Entfällt auch mal die Meldepflicht?
Ja, da gibt es durchaus Fälle. Hier spricht man von einem „geringen Ri-
siko“ für die Rechte und Freiheiten natürlicher Personen. Geht z. B. eine
Festplatte oder ein USB-Stick mit personenbezogenen Daten verloren
oder wird gestohlen, entfällt eine Meldung an die Aufsichtsbehörde,
wenn die Datenträger vernünftig verschlüsselt wurden.
Auch ein falsch adressierter Brief, der ungeöffnet zurückkommt, gilt in
der Regel als geringes Risiko, bei welchem die Behörde und der Betrof-
fene nicht informiert werden müssen.
Und wann muss der Betroffene informiert werden?
Art. 34 Abs. 1 DSGVO schreibt vor, dass betroffene Personen über eine
Datenschutzverletzung informiert werden müssen, wenn ein „voraus-
sichtlich hohes Risiko für die persönlichen Rechte und Freiheiten“ für
die Personen besteht. Und hier hat sich in der Vergangenheit gezeigt,
dass das für die Hausverwalter oft eine große Hürde ist. Ist es schon
peinlich genug, dass man eine Datenpanne überhaupt melden muss,
so wird es dann noch unangenehmer, wenn man gegenüber Mietern,
Eigentümern oder WEGs zugeben muss, dass Daten verloren gegangen,
vernichtet oder gar ungewollt veröffentlicht wurden. Gemessen an sei-
nem treuhänderischen Status, den der Verwalter gegenüber den Eigen-
tümern, Mietern und WEGs hat, wird das Offenlegen einer Datenschutz-
verletzung naturgemäß Diskussionen bei den Betroffenen hervorrufen.
Die Behörden raten deshalb, sich vor der Information an die Betroffenen
mit ihnen über die weitere Vorgehensweise auszutauschen.
Und nicht zuletzt haben die betroffenen Personen auch das Recht, et-
waige Haftungsansprüche wegen einer Datenpanne gegenüber dem
Verantwortlichen geltend zu machen. Deswegen ist es besonders rat-
sam, die Benachrichtigung an die Betroffenen vorher mit der Behörde,
einem Anwalt oder einem kompetenten Datenschutzbeauftragten zu
bewerten und diese erst dann vorzunehmen.
5
Am besten füllt der Datenschutzbeauftragte das Formular aus. Dazu
muss er mit sämtlichen Informationen über den Vorfall, die Maß-
nahmen etc. versorgt werden.
PRAXIS-TIPP: DATENSCHUTZBEAUFTRAGTER WIRD TÄTIG
Hier einige Beispiele von Datenschutzverletzungen:
Beispiel 1
Ein Verwalter möchte alle seine Kunden per E-Mail darüber informie-
ren, dass die Datenschutzerklärung auf der Webseite bereitsteht. Der
Mitarbeiter vergisst alle Empfänger in „BCC“ zu setzen. Die E-Mail
wird versendet und alle Empfänger bekommen die E-Mail-Adressen
von allen anderen Empfängern frei übermittelt. Hier wurde eine Da-
tenschutzverletzung erkannt und an die Aufsichtsbehörde gemeldet.
Reaktion der Behörde:
Solange es einen betrieblichen Prozess
und eine Dienstanweisung gibt, die vorschreibt, dass grundsätzlich
alle Massen-E-Mails nur über den BCC-Versand erfolgen dürfen und
dieses durch eine entsprechende Dokumentation gegenüber der
Behörde nachgewiesen werden kann, sieht die Behörde von einem
Bußgeldbescheid ab und ermahnt, zukünftig vor dem Absenden die
Richtigkeit durch mehrere Personen überprüfen zu lassen.
