Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) berichtet in seinem aktuellen Tätigkeitsbericht 2023 über folgenden Fall: Personen, die bei einem Unternehmen Online-Geschenkgutscheine für Kinobesuche erworben hatten, erhielten nach Kaufabschluss neben ihrer eigenen Rechnung auch Rechnungsdokumente von (bis zu 45) weiteren Personen. Offengelegt wurden dadurch Name, Anschrift, Kunden- und Telefonnummer der Bestellenden sowie Grußtexte an die Beschenkten, die z. T. ebenfalls personenbezogenen Daten (z. B. Name, Spitzname) oder Informationen zum Anlass der Beschenkung umfassten. Derartige E-Mail-Fehlversendungen traten dabei über einen Zeitraum von mindestens 21 Tagen auf und wurden der Aufsichtsbehörde schließlich durch mehrere Beschwerden bekannt, da Befürchtungen bestanden, dass auch die eigenen Rechnungsinformationen gegenüber anderen offengelegt worden waren. Eine Meldung nach Art. 33 DSGVO über die Datenschutzverletzung durch das verantwortliche Unternehmen war hingegen nicht erfolgt.

Verwarnung durch die Aufsichtsbehörde

Im Rahmen einer Anhörung und genauerer Nachfrage durch die Aufsichtsbehörde teilte das Unternehmen einen technischen Fehler als Ursache der Vorfälle mit, der – trotz Korrekturversuchen – nicht habe ermittelt werden können, sodass der Rechnungsversand bis zur konkreten Klärung eingestellt worden sei. Das Unternehmen wurde letzten Endes aus drei Gründen von der Behörde verwarnt:

  1. Unterlassene Meldung gemäß Art. 33 DSGVO an die Aufsichtsbehörde. Zwar wurde seitens des Unternehmens argumentiert, dass der Rechnungsfehlversand nicht zu einer meldepflichtigen Verletzung des Schutzes personenbezogener Daten geführt habe, da die dadurch offengelegten Daten ebenfalls in Telefonbüchern oder teilweise in anderen öffentlichen Medien verfügbar seien. Dieser Begründung erteilte die Aufsichtsbehörde allerdings eine Absage. Zum einen seien in Telefonbüchern – sofern es überhaupt einen Eintrag gäbe – im Vergleich zu den Rechnungen weniger detaillierte Informationen aufgeführt. Zum anderen könnten tatsächlich (in anderen Medien) veröffentlichte personenbezogene Daten mit den auf den Rechnungen enthaltenen Angaben ergänzt werden. Daraus resultierten wiederum mögliche Risiken für die Betroffenen wie bspw. eine Kontaktaufnahme.
  2. Unzureichende technisch-organisatorische Maßnahmen zur Datensicherheit nach Art. 32 DSGVO. Des Weiteren stellt die Aufsichtsbehörde fest, dass das Unternehmen keine geeigneten technischen und organisatorischen Maßnahmen getroffen habe, um eine angemessene Sicherheit der im Rahmen des Rechnungsversands verarbeiteten personenbezogenen Daten zu garantieren. Insbesondere kritisiert wurden die (fehlgeschlagen) Korrekturmaßnahmen aufgrund lediglich vermuteter technischer Fehlerquellen und das Fehlen eines Testverfahrens zur Prüfung, ob diese Korrekturen tatsächlich erfolgreich waren, bevor der Rechnungsversand fortgeführt wurde.
  3. Unzulässige Verarbeitung personenbezogener Daten entgegen Art. 5 Abs. 1 lit. a DSGVO. Schließlich bemängelte die Aufsichtsbehörde auch die Erhebung der Telefonnummern von den Personen, welche die Online-Geschenkgutscheine erworben hatten. Während das Unternehmen erklärte, dass es diese zur schnellen Kontaktaufnahme benötige, sofern ein Gutschein nicht aktiviert werden könne, folgte die Aufsichtsbehörde diesem Argument nicht. Zum Zeitpunkt der Aktivierung befänden sich die Gutscheine bereits im Besitz der Beschenkten. Außerdem sei nicht klar, wieso in diesen Fällen von einer ersten Kontaktaufnahme seitens des Unternehmens ausgegangen werde bzw. wie diesem der Fehler ohne eine vorherige diesbezügliche Kommunikation bekannt sein solle. Die unrechtmäßige Erhebung von Telefonnummern hat das Unternehmen laut Behörde eingestellt.

Fazit

Der beschriebene Sachverhalt zeigt eines ganz klar auf: Im Zuge eines Datenschutzvorfalls können (der Datenschutzaufsichtsbehörde) auch gleich mehrere Verstöße gegen die DSGVO bekannt werden. Um diese Situation zu vermeiden, sollten Verantwortliche die Rechtmäßigkeit der von ihnen verarbeiteten Daten, die Angemessenheit der getroffenen technisch-organisatorischen Maßnahmen sowie die Einhaltung der weiteren Vorgaben aus der DSGVO stets prüfen. Sofern eine Datenschutzverletzung aufgetreten ist, sind bestehende Melde- und Benachrichtigungsobliegenheiten nach Art. 33, 34 ebenfalls streng (ggf. mithilfe eines benannten DSB) zu prüfen. Es sollte berücksichtigt werden, dass der Vorfall – wie im beschriebenen Fall – der Aufsichtsbehörde ohnehin bekannt werden kann und Verstöße gegen Art. 33, 34 DSGVO von ihr geahndet werden können.