Laut Medienberichten verschickte die Stadt Essen vor wenigen Tagen auf Grund eines internen Versehens eine Liste mit teils sensiblen Daten von 13.000 Bürgerinnen und Bürgern an rund 700 Personen aus der Stadt und verursachte somit eine große Datenschutzverletzung im Sinne von Art. 33 Abs. 1 DSGVO.
Diese „Datenpanne“ wurde ausgelöst als rund 700 Personen, die bereits einen gebuchten Termin im Impfzentrum Essen hatten, über die geänderten Öffnungszeiten im selbigen informiert bzw. um eine Terminverlegung gebeten werden sollten. Durch einen menschlichen Fehler, den eine Sprecherin der Stadt Essen unlängst einräumte, bekamen die 700 Adressaten dieser E-Mail jedoch eine Liste, die Namen, Anschrift, Geburtsdatum, teils auch die Telefonnummer und die E-Mail-Adresse sowie auch den Impfstatus von rund 13.000 Personen enthalten haben soll. Das zuständige Personal in der Verwaltung hatte offenbar vergessen, die Daten der anderen Personen jeweils aus der Liste zu löschen, was eindeutig einer menschlichen Handlung zuzuschreiben ist und kein bloßes technisches Problem darstellt. Die Sachlage ist daher nicht mit Sicherheitslücken zu vergleichen, die in jüngster Vergangenheit bei unterschiedlichen Corona-Teststellen bzw. Webseiten eingetreten waren und große Listen von getesteten Personen mit Gesundheitsdaten betrafen.
Als der sog. Irrläufer in Essen auffiel und sich bereits Empfänger über diesen Fehler beschwerten, wurden alle 700 Bürgerinnen und Bürger erneut angeschrieben, damit über diesen Datenschutzvorfall informiert und ausdrücklich gebeten, diese Datei sofort zu löschen. Diese zeitnahe Information mittels der zweiten E-Mail Nachricht könnte als Benachrichtigung im Sinne von Art. 34 Abs. 1 DSGVO verstanden werden. Ebenso wurde der datenschutzrechtlich relevante Vorfall intern geprüft und der zuständigen Aufsichtsbehörde im Datenschutz in Nordrhein-Westfalen angezeigt.
Interessant wird es sein, wie die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Frau Bettina Gayk, den Vorfall bewerten wird. Einerseits wurde dieser Vorgang vermutlich innerhalb der von Art. 33 Abs. 1 DSGVO bzw. dem Landesdatenschutzrecht vorgesehenen Frist von 72 Stunden gemeldet und mithin könnte auch die Benachrichtigung der betroffenen Personen nach Art. 34 Abs. 1 DSGVO bzw. dem Landesdatenschutzrecht angenommen werden, insbesondere auch durch eine derartige Medienberichterstattung. Andererseits ist die Anzahl der betroffenen Personen (rund 13.000) sehr hoch. Die Darstellung des Impfstatus könnte sogar mittelbar als ein Gesundheitsdatum gem. Art. 9 Abs. 1 DSGVO verstanden werden, wie einige Aufsichtsbehörden bei ihren Einschätzungen zur datenschutzrechtlichen Rechtmäßigkeit der Abfrage des Impfstatus von Mitarbeiter*innen durch den Arbeitgeber immer wieder betonen, so dass die betroffenen Datensätze insgesamt zur Annahme eines schwerwiegenden Verstoßes führen könnten.
Positiv fällt ins Gewicht, dass die Stadt mit dem Vorfall transparent umging und ohnehin schnell reagiert hatte, um auch den Schaden zu verringern. Zugleich stellt sich allerdings die Frage, ob der hier beabsichtigte Prozess nicht lieber hätte über eine Webseite abgebildeten werden können.
Horst Tanner
20. August 2021 @ 10:18
Soll das ein Witz sein? Wie kann es überhaupt zu einem solchen Fehler kommen dass sensible Daten in Listen an Nutzer (oder überhaupt) versendet werden. Pflegen die diese Daten in einer Excel Tabelle welche die sich per email hin und her schicken oder was??? Das wäre nicht nur seit den 90ern nicht mehr Zeitgemäß sondern hoch Inkompetent und mehr als fahrlässig. #Steinzeit?
Datenschutz? ich habe doch nichts zu verbergen ...
18. August 2021 @ 15:35
Klingt fast so, als ob händisch jeweils nicht zutreffende Daten gelöscht werden sollten. Ich hoffe, dass deren EDV da schon etwas weiter ist. Kein Testlauf gemacht?
Die Legal Tech Abzocker sind auch schon auf dem Plan, bieten angeblich 31,59€ für die Abtretung aller Ansprüche und hoffen auf blauäugige Betroffene, die sich über 60% oder mehr Provision nicht aufregen. Interessant auch, dass die zur Prüfung personenbezogene Daten u.a. in die Schweiz, USA und Australien übermittelt.