Ein Bußgeld der griechischen Aufsichtsbehörde im September gegenüber Vodafone verdeutlicht die ungemeine Wichtigkeit, nach Datenpannen sehr sorgfältige Maßnahmen zur Behebung der Ursachen der Datenpanne zu ergreifen und den zu Grunde liegenden Sachverhalt vollständig zu ermitteln.
Eine Kundin von D.S. PHONE E.E, einem Franchiseunternehmen und Auftragsverarbeiter von Vodafone Griechenland, geriet gleich zwei Mal in den Fokus der griechischen Staatsanwaltschaften, da Vodafone nach einer Datenpanne unzureichende Maßnahmen ergriffen hat.
Was ist passiert?
Die Betroffene hatte über D.S. PHONE E.E einen Handyvertrag abgeschlossen. Durch mehrere Fehler bei dem Franchiseunternehmer wurden unter dem Namen der Betroffenen im Laufe der Zeit insgesamt 28 weitere Telefonnummern registriert. D.S. PHONE E.E fügte mehrfach versehentlich die Kopie des Personalausweises der Betroffenen zu den Anträgen anderer hinzu und das auch in Filialen, in denen die Daten der Betroffenen technisch gar nicht hätten zugänglich sein dürfen.
Eine dieser auf die Betroffene somit registrierten Telefonnummern wurde für Betrugsversuche verwendet. Nachdem Vodafone die Betroffene als Inhaberin der Telefonnummer gegenüber der Staatsanwaltschaft genannt hatte, wurde ein Strafverfahren gegen die Betroffene eingeleitet. Die Unschuld der Betroffenen und die Fehler des Franchiseunternehmers und Vodafone konnten im Folgenden zum Glück aufgeklärt werden.
Vodafone ergriff anschließend mehrere Maßnahmen, insbesondere sperrte das Unternehmen die zu Unrecht beantragten Telefonnummern. Die Auftragsverarbeiter wurden im Folgenden strenger kontrolliert und neue Richtlinien für die Authentifizierungsverfahren erlassen.
Doch der Fall ging weiter: Knapp 6 Monate später wurde die Betroffene erneut von der griechischen Staatsanwaltschaft vorgeladen, wieder wegen einer Straftat mit einer bei Vodafone unter ihrem Namen registrierten Nummer.
Wie konnte dies geschehen?
Es stellte sich heraus: Vodafone hatte zwar in einer seiner Datenbanken vermerkt, dass die betreffenden Telefonnummern unrechtmäßig auf die Betroffene registriert wurden. Die Abteilung, die für die Bearbeitung von Auskunftsanfragen der Staatsanwaltschaften zuständig war, nutzte jedoch eine andere Datenbank, in der diese Vermerke fehlten. Dies führte dazu, das erneut falsche Informationen an die Staatsanwaltschaft herausgegeben wurden.
In den folgenden behördlichen Verfahren zeigten sich weitere Mängel: Es wurde zwar die Erstellung einer Datenschutz-Folgenabschätzung (DSFA) durch Vodafone nachgeholt. Diese bezog sich jedoch nur auf Schutzmaßnahmen für bereits registrierte Vodafone-Kunden. Eine Risiken- und Folgenabschätzung für die Registrierung von Neukunden, insbesondere nachdem Vodafone die Registrierungs- und Authentifizierungsprozesse umgestellt hatte, hatte nicht stattgefunden. Dies führte dazu, dass auch bei Neukunden zum Zeitpunkt des Bußgeldes immer noch keine ausreichend ausreichenden technischen und organisatorischen Maßnahmen zum Schutz der Betroffenen sichergestellt waren.
Auf die Sachverhaltsermittlung kommt es an!
Wird eine mögliche Datenschutzverletzung bekannt, richtet sich der Fokus in der Regel zunächst auf folgende Fragen: Müssen akut Maßnahmen zur Eindämmung der Datenpanne ergriffen werden, wie Schutz von IT-Systemen oder Abschaltung von betroffenen Bereichen? Zügig ist auf Grund der gesetzlichen Fristen auch zu klären, ob Meldepflichten, gegenüber der Aufsichtsbehörde oder den Betroffenen bestehen. Tipps dazu, was bei der Meldung von Datenpannen zu berücksichtigen ist, finden Sie in diesem Blogbeitrag. Weitere Hinweise finden sich oft auf den Websites der zuständigen Datenschutzbehörden, wie zum Beispiel bei dem BayLDA.
Um herauszufinden, welche (Sofort-)Maßnahmen ergriffen werden müssen und ob eine meldepflichtige Datenpanne vorliegt, ist eine gründliche Sachverhaltserfassung von Anfang an unerlässlich. Dabei ist es normal, dass sich gerade kurz nach Bekanntwerden der Datenpanne der Sachverhalt erst schrittweise aufdeckt. Oft müssen mehrere Experten eingebunden und IT-Systeme gründlich analysiert werden, um das gesamte Ausmaß und die Gründe für die Datenpanne zu ermitteln. Bei einer Meldung an die Behörden ist auch der ermittelte Sachverhalt anzugeben, Art. 33 Abs. 3 DSGVO. Der Verantwortliche wird hierbei durch die Auskunftspflichten des Auftragsverarbeiters unterstützt, Art. 33 Abs. 3 Art. 28 Abs. 3 lit. f DSGVO.
Der ermittelte Sachverhalt ist auch Grundlage für die nachträgliche Aufarbeitung der Datenpanne und die Festlegung, ob und welche Änderungen dauerhaft implementiert werden sollten. Werden wichtige Sachverhaltsinformationen übersehen, kann es in den verschiedenen Phasen in dem Umgang mit einer Datenpanne – Akute Maßnahmen, Klärung der Meldepflichten, Nacharbeitung und dauerhafte Behebung – zu Fehlern kommen. Wie im Fall von Vodafone können dadurch unmittelbar erneut Datenpannen ausgelöst werden. Werden nachträglich Informationen zu einer Datenpanne bekannt, z.B. dass die Anzahl der Betroffenen höher ist als gedacht, kann auch eine Nachmeldung bei der zuständigen Aufsichtsbehörde notwendig sein.
Eine wichtige Aufgabe bei der Sachverhaltsermittlung kommt den eingebundenen (Datenschutz-)Beratern zu. Durch gezielte Fragen zu dem Vorfall und den bereits etablierten Prozessen können sie die Fachbereiche und Verantwortlichen bei der Sachverhaltsermittlung unterstützen, insbesondere wenn bei den Verantwortlichen Unruhe auf Grund der Datenpanne herrscht. Mögliche Fragen sind: „Wo werden die betroffenen Daten überall verarbeitet und wofür werden sie verwendet?“, „Greifen andere Systeme auf die betroffene Datenbank zu?“, „Welche internen Richtlinien bestehen für die Prozesse?“. