ich habe mal wieder eine frage zu einem Thema worüber ich Kenntnis erhalten habe .
Folgender Sachverhalt:
Betreff: Datenschutzvorfall – Fehlversand einer BEM-Liste an unberechtigte Person
Sachverhalt: Die Personalabteilung versendete intern eine E-Mail mit einer Excel-Liste, die alle Mitarbeiter aufführte, die im laufenden Kalenderjahr länger als sechs Wochen arbeitsunfähig waren und somit für ein Betriebliches Eingliederungsmanagement (BEM) qualifiziert sind. Der vorgesehene Empfängerkreis (Betriebsrat und BEM-Beauftragte) wurde fälschlicherweise um einen dritten Mitarbeiter erweitert, der keine Berechtigung zum Empfang dieser Daten hat.
Zeitablauf & Maßnahmen: Der Fehlversand wurde drei Tage nach dem Ereignis festgestellt und umgehend dem Datenschutzbeauftragten (DSB) gemeldet. Dieser veranlasste die Löschung der E-Mail beim unberechtigten Empfänger. Zudem wurde eine Risikoabschätzung durchgeführt. Die Geschäftsleitung (GL) hat erwirkt, dass der Empfänger eine schriftliche Erklärung unterzeichnet hat, in der er versichert, die E-Mail nicht gelesen, sondern direkt gelöscht zu haben.
Aktueller Stand: Der DSB bewertet den Vorfall als meldepflichtig (hohes Risiko für die Betroffenen), während intern diskutiert wird, ob durch den begrenzten Empfängerkreis und die Versicherung der Nichtkenntnisnahme das Risiko als gering eingestuft werden kann.
Für die Meldung ist “hoch” nicht ausschlaggebend, sondern es reicht, wenn überhaupt ein Risiko besteht.
Doch die Aufsichtsbehörden möchten nicht belästigt werden, wenn das Risiko “vernachlässigbar” ist, obwohl es gesetzlich nur die Stufen “Risiko” für die Meldepflicht und “hohes Risiko” für die zusätzliche Benachrichtigungspflicht (und “gar keins” für bloße Dokumentation /Aufarbeitung) gibt.
Bei überschaubaren Vorfällen lässt sich die Vernachlässigbarkeit (keine Meldepflicht) gezielt ansteuern. Für die interne Bewertung kommt es im vorliegenden Fall darauf an, wie zuverlässig sich Folgen für die Betroffenen ausschließen lassen. Also wie vertraenswürdig die Person ist, und wie (un)wahrscheinlich Situationen zu erwarten sind, dass der Nachrichteninhalt doch die Runde machen und für Folgen sorgen könnte; und sei es durch Herausrutschen, wenn man sich zufällig über den Weg laufen würde. (Empfänger nach… Grönland versetzen.)
Wenn das zu heiß ist, lieber melden, der Aufsicht die erfolgversprechenden Eindämmungsbemühungen nennen. Die ist dann entweder komplett zufrieden, oder sie möchte sicherheitshalber doch die betroffenen Personen benachrichtigen lassen.
D., der in Fällen von Fehlversand schon vorgeschlagen hat, externe falsche Empfänger einfach als Personalsachbearbeitung einzustellen; bzw. interne so umzubesetzen, dass die Kenntnis nicht mehr unbefugt wäre, weil sie im Aufgabenbereich liegt. (Nur um deutlich zu machen, wo die Meldegrenze kritikfrei wäre.)
Moin, ist da ggf. auch etwas kommuniziert worden, was schon bekannt war? Das Kollegen lange krank sind, ist regelmäßig kein Geheimnis, oft Grund für Umorganisationsmaßnahmen etc. Also, wenn sowieso bekannt ist, was da in der Mail stand, nur bisher kein Etikett “BEM-Anwärter” drauf stand, dann kann das auch nichtmeldepflichtig sein.
Einer, der auch immer mal denkt, dass Kirchen in die Mitte des Dorfes gehören, mit der Turmspitze nach oben
Es gibt eine neue Wendung in diesem Fall: Die verantwortliche Person hat eigenständig die zuständige Datenschutzbehörde kontaktiert und eine telefonische Beratung eingeholt (ohne begleitende schriftliche Korrespondenz).
Laut Aussage der verantwortlichen Person kam die Behörde zu dem Ergebnis, dass keine Meldepflicht vorliege. Begründet wurde dies damit, dass der Empfängerkreis auf eine einzelne Person begrenzt war und diese schriftlich versichert habe, die E-Mail nicht gelesen zu haben. Dies steht im Kontext dazu, dass der Fehler erst nach drei Arbeitstagen bemerkt, dem Datenschutzbeauftragten (DSB) gemeldet und die Löschung veranlasst wurde.
Ein Gesprächsprotokoll wurde dem DSB nachträglich ausgehändigt; der DSB selbst wurde zu diesem Telefonat jedoch nicht hinzugezogen.
Stellungnahme des DSB: Das Vorgehen und die daraus resultierende Einschätzung sind höchst fragwürdig. Dass der DSB bei der Kommunikation mit der Behörde umgangen wurde, erschwert eine objektive Risikobewertung nach Art. 33 DSGVO. Zudem ist die bloße Zusicherung des Empfängers, eine Mail über drei Tage hinweg ignoriert zu haben, als alleinige Entlastung rechtlich oft nicht ausreichend.
OK. Würd aber je nach Situation wahrscheinlich trotzdem melden, damit es hinterher keine Diskussionen gibt, dass der Fall diesmal anders gelagert sein könnte.
Käme mir auf die Rolle der empfangenden Person an; und ob die betroffene Person in einer risikoarmen Beziehung (also: in keiner) zu ihr steht.
Bei mehr als 72 Stunden (Beginn der Frist mit Ablauf des Wahrnehmungstags) ohne Löschbestätigung wäre ich nervös geworden.
Übrigens ist bei Datenschutzthemen der Begriff “verantwortliche Person” haarig, weil “der Verantwortliche” i. d. R. das Unternehmen als solches ist. Ich sag dann z. B. “die zuständige /verursachende /beteiligte Person”.
D., der mit Tausenden Berufsgeheimnisträgern zu tun hat, auf deren Verschwiegenheit man sich einerseits schön berufen kann; andererseits sind die Daten, die sie verarbeiten tendenziell sehr viel sensibler als in anderen Bereichen. Dafür passiert erfreulich wenig.
Ich hätte den Fall und die Maßnahmen dokumentiert, wie alle gemeldeten Datenpannen und wäre in der Risikoabwägung ebenfalls zu keiner zwingenden Meldepflicht gekommen.
Es fragt sich nämlich weiter, ob man, wenn man tatsächlich die Betroffenen benachrichtigen müsste, diesen dann - zumindest auf Nachfrage - mitteilen muss, welcher unberechtigte Empfänger ihre Daten ggf. gesehen hat. Das zu verweigern oder die Auskunft zu geben, hilft auch niemand weiter oder gefährdet den Betriebsfrieden.
Im Übrigen ist Konfrontationskurs gegen den Verantwortlichen tunlichst zu vermeiden.