Beispiel 2
Unterlagen, wie z.B. Hausgeldabrechnungen, wurden nicht in die
vorgeschriebene Datenschutztonne verbracht, sondern in die ein-
fache Papiertonne. Die Dokumente beinhalteten Kontonummern
und Namen. Sie lagen nur etwa 24 Stunden in der Papiertonne
und wurden vom Verwalter selbst entdeckt. Er hatte daraufhin die
Dokumente auf Vollständigkeit kontrolliert und die Meldung an die
Behörde unmittelbar vorgenommen. Gleichzeitig wurden zukünftige
Maßnahmen, die ein erneutes Vorkommen dieser Situation verhin-
dern sollen, an die Behörde mitgeteilt, wie z. B. eine entsprechende
und dokumentierte Nachschulung der Mitarbeiter oder das Entfer-
nen der Papiertonne mit Austausch gegen eine Datenschutztonne.
Reaktion der Behörde:
Die Behörde erachtet die ergriffenen Maß-
nahmen als sinnvoll und ausreichend. Dass Daten an unberechtigte
Dritte veröffentlicht worden sind, wurde als relativ gering einge-
stuft. Sie empfahl, die Betroffenen zu benachrichtigen.
Fazit:
Wenn der Verwalter aktiv umgehend die Behörde informiert,
vernünftige Maßnahmen ergreift, diese umsetzt und dokumentiert,
senkt er gleichzeitig das Risiko eines Bußgeldbescheids.
Beispiel 3
Eine Hausgeldabrechnung landete wieder in der einfachen Papier-
tonne. Dies wurde durch eine unternehmensfremde, sogenannte
dritte Person entdeckt und durch sie umgehend an die Aufsichtsbe-
hörde des jeweiligen Bundeslandes gemeldet.
Reaktion der Behörde:
Aufgrund einer fehlenden Meldung seitens
der Hausverwaltung zu dieser Datenpanne sowie des Nichtvorhan-
denseins einer entsprechenden Dokumentation dazu, wurde die
Hausverwaltung mit einem Bußgeld von 2.000 EUR belegt.
Fazit:
Der Verwalter konnte die Datenpanne nicht melden, weil er
gar nicht wusste, dass eine Datenpanne überhaupt entstanden ist.
Das Bußgeld wurde trotzdem verhängt, weil der Verwalter keine
geeigneten Maßnahmen zur sicheren Vernichtung bzw. Löschung
von personenbezogenen Daten getroffen hat.
Tatsächlich wird im E-Mail-Verkehr der „BCC“-Funktion eine wichtige
Rolle bei der Vermeidung einer Datenpanne unterstellt. Allerdings
bedeutet die alleinige Nutzung der „BCC“-Funktion noch lange nicht,
dass die Gefahr einer Datenpanne gebannt ist. Auch der Inhalt der E-
Mail ist von großer Bedeutung. Viele Verwalter übersenden die Jah-
resabrechnung als PDF-Dokument in ihrer ursprünglichen digitalen
Form. Dabei bieten viele PDF-Konverter heute schon die Funktion,
Dokumente mit einem Passwort zu versehen. Und nach Ansicht der
Aufsichtsbehörden ist das Versenden dieser Abrechnung mit einem
Passwortschutz ebenfalls wie eine Verschlüsselung anzusehen.
HINWEIS: BCC-FUNKTION
Reinhold Okon
ist Datenschutz-
b e a u f t r a g t e r
des
Bundes-
fachverbandes
der Immobilien-
verwalter e.V. (BVI).
DER AUTOR
Der „Senden-Button“ als Datenschutzverletzung
Die E-Mail ist die häufigste Ursache für eine Datenpanne, leider aber
auch nicht mehr aus dem Arbeitsalltag wegzudenken. Wer unkonzen-
triert eine E-Mail-Adresse eingibt, unachtsam die „Auto-Ausfüll-Funkti-
on“ in Outlook nutzt oder einfach nur alle E-Mail-Adressen im Verteiler
lediglich in „CC“ setzt, hat die Datenschutzverletzung quasi beim Klicken
auf den „Senden-Button“ ausgelöst.
So wäre die Datenpanne längst nicht so schlimm, wäre die E-Mail ver-
schlüsselt übersendet worden.
Für den Mitarbeiter und den
Verantwortlichen bleibt zu
hoffen, dass die Behörde hier
gnädig entscheidet und kein
Bußgeld verhängen wird. Sonst
würde aus dem Büro des Ver-
antwortlichen zu hören sein:
„Ups, das ist aber viel!“