Hallo,
folgender Vorfall:
X ist ein Medizinproduktevertreiber für Ärztebedarf. Die Rechnung für Arzt Y ist an 30 andere Ärzte verschickt worden durch einen Systemausfall.
Der Arzt ist Privatperson im Sinne des BGB - in dem Rechnung Standen bis auf den Namen der Arztpraxis und die Adresse keine weiteren personenbezogenen Daten.
Denkt ihr eine Meldung ist erforderlich? - Ich würde behaupten nein, da kein hohes Risiko besteht und außer dem Namen der Arztpraxis keine weiteren pBD abhanden kamen.
X wird jetzt den Arzt Y informieren und alle entsprechenden falschen Empfänger bitten die E-Mail unverzüglich zu löschen.
Vielen Dank und ein schönes Wochenende!
Vorfall: X hat unbeabsichtigt Daten zu einer Person in seiner Funktion (als Betreiber einer Praxis, die Rechungen bekommt) offen gelegt.
Verletzung:
Ja, es wurden pb Daten offen gelegt und dies war eine Verletzung der Sicherheit.
Risikofaktoren aus Sachverhalt:
Betroffener mit “dienstlicher”, also bei Arzt normalerweise öffentlicher, Adresse mit geringem Schutzbedarf.
Datenkategorien: Rechungsdaten
Bedingung: Keine weiteren Informationen zu persönlichen Sachverhalten, also keine Zahlungserinnerungen, keine Hinweise aus der Rechnung zu nicht normalen Gegebenheiten in der Praxis von Y , nur Rechungsdaten für “übliche” Waren.
Dann wäre die offengelegte personenbezogne Information der Name und die Adresse des Arztes an 30 Kollegen.
Schadenspotential:
Er könnte auf seine Bestellung oder Rechungshöhe angesprochen werden.
= Sehr gering: Der betroffene erleidet ggf. Unannehmlichkeiten, die er einfach überwinden kann.
Eintritsswahrscheinlichkeit:
Nach Aufforderung zur Löschung: Selten = max einmal in 5 Jahren
Risiko nach Risiko-Matrix aus DSK KP no 18:
GERING
=> Keine Meldung erforderlich, nur Dokumentation nach Art. 33 (5) DSGVO
1 „Gefällt mir“