Ein Postpaket mit Dokumenten mit personenbezogenen Daten ging auf dem Weg zum Scannen verloren. Sind die betroffenen Personen zu informieren? Wenn ja, wie?
Die finnische Datenschutzbehörde hat dazu eine Entscheidung gefällt. Es geht um die Verpflichtung, betroffene Personen zu verständigen.
Der Verantwortliche.
Die Entscheidung der finnischen Datenschutzbehörde (Tietosuojavaltuutetun toimisto ) vom 10. Oktober 2019 betrifft die finnische Sozialversicherungseinrichtung Kela .
Die Umstände der Datenschutzverletzung
Kela scannt eingehende Dokumente und sammelt diese eingehenden Dokumente bis zu einem bestimmten Zeitpunkt und sendet diese gesammelten Dokumente in einem Paket an das Center, in dem das Scannen dann durchgeführt wird.
Auf dem Weg zum Scan-Center verschwand jedoch ein Paket mit einem Stapel von Dokumenten, die von Kunden bei Kela eingericht wurden.
Kela hat versucht, das Paket in Zusammenarbeit mit der Post zu nachzuverfolgen, aber es war nur möglich das Paket bis zum Eingang bei der Post zu tracken. Möglicherweise wurde der entsprechende Beleg vom Paket entfernt und die Dokumente werden weiterhin bei der Post aufbewahrt.
Das versendete Paket enthielt Dokumente mit vertraulichen Kundeninformationen von Kela-Kunden, einschließlich Gesundheits- und Finanzinformationen.
Kela hat die Datenschutzverletzung der Aufsichtsbehörde gemäß Art. 33 DSGVO gemeldet, die betroffenen Personen jedoch nicht aktiv informiert (siehe Art. 34 DSGVO).
Die geschätzte Anzahl der Personen, deren personenbezogene Daten verloren gegangen sind, beträgt 55.
Es handelt sich um einene Fall rechtswidriger oder versehentlicher Zerstörung von personenbezogenen Daten. Es ist die Vertraulichkeit der personenbezogenen Informationen verletzt worden und der Zugriff darauf und deren Verwendung wurde verhindert. Die Datenschutzverletzung hat auch verhindert, dass betroffene Personen ihre Ansprüche gegenüber der Kela geltend machen konnten.
Mitteilung an die betroffenen Personen
Kunden, die sich nach ihren Eingaben und Anspruchstellungen erkundigt haben, wurden darüber informiert, dass keine Unterlagen eingelangt sind. Die meisten Betroffenen sind jedoch für den Verantwortlichen nicht identifizierbar. Offensichtlich wurden die Unterlagen nur gesammelt, jedoch keinerlei Verzeichnis über die eingelangten Dokumente angelegt, die eine Zuordnung zu betroffenen Personen hätte ermöglichen können (zB ein Posteingangsbuch oder Ähnliches).
Personen, die mit dem Verantwortlichen in Kontakt traten, wurden vom Verantwortlichen dabei informiert. Kela schätzt, dass die meisten betroffenen Kunden sich selbst gemeldet haben, nachdem sie festgestellt haben, dass Kela ihnen keine Leistungen ausbezahlt hatte.
Darüber hinaus wurden einige Dokumente von Kunden eingereicht, die den Kundendienst des Büros besuchten. Kela war telefonisch Kunden in Kontakt und erläuterte die Situation.
Andere Personen konnten nicht identifiziert und daher nicht informiert werden.
Die Sicherheitsverletzung wurde nicht an andere Kunden gemeldet, da diese nicht identifiziert werden konnten. Es war nicht möglich, diese Personen über den Vorfall zu informieren, da Kela nicht wusste, wessen Kundendokumente im versendeten Paket waren.
Die Entscheidung.
Die potenziellen Auswirkungen einer Sicherheitsverletzung auf betroffene Personen sind nach Angaben des für Verantwortlichen die Offenlegung personenbezogener Daten, Identitätsdiebstahl, finanzielle Schäden und die Offenlegung von Informationen, die durch ein Berufsgeheimnis geschützt sind.
Die Behörde hat auch festgehalten, dass auch die betroffenen Personen an der Geltendmachung von Rechten gehindert wurden, beispielsweise an der Antragstellung für eine Leistungserbringung.
Aus diesen Gründen ist die Aufsichtsbehörde der Ansicht, dass der Verstoß wahrscheinlich ein hohes Risiko für die Rechte der betroffenen Personen mit sich bringt .
Personen, die bereits informiert wurden.
Die Behörde hat den Verantwortlichen nicht angewiesen, den Datenschutzverstoß denjenigen mitzuteilen, die bereits per Anfrage oder Telefon informiert wurden. Der Verantwortliche muss jedoch sicherstellen, dass die Meldung an diese betroffene Person alle in Artikel 34 Absatz 1 der Datenschutzverordnung genannten Aspekte umfasst und er gegebenenfalls die Meldung ergänzt .
Nicht identifizierte Personen.
Einige der betroffenen Personen, die Gegenstand der Sicherheitsverletzung wurden, sind dem Verantwortlichen nicht bekannt, sodass es es unmöglich für den Verantwortlichen ist, diese persönlich zu informieren.
Die Art 29 Datenschutzgruppe (numehr Europäischer Datenschutz Ausschuss) hat eine Empfehlung mit dem Titel „Leitlinien für die Meldung von Verstößen gegen die personenbezogenen Daten gemäß der Verordnung (EU) 2016/679“ (veröffentlicht am 3. Oktober 2017, überarbeitet und angenommen am 6. Februar 2018) herausgegeben.
Wenn die Kontaktaufnahme mit den betroffenen Personen nach einer Datenschutzverletzung einen unverhältnismäßigen Aufwand erfordert, hat der Verantwortliche die betroffenen Personen durch eine öffentliche Erklärung oder eine gleichwertige Maßnahme zu informieren. Abhängig von den Umständen des Einzelfalles kann es erforderlich sein, dass der Verantwortliche mehrere Kommunikationsmethoden anstelle nur eines Kommunikationskanals verwendet, um die effektive Information an die betroffenen Personen sicherzustellen.
Weisung durch die Behörde.
Aus den genannten Gründen hat die Aufsichtsbehörde den Verantwortlichen gemäß Artikel 58 DSGVO die Weisung erteilt, die Datenschutzverletzung durch eine öffentliche Bekanntmachung oder eine gleichwertige Maßnahme den Betroffenen bekannt zu machen.
08.01.2020, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben