Nach Aussetzen der Impfungen mit dem Vakzin AstraZeneca wollte das Impfzentrum die Betroffenen möglichst schnell über die Absage bzw. das Verschieben ihres Impftermins informieren. Dabei wurden die E-Mail-Adressen von knapp 1.500 Personen statt im „BCC“- im „An“-Feld eingetragen. So wurden jedem Empfänger neben dem Mailtext auch die E-Mail-Adressen aller weiteren Empfänger übermittelt. Der Ennepe-Ruhr-Kreis entschuldigte sich umgehend bei allen Betroffenen für den „klaren Verstoß gegen die Grundregeln des Datenschutzes“.

Gemäß der DSGVO handelt es sich bei Vernichtung, Verlust, Veränderung oder – wie hier geschehen – unbefugter Offenlegung von Daten (ob beabsichtigt oder nicht) um eine „Verletzung des Schutzes personenbezogener Daten“ (vgl. DSGVO Art. 4 Nr. 12). Eine solche Datenpanne ist der zuständigen Aufsichtsbehörde zu melden, wenn sie voraussichtlich zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt. Angesichts der Zahl der Betroffenen, deren Daten noch dazu von einer Gesundheitseinrichtung übermittelt wurden, ist von einer Meldepflicht auszugehen.

Gerade beim Versenden von E-Mails entstehen schnell Datenpannen. So kann bereits ein Tippfehler in der E-Mail-Adresse dafür sorgen, dass die Mail der falschen Person zugestellt wird, was insbesondere dann kritisch zu bewerten ist, wenn weitere personenbezogene Daten enthalten sind. Oder es werden, wie oben beschrieben, durch das Eintragen der E-Mail-Adressen in das falsche Feld die Daten der Empfänger selbst offengelegt.

Es gibt zahlreiche weitere Beispiele, bei denen vermeintliche Kleinigkeiten Datenpannen mit durchaus weitreichenden Folgen nach sich ziehen können: ein zentraler, nicht (zugangs-)geschützter Drucker im Büro, ein verlassener Arbeitsplatz mit nicht gesperrtem PC, offen einsehbare Dokumente beim Arbeiten im Café oder in der Bahn, ein verlorener bzw. gestohlener unverschlüsselter Laptop oder USB-Stick etc. Sobald Unbefugte, egal ob Beschäftigte des eigenen Unternehmens oder Außenstehende, Zugriff auf nicht für sie bestimmte personenbezogene Daten erhalten, ist der Schutz eben jener Daten nicht mehr gewährleistet.

Fälle wie diese entstehen oft durch kleine Unaufmerksamkeiten im Alltag. Daher ist es nicht nur wichtig, bei der Arbeit mit personenbezogenen Daten besondere Vorsicht walten zu lassen. Alle Beschäftigten sollten für das Thema sensibilisiert und geschult werden, um einerseits Datenpannen bereits durch entsprechende Vorgaben und Arbeitsabläufe zu vermeiden, darüber hinaus aber im Zweifelsfall eine Datenpanne auch erkennen und die dann erforderlichen Schritte ergreifen zu können.

Sie haben weitere Fragen zum Umgang mit Datenpannen oder zu weiteren datenschutzrechtlichen Fragestellungen? Unser Datenschutz-Team steht Ihnen gerne beratend zur Seite.