtsbehörde nicht in die eigene Zuständigkeit fällt. Ein Fall aus der Praxis zeigt, dass ein einfacher Mitarbeiterfehler aus dem HR-Umfeld ausreicht, um die Meldepflicht auszulösen. Die IT war in diesem Fall unbeteiligt.

Falscher Empfänger einer Kündigung

Zwei Mitarbeitern soll gekündigt werden. Nennen wir sie Tom und Jens. Deren Vorgesetzter Simon stimmt die Kündigungen und deren Begründung mit seinen Vorgesetzten ab. Nach erfolgter Abstimmung zur Kündigung von Jens setzt er — aus nicht bekannten Gründen — dessen private E-Mail-Adresse als weiteren Empfänger ein. Jens erhält damit als „Vorwarnung“ vor der offiziellen Kündigung die interne Abstimmung. In einer weiteren E-Mail, diesmal zur Abstimmung über die Kündigung von Tom, setzt Simon wieder Jens private E-Mail-Adresse ein. Folglich erfährt Jens auch von der Kündigung von Tom und deren Begründung.

Wie ist der Fall mit Blick auf die Meldepflicht einer Verletzung des Schutzes personenbezogener Daten zu bewerten?

Meldepflicht ausgelöst?

Bei der Beurteilung, ob eine Meldepflicht vorliegt, reicht es aus, wenn ein Tatbestandsmerkmal aus der in Art. 4 Nr. 12 DS-GVO genannten Liste vorliegt:

  • unbeabsichtigte oder unrechtmäßige Vernichtung,
  • unbeabsichtigter oder unrechtmäßiger Verlust,
  • unbeabsichtigte oder unrechtmäßige Veränderung,
  • unbefugte Offenlegung oder
  • unbefugter Zugang.

Es liegt auf der Hand, dass eine E-Mail, die an einen falschen Empfänger versendet wurde, zur unbefugten Offenlegung führen kann. Deshalb wurde dieses Tatbestandsmerkmal vorrangig geprüft.

Simon hat zwei E-Mails versendet, die getrennt voneinander zu betrachten sind:

  • Kündigung von Jens und
  • Kündigung von Tom.

Jens erfuhr von seiner eigenen Kündigung durch die E-Mail vorab. Dabei wurde ihm der interne Willensbildungsverlauf offenbart. Dessen Inhalt thematisierte Jens Verhalten, d. h. Jens ist die vorrangig betroffene Person. Die Namen und E-Mail-Adressen der beteiligten Mitarbeiter waren Jens durch seine Arbeit für das Unternehmen bereits bekannt, sodass diese Daten dieser Personen nicht weiter betrachtet werden müssen.

Erfährt eine Person Daten über sich selbst, liegt grundsätzlich keine unbefugte Offenlegung vor. Somit wird die Meldepflicht nicht ausgelöst. Auch wenn die Schwelle zur Meldepflicht nicht überschritten worden ist, muss es nicht unbedingt klug sein, einem gekündigten Mitarbeiter Argumente für eine Kündigungsschutzklage frei Haus zu liefern.

Dieser Teil des Vorfalls musste lediglich als Sicherheitsvorfall gemäß Art. 33 Abs. 5 DS-GVO dokumentiert werden. Der Inhalt der Dokumentation entspricht im Wesentlichen dem der Meldung. Bei der Kündigung von Tom ergibt sich eine andere Beurteilung. Jens erfuhr nicht nur die Tatsache, dass Tom gekündigt werden soll, sondern auch die Gründe. Es bestand weder ein Grund, Jens über die Kündigung und deren Gründe zu informieren, noch eine rechtliche Erlaubnis. Es handelt sich folglich um eine unbefugte Offenlegung.

Nicht jede unbefugte Offenlegung führt automatisch zur Meldepflicht. Erst wenn sich aus der unbefugten Offenlegung ein Risiko für die Rechte und Freiheiten der betroffenen Person, hier Tom, ergeben kann, wird die Meldepflicht ausgelöst. Die Schwelle zur Meldepflicht ist niedrig, da bereits ein sehr kleines Risiko die Meldepflicht auslöst. Oder anderes herum formuliert: nur die Risikofreiheit befreit von der Meldepflicht.

Ob sich Risiken für Tom ergeben, hängt ganz von Jens Verhalten ab. Jens beeinflusst deshalb maßgeblich, ob das Missgeschick zu melden ist oder nicht. Um ein Risiko auszuschließen, könnte Jens auf Aufforderung von Simon bspw. die E-Mail vernichten und dies gegenüber Simon bestätigen sowie erklären, die Informationen nicht verwenden zu wollen. Vielfach wird eine irrtümliche Zusendung auf diese Art und Weise aus der Welt geschafft, ohne die Meldepflicht auszulösen. Im vorliegenden Fall war Jens aber gekündigt worden, d. h. seine Loyalität zum bald ehemaligen Arbeitgeber konnte nicht mehr vorausgesetzt werden. Weiterhin war er kurzfristig nicht zu erreichen, sodass sich nicht klären ließ, ob er die E-Mail ungesehen gelöscht oder schon verwendet hat.

Reagiert Jens nicht zeitnah oder gibt die gewünschten Erklärungen nicht ab, ist ein Risiko für Tom nicht ausgeschlossen. Jens könnte bspw. die Kündigung auf Facebook posten, um seinem Arbeitgeber, der ihm gekündigt hat, zu schaden. Ob aus einem solchen Post für Tom ein Risiko entsteht, lässt sich nicht abschließend beantworten, da es sich um eine in der Zukunft entwickelnde Konsequenz handelt. Folglich ist ein solches Risiko nicht ausgeschlossen.

Meldung an die Aufsichtsbehörde Auf den ersten Blick sieht eine Meldung an die Datenschutzaufsichtsbehörde einfach aus. Art. 33 Abs. 3 DS-GVO listet den Inhalt einer Meldung auf:

  • Beschreibung des Vorfalls,
  • Art und ungefähre Anzahl der betroffenen Personen,
  • Art und ungefähre Anzahl der betroffenen Daten,
  • Namen und die Kontaktdaten eines Ansprechpartners für weitere Informationen,
  • Beschreibung der wahrscheinlichen Folgen,
  • ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung und
  • Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen.

Da einer Meldung immer auch die Aussage mitschwingt, dass die technischen und organisatorischen Maßnahmen des Unternehmens unzureichend seien, kann sie u. U. als Grundlage für ein Sanktionsverfahren herangezogen werden. Mit § 43 Abs. 4 BDSG hat der deutsche Gesetzgeber einen Schutz vor Verwertung dieser Information in einem Ordnungswidrigkeitsverfahren verankert. Ob ein solches Verwertungsverbot europarechtlich konform oder gar geboten ist, kann dahingestellt bleiben. Die Datenschutzaufsichtsbehörde Baden-Württemberg hat 2018 infolge einer Meldung ein Bußgeld von 20.000 Euro wegen unzureichender Sicherheitsmaßnahmen gegen Knuddels verhängt. Es kommt beim Abfassen der Meldung folglich darauf an, etwaige nachteilige Folgen zu berücksichtigen. Die in der Meldung gemachten Aussagen lassen sich später nicht mehr zurückziehen. Die Meldung muss spätestens 72 Stunden nach Kenntnisnahme des Vorfalls an die Datenschutzaufsichtsbehörde erfolgen. Da eine Fristüberschreitung bußgeldbewehrt ist — wie eine falsche, unterlassene oder unvollständige Meldung auch — empfiehlt es sich, die Zeitpunkte der Kenntnisnahme und Meldung zu dokumentieren, um nachweisen zu können, dass die Frist eingehalten wurde.

Information der betroffenen Person

Zusätzlich zur Meldung des Vorfalls an die Datenschutzaufsichtsbehörde sind auch die vom Vorfall betroffenen Personen, hier Jens, zu informieren, sofern für diese voraussichtlich ein hohes Risiko besteht. Die mitzuteilenden Angaben entsprechen in reduzierter Form der Meldung an die Datenschutzaufsichtsbehörde:

  • Namen und die Kontaktdaten eines Ansprechpartners für weitere Informationen,
  • Beschreibung der wahrscheinlichen Folgen,
  • ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung und
  • Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen.

Je nachdem, wie viele und welche betroffenen Personen informiert werden, muss damit gerechnet werden, dass der Vorfall öffentlich bekannt wird. Deshalb empfiehlt es sich, eine angemessen Strategie zur öffentlichen Kommunikation vor Information der betroffenen Personen zu überlegen. Reputationsschäden aufgrund eines unüberlegten Umgangs mit der Öffentlichkeit können den Schaden des eigentlichen Vorfalls schnell übersteigen.

Fazit

Bereits einfache menschliche Fehler, die in jeder Abteilung vorkommen können, reichen aus, um einen meldepflichtigen Sicherheitsvorfall auszulösen. Angesichts der knappen Zeitvorgaben und der mit einer Meldung verbundenen Risiken empfiehlt es sich, einen unternehmensweit bekannten Meldeprozess einzuführen. Noch besser ist es, potenzielle Fehlerquellen in Prozessen zu identifizieren und abzustellen, ehe es zu einem Vorfall kommt. Eine Aufgabe für alle Führungskräfte. Eine einfache — wenngleich wegen des damit verbundenen Komfortverlustes unpopuläre — Maßnahme gegen falsche E-Mail-Empfänger ist, die automatische Vervollständigung von E-Mail-Adressen abzuschalten.

In der linken Bildhälfte ist ein Mann mit Brille und Schnurrbart, der einen braunen Anzug und ein hellblaues Hemd trägt, zu sehen. Die rechte Hälfte hat einen orangefarbenen Hintergrund mit einem deutschen Text, der Dr. Niels Lepperhoff zusammen mit seinen beruflichen Zugehörigkeiten vorstellt.

 

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.