Kommunikation und Meldepflichten
Als Hausverwalter bei Datenschutzpannen richtig reagieren
Eine WEG-Betreuerin schreibt eine E-Mail. Deren Inhalt ist ein einfacher Hinweis darauf, dass verschiedene Punkte in der nächsten Eigentümerversammlung nochmals angesprochen werden sollten. Aber sie landet beim falschen Empfänger.
Die Empfängerinnen und Empfänger der E-Mail sind zwei Beiräte und eine Eigentümerin. So hat sie alle Beteiligten in Ihrem E-Mail-Programm angeschrieben, bemerkt aber zunächst nicht, dass die E-Mail-Adresse der eines Empfängers verwechselt wird. Die „Auto-Ausfüllen-Funktion“ des Mailprogramms verursacht eine kleine Verwechslung mit anschließend großer Wirkung. Anstatt „Maxi-Mustermann@…“ benutzte sie „Maxi.Mustermann@…“. Die Funktion des Mailprogramms ist natürlich eine praktische Sache. Jedoch stellt sie auch eine der häufigsten Ursachen für klassische „Datenpannen“ dar. Gemäß Art. 4 Nr. 12 DSGVO wird eine eine „Verletzung des Schutzes personenbezogener Daten“ wie folgt definiert:
Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Meldung an die Behörde
Sobald es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist, muss gemäß Art. 33 DSGVO eine Meldung bei der zuständigen Aufsichtsbehörde vorgenommen werden. Dabei ist nicht mehr wichtig, um welche Daten es sich handelt, – also besondere Daten wie etwa Gesundheitsdaten, genetische oder politische Meinungen, sexuelle Ausrichtung – sondern dass es sich um personenbezogene Daten handelt. Und wenn man sich die gesetzliche Definition genauer vornimmt, wird schnell klar, dass sozusagen jedes Versehen im Umgang mit personenbezogenen Daten eigentlich eine „Verletzung des Schutzes personenbezogener Daten“ darstellen kann und gleichzeitig eine Meldepflicht bei der zuständigen Aufsichtsbehörde auslöst.
Im oben genannten Fall handelt es sich also um eine unbefugte Offenlegung personenbezogener Daten. In der Hektik eines Arbeitstages kommt so etwas tatsächlich sehr häufig vor. Zumal der falsche Empfänger zwar ein Kunde der Hausverwaltung ist, allerdings aus einer anderen Wohnungseigentümergemeinschaft. Die WEG-Betreuerin greift umgehend zum Telefon, kontaktiert die falsche Empfängerin und klärt sie über den Fehlversand auf. Ferner entschuldigt die WEG-Betreuerin sich für den Vorfall und versichert, dass sich solch ein Fehler künftig nicht mehr ereignen wird. Mit diesem Versprechen gibt sich die falsche Empfängerin aber nicht zufriedengeben und beschwert sich prompt bei der zuständigen Aufsichtsbehörde.
Die Behörde wiederum fordert nun die Hausverwaltung auf, zu dieser Angelegenheit Stellung zu nehmen. Die Hausverwaltung soll prüfen, ob im vorliegenden Fall eine Verletzung des Schutzes personenbezogener Daten nach Art. 33 DSGVO vorliegt und wie die Hausverwaltung zu dem Ergebnis gekommen ist, dass hier keine Meldepflicht nach Art. 33 Abs. 1 DSGVO vorliegt. Denn – und das ist äußerst interessant – die Behörde teilt mit, dass eine Meldung des Unternehmens zu dem Vorfall nicht eingegangen ist. Die Behörde verlangt also hier entsprechend Stellung zu nehmen und eine Erklärung zu abzugeben, warum eine Meldung bei der Behörde nicht eingereicht wurde.
