Ich stelle mal folgende zwei Szenarien zur Diskussion:
Ein Reisebüro verschickt eine Buchungsbestätigung an Frau XXX.
Diese enthält Adresse, Reisedauer, Ziel, Abholzeit (Shuttle) und Betrag.
Durch ein Versehen einer Mitarbeiterin des Reisebüros landet aber auch die Buchungsbestätigung von Herrn YYY (ebenfalls mit Adresse, Reisedauer, Ziel , Abholzeit und Betrag) im gleichen Umschlag und wird somit Frau XXX zugestellt.
Gleiches Szenario wie im ersten Fall, aber bei Herrn YYY stand zusätzlich in der Buchungsbestätigung “Ihrem Wunsch nach einem behindertengerechten Zimmer haben wir entsprochen.”
Was haben wir jetzt, ist die Frage?
Verletzung ja/nein,
Meldepflichtig ja/nein
Muss Herr YYY informiert werden, dass Frau XXX persönliche Daten von ihm erhalten hat? ja/nein
Beide Fälle stellen grundsätzlich einen Datenschutzverstoß dar, der durch den Verantwortlichen zu dokumentieren ist. Neben der Dokumentation des Vorfall selbst ist es immer ratsam nach Ursachen zu suchen und ggf. Maßnahmen abzuleiten (und umzusetzen), die Vorfälle dieser Art zukünftig verhindern oder zumindest erschweren können.
Ob diese Vorfälle Meldepflichtig sind oder nicht häng in letzter Konsequenz von der vom Verantwortlichen durchzuführenden Risikobewertung ab. Dabei müssen die möglichen Risiken definiert werden. Dabei sind immer Eintrittswahrscheinlichkeit und Schweregrad der einzelnen Risiken zu betrachten. Bleibt ein Risiko für Rechte und Freiheiten für die betroffene(n) Person(en) muss an die Aufsichtsbehörde gemeldet werden. Ergibt sich ein hohes Risiko für Rechte und Freiheiten für die betroffene(n) Person(en) müssen diese Informiert werden.
Aus der Ferne ohne Kenntnisse von näheren Umständen ist es jedoch schwer eine Beurteilung abzugeben. Zumindest beim zweiten geschilderten Fall wäre aus meiner Sicht eine Meldepflicht im Bereich des Möglichen, da über die Information “Ihrem Wunsch nach einem behindertengerechten Zimmer haben wir entsprochen.” könnte durchaus eine gesundheitliche Problematik abgeleitet werden, sodass hier ggf. Art. 9 DSGVO berührt wird.
Handelt es sich um einen einzigen Datensatz oder um eine ganze Charge von Urlaubern? Ich habe es so verstanden, dass es nur ein Betroffener ist. In dem Fall wird eine Risikoabwägung immer gegen eine Meldung bei der Aufsicht ausfallen.
Die Aufsichtsbehörden haben erst jüngst wieder geäußert, dass sie mit belanglosen Vorfallmeldungen überschwemmt werden. Man sollte also nur wirklich kritische Dinge auch melden.
Bei zuverlässiger Rückholleine ist das Risiko vernachlässigbar und es muss nicht gemeldet werden. (Eine Stufe, die das Gesetz nicht kenn, aber Aufsichtsbehörden möchten in solchen Fällen nicht mit Meldungen belästigt werden.)
Ich würd sicherheitshalber melden. Und der Aufsicht vorturnen, dass man alles Mögliche unternommen hat, die Folgen (Risiken) zu begrenzen.
Z. B. den falschen Empfänger zum Vernichten auffordern und das bestätigen lassen. Für die Risikohöhe bzw. Vernachlässigbarkeit kommt es auf den Datenumfang an, und was diese Art von Empfängern damit anfangen könnte. Beliebige Privatkunden sind schlecht einzuschätzen. (Mit Glück ging’s an eine Anwaltskanzlei oder Arztpraxis, die ihren Schweigepflicht-Muskel spielen lassen können, was Zuverlässigkeitspunkte für die Löschzusage bringt. Dann wird das so stabil, dass gar nicht zu melden ist, nur intern dokumentieren.)
M. E. muss das behindertengerechte Zimmer (größere Tür wegen Hörbehinderung???) nicht unbedingt eine Angabe zur Gesundheit sein. Es kann aus anderen Gründen reserviert worden sein. Ein höheres (nicht automatisch “hohes” ) Risiko erhält man vielleicht, wenn weitere Anhaltspunkte für Gesundheitsdaten hinzukommen.
Die Einstufungsfrage lässt sich außer acht lassen, wenn man die Person auch ohne Benachrichtigungspflicht über den Vorfall informiert. Ein beruhigendes Argument kann sein, dass man die Aufsichtsbehörde eingeschaltet hat. (Was genau gar keine Verbesserung bringt.)
D., der wahrscheinlich nur mit zufriedenen Aufsichtsbehörden zu tun hatte.
Aber meld mal nicht und sie erfahren es. Dann haben sie was dagegen.
Vor der Risikomatrix steht eigentlich die Fallmatrix:
Wie wenig ist passiert? Schlimm: melden
Lässt es sich ungeschehen machen? (schadlos zurückholen, verschlüsselt): nicht melden
Wie viele wissen davon? Is schon raus: melden und benachrichtigen (damit die beruhigt werden und nicht mit wilden Annahmen Amok laufen)
Weitere Konstellationen???
D., der tendenziell schnell Meldung vorschlägt, wenn es “um wenig geht”; und wenn die Betroffenen bereits davon wissen. Dann macht man sich die weiteren Gedanken über die Risikohöhe gar nicht und trägt etliche entlastende Faktoren ein.