+49 (0)241 14 94 66 0 beratung@itsecurity-ist-pflicht.de

Datenschutzverstoß – Was nun?

Einleitung

Im nun folgenden Artikel teilen wir mit Ihnen einen Datenschutzverstoß, der auch bei uns für rege Unruhen gesorgt hat. Wenn Sie die einleitende Geschichte überspringen möchten, und direkt weiter zum Bereich springen wollen, in dem auf die Meldung eines Verstoßes eingangen wird, klicken Sie bitte HIER!

Ordnerfund in einem verlassenem Bürogebäude

Wir betreten das Gelände über eine wild mit Büschen bewachsene Einfahrt, die Hauptstraße hinter uns, der Boden ist mit Moos bedeckt und gibt ein eigenartig schwammiges Gefühl unter der Schuhsohle. „Bist du sicher, dass das die richtige Adresse ist?“ frage ich meinen Vater und klimpere nervös mit meinen Autoschlüsseln. Eigentlich sind wir auf der Suche nach Lagermöglichkeiten für die Firma meines Vaters und hatten die Information bekommen, dass hier etwas leer stehen soll. Unser Blick wandert über den nun vor uns liegenden Innenhof.

Links von uns bietet sich die Rückseite eines verwahrlosten und verlassenen Wohnhauses, rechts ein zerfledderter, alter Maschendrahtzaun, geradeaus eine große Lagerhalle. Die Rolltore sind heruntergelassen, über die Büroräume daneben aber wurde sich offensichtlich Zugang verschafft. Eingeschlagene Fenster, Scherben, Unrat. Aber offensichtlich interessiert das hier niemanden.

Hier miete ich jedenfalls nichts an“, sagt mein Vater und legt die Stirn in Falten. „Ist bestimmt die falsche Adresse. Lass uns wieder gehen, das ist ja gruselig hier“, sage ich, die Arme verschränkt, die Schultern hochgezogen, obwohl ich nicht friere. Dieser Ort ist unbehaglich und irgendwie dunkel am helllichten Tag. Ein paar Meter weiter tosen Laster und Autos die Hauptstraße entlang, doch hier herrscht eine eigenartige Stille. Keine Ruhe, es ist mehr wie ein unterdrückter Lärm. Während mein Vater noch ein paar Schritte geht um um die Ecke der Lagerhalle zu schauen, lasse ich meinen Blick über den Platz schweifen: Ein Durcheinander aus alter, schmutziger Bekleidung, kaputtem Spielzeug, Teilen von Mobiliar, leeren Bierdosen, und vielem mehr – hier wurde offenbar alles mögliche „entsorgt“- und dann entdecke ich noch etwas anders.

Schau mal bitte!“ rufe ich meinem Vater zu, der auf dem Rückweg seiner Erkundungstour ist und deute mit dem Finger auf den Müllhaufen direkt vor dem zerschlagenen Fenster.

Dort liegen, ein wenig vom Regen aufgeweicht, aufgeschlagene Aktenordner. Mein Vater tritt ein bisschen näher heran, ich gleich hinter ihm. Deutlich zu erkennen: Es sind Lohnabrechnungen.Das sind ja jede Menge Personalakten! Und da –“ ich weise mit einer Kopfbewegung in den Raum hinter dem Fenster. Auf einem Schreibtisch zwischen Dreck und Scherben liegen weitere Ordner; aus einem lugt sogar das Bild einer jungen Frau heraus, ein Bewerbungsfoto wie es scheint.

Irgendwie ein komisches Gefühl oder? Wie das hier alles so offen herumliegt?

Wir werfen uns einen fragenden Blick zu. Ich will am Liebsten auf der Stelle gehen, damit irgendwie nichts zu tun haben. „Weißt du noch, als du dich für deine Ausbildung beworben hast bei jeder Menge Firmen? Wenn ich mir vorstelle, dass deine Unterlagen mit allen Angaben und sogar deinem Foto hier so liegen würden…ich würde ausflippen! Das kann ja jeder sehen, wer weiß wer sich hier herumtreibt.“  „Das ist echt komisch. Was für eine unseriöse Firma machte denn so was, Datenschutz ist ja jetzt nicht mehr so ein Geheimnis, oder?“, mich macht das Ganze irgendwie wütend. Ich weiß nicht so richtig warum. „Naja, bei uns in der kleinen Firma machen wir das schon etwas anders, solche Unterlagen werden fachgerecht entsorgt, nämlich durch den Schredder.“ Aber wenn ein Unternehmen beispielsweise umzieht, wird oft ein Umzugsunternehmen mit der Entsorgung beauftragt – und die machen das nicht immer gewissenhaft. Man muss als Firma da wirklich nachprüfen ob der eigene „Sondermüll“ auch entsprechend entsorgt wurde. Ansonsten ist dies ein klarer Verstoß gegen die Datenschutzbestimmungen und wenn das auffliegt, kann das Unternehmen neben einer Strafe, einen ordentlichen Imageschaden davontragen, auch das geht im Endeffekt ins Geld.

Zu Hause denke ich über den eigenartigen Fund nach. Dieses ganze Thema ist für mich genauso unbehaglich wie die Atmosphäre an dem verlassenen Gebäude. Mir huscht der Gedanke durch den Kopf, dass es nicht immer die anderen sind, die wahllos mit den persönlichen Daten von anderen umgehen. Man selbst muss sich seiner Eigenverantwortung dabei durchaus auch bewusst sein.

Würden Sie einem wildfremden Menschen auf der Straße ihre Adressdaten in die Hand drücken- ohne zu wissen, wofür er sie eigentlich braucht oder nutzt? Oder gar Ihre Kontoverbindung? Geburtstag? Familienstand?
Hoffentlich nicht!

Auch wenn es ein Verkäufer wäre, der mir etwas Tolles anbietet, ich würde doch zögern und mich (oder ihn) fragen, wozu er diese Daten benötigt. Ich wäre weitaus vorsichtiger.

Unterwegs im Netz sind wir schon wesentlich großzügiger mit unseren Daten. Es fühlt sich anonymer an, allein vor dem Monitor. Sehen wir die offenen Aktenordner die für jeden einsehbar sind direkt vor uns, fällt es schwer einfach weg zu schauen, weil sie greifbar, quasi real sind.

Das Empfinden von Gewissen macht uns empathischer und zivilcouragierter in diesem Moment, doch es tut sich die Frage auf, wie wir lernen können, dieses Empfinden im Netz mehr zu sensibilisieren? Auf was kommt es an? Was ist bedenklich? Was ist sicher? Und gibt es „sicher“ überhaupt?

Was müssen Sie bei einem Datenschutzverstoß unternehmen?

Wahrscheinlich würde es Ihnen ähnlich gehen wie Tochter und Vater aus diesem Beispiel. Man fragt sich, ist das wirklich ein Verstoß? Muss ich das melden? An wen wende ich mich? Polizei? Ordnungsamt?…

Wer ist der Ansprechpartner?

Hier finden Sie den richtigen Ansprechpartner und wie es weitergeht in einem solchen Fall von, bzw. Verdacht auf Datenschutzverstoßes:

 

Bundesdatenschutzbeauftragter
BfDI
Die Datenschutzbeauftragte für den Datenschutz und die Informationsfreiheit
Husarenstraße 30
53117 Bonn
Tel. 022899 77990
Fax: 022899 7799550
E-Mail: poststelle@bfdi.bund.de
Landesdatenschutzbeauftragter (NRW)
LDI.nrw
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein- Westfahlen
Postfach 20 04 44
40102 Düsseldorf
Tel.: 0211/38424-0
Fax: 0211/38424-10
E-Mail: poststelle@ldi.nrw.de

So geht’s dann weiter:

  • (Schriftliche) Angaben machen (auch per Mail/Telefon möglich)
  • Sachverhalt schildern (Was ist gefunden/beobachtet worden?, Was ist vorgefallen?, Wo?, Wann?)
  • sofern vorhanden: Fotos beifügen
  • wer im weiteren Verfahren anonym bleiben möchte, muss dies unbedingt hier angeben

Die Stelle geht der Sache dann entsprechend nach, nimmt Kontakt mit der verantwortlichen Firma, bzw. der Person auf und bittet diese um Stellungnahme.

Vertrauliche Versicherten-Akten landeten im Müll

Bankverbindung, Name und Adresse: All dies stand in den streng vertraulichen Akten, die in Aachen in einem frei zugänglichen Abfallbehälter entsorgt wurden

Der Auftraggeber sei in einem solchen Fall verpflichtet, dem Entsorgungsunternehmen genaue Anweisungen für den Umgang mit den Akten zu geben, sagte die Sprecherin der nordrhein-westfälischen Datenschutzbeauftragten, Bettina Gayk. Bewusste Nachlässigkeit bei der Entsorgung von Akten mit sensiblen Daten könne zu einem Bußgeld von bis zu 250.000 Euro führen.

Beispielanschreiben

Sehr geehrte Damen und Herren,

wie in unserem Telefonat am vergangenen Freitag besprochen, hier die schriftliche Angabe zu einem Verdacht auf einen Datenschutzverstoß.

Wir bitten darum anonym zu bleiben und im weiteren Verfahren nicht erwähnt zu werden.

In einem Hinterhof eines leerstehenden Hauses befindet sich eine ebenfalls leerstehende Lagerhalle und eine dazugehörige Büroräumlichkeit. Die Fensterscheiben des Büros sind zerbrochen, die Räumlichkeiten demnach frei zugänglich. Außen vor dem Fenster liegen mehrere Aktenordner einer Firma mit Lohnabrechnungen von Mitarbeitern, weitere Ordner stehen innen in Regalen und liegen auf Schreibtischen.

Adresse, Ort:

Datum der Entdeckung:

 

Es ist außerdem möglich das zuständige Ordnungsamt von dem Sachverhalt in Kenntnis zu setzen.