Interne Abwägung
Im Klartext heißt dies, dass selbst so ein „kleines Versehen“ mindestens eine interne Abwägung des verantwortlichen Hausverwalters in Zusammenarbeit mit dem DSB nach sich ziehen muss, bei der dokumentiert wird, ob hier durch die unbefugte Offenlegung personenbezogener Daten für die Betroffenen schwerwiegende Beeinträchtigungen drohen und es zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen kommen könnte. Kommt man hier zu einem Ergebnis, dass ein „geringes Risiko“ für die Rechte und Freiheiten der Betroffenen zu erwarten ist, kann die Meldepflicht bei der Behörde durchaus entfallen. Diese Dokumentation sollte man der Behörde mit entsprechender Argumentation vorlegen können. Leider kommen Datenpannen, wie eingangs beschrieben, oft mit der falschen Einschätzung des Verantwortlichen daher: „Das kann doch schon mal passieren“.
Auch bei erlaubter Adressnutzung Datenschutz beachten
Ein Trugschluss. Auch wenn die Hausverwaltung in der Regel die E-Mail-Adressen aller Kunden (Mieter Eigentümer) nutzen darf, bedeutet das noch lange nicht, dass sie hier wichtige datenschutzrechtliche Aspekte außer Acht lassen darf. Auch die Meinung, dass eine vorliegende datenschutzrechtliche Einwilligung zur Weitergabe von Daten an einen Dritten (z.B. Handwerker, Hausmeister etc.) hier als „legitime Lösung aller Probleme“ eingesetzt werden kann, ist ein Irrglaube. Alle Mitarbeiter einer Hausverwaltung haben darauf zu achten, dass jeder Dritte auch nur solche Daten erhält, die für ihn bestimmt sind und er somit für den Erhalt berechtigt ist.
Zurück zu unserem Fall. Die Hausverwaltung kann nun eben nicht belegen, dass eine interne Abwägung vorgenommen wurde, welche zum Ergebnis führt, dass die Meldung gemäß Art. 33 DSGVO nicht vorgenommen werden musste. Fatalerweise hat der Verantwortliche den extern benannten Datenschutzbeauftragten (eDSB) über diesen Vorfall auch nicht informiert. Erst als die Behörde den Verantwortlichen zu einer Stellungnahme auffordert, wird der externe Datenschutzbeauftragte involviert. Nach Prüfung des Vorfalls kam der eDSB zum Schluss, dass eine Meldepflicht ursprünglich vorlag. Kann man die Meldung jetzt noch nachreichen? Leider nein!
72 Stunden! Die Uhr tickt
Der Verantwortliche hätte die Datenpanne binnen 72 Stunden an die zuständige Aufsichtsbehörde melden müssen. Erfolgt die Meldung später, ist in der Regel eine entsprechende Begründung notwendig. Daraufhin führt der eDSB eine umfangreiche Korrespondenz, in welcher er darlegt, dass die Mitarbeiter des Verantwortlichen regelmäßig geschult wurden, dass es ein entsprechendes Datenschutzniveau gibt, dass die Mitarbeiterin sich sofort bei der falschen Empfängerin gemeldet und sich für das Versehen entschuldigt hat, dass man zukünftig hier die Arbeitsweise und Prozesse entsprechend anpassen wird bzw. alle Mitarbeiter erneut sensibilisiert werden und dass bei mehreren Empfängern nur noch die „BCC-Funktion“ genutzt wird. Außerdem teilt der eDSB mit, dass man das Feature „Auto-Ausfüll-Funktion“ im Mailprogramm bei allen Mitarbeitern deaktiviert hat.
Antwort der Behörde
Nach etwa sechs Wochen teilte die Behörde dann folgendes mit:
(..) …aufgrund der Tatsache, dass die Hausverwaltung sich wegen der irrtümlichen Versendung der E-Mail bereits mit der Beschwerdeführerin unmittelbar nach der Kenntnisnahme des Vorgangs in Verbindung gesetzt, sich mir gegenüber kooperativ gezeigt und Ihr Datenschutzbeauftragter das Verfahren beim Versand von E-Mails angepasst bzw. weitere Anpassungen angekündigt hat und weitere Verstöße nicht zu erwarten sind, kann ich von einer weitergehenden aufsichtsbehördlichen Maßnahme zunächst absehen.
Ich weise Sie jedoch darauf hin, dass, sollten jedoch wiederholt Hinweise oder eine Beschwerde eingehen, ich mir ein Aufgreifen des Verfahrens ausdrücklich vorbehalte, sodass dann auch weitere aufsichtsbehördliche Maßnahmen, wie etwa die Verhängung eines Bußgeldes, in Betracht kommen.
Diese Antwort ist ein klassischer „Schuss vor den Bug“, denn die Behörde kommuniziert hier ganz klar, dass man den Hausverwalter im Auge hat. Es ist auch festzustellen, dass Aufsichtsbehörden nunmehr wesentlich aggressiver gegen etwaige Verfehlungen vorgehen. Kein Wunder, denn immerhin ist die DSGVO seit drei Jahren in Kraft. Die Schonzeit ist definitiv vorbei.
Meldung an die Betroffenen
Noch viel unangenehmer als die Meldung bei der Aufsichtsbehörde, dürfte wohl das Eingeständnis eines Fehlers im Umgang mit personenbezogenen Daten gegenüber dem Betroffenen selbst sein. Art. 34 Abs. 1 DSGVO schreibt vor, dass die Betroffenen über eine Datenschutzverletzung informiert werden müssen, wenn ein „voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten“ für die Personen besteht. Schon die offizielle Meldung einer Datenpanne an eine Behörde ist mitunter für den Verantwortlichen unangenehm genug. Umso schlimmer wird es dann, wenn man gegenüber den eigenen Kunden zugeben muss, dass eine Datenpanne entstanden ist. Gemessen an seiner Tätigkeit und am Status (treuhänderische Tätigkeit, Umgang mit Finanzen etc.) des Verantwortlichen wird die Mitteilung einer Datenpanne nicht gerade Jubelschreie bei den Eigentümern und Mietern hervorrufen. Ganz im Gegenteil: Das Ansehen des Verwalters und seine Vertrauenswürdigkeit könnten stark und nachhaltig beschädigt werden.
Das wissen auch die Behörden. Und weil eine Datenpanne mitunter existenzbedrohend sein kann, empfehlen die Behörden, sich vor der Benachrichtigung nach Art. 34 DSGVO, mit der Behörde über das weitere Vorgehen intensiv auszutauschen. Nicht zuletzt deswegen, weil auch dem Betroffenen gemäß Art. 82 Abs. 1 DSGVO ein Recht auf Haftung und Schadensersatz zusteht, sollte für ihn aufgrund der Datenpanne ein materieller oder immaterieller Schaden entstanden sein. Daher ist es besonders ratsam, grundsätzlich die Benachrichtigung an die Betroffenen vorher mit der Behörde, einem Anwalt und/oder einem kompetenten Datenschutzbeauftragten vorzunehmen.
„Senden-Button“ als Datenschleuder
Die Korrespondenz per E-Mail dürfte wohl nach dem Telefon das am häufigsten verwendete Kommunikationsmittel sein. Daher ist hier besondere Aufmerksamkeit im Umgang mit diesem Medium geboten, um die Datenschutzverletzung nicht beim Klicken auf den „Senden-Button“ auszulösen. Auch E-Mails von Kunden, die sich über einen anderen Mitbewohner im Hause beschweren, werden oft von der Hausverwaltung einfach an den Beschwerdeempfänger 1:1 – also mit Absenderadresse und allen weiteren Informationen- weitergeleitet. Auch hier kommt es häufig zu Beschwerden und Eingaben bei den zuständigen Aufsichtsbehörden.
Behörden sind zwar personell chronisch unterbesetzt, dennoch gut organisiert. Häufen sich die Beschwerden über einen bestimmten Verantwortlichen, ist sehr wohl zu erwarten, dass auch mal eine „Prüfung des Unternehmens“ vorgenommen wird. Dann rückt die Behörde mit einer kleinen Entourage an und nimmt das gesamte Datenschutzniveau in Augenschein Wer hier eine aussagekräftige Dokumentation vorlegen kann, hat gute Chancen nur ermahnt zu werden. Ansonsten droht ein Bußgeldbescheid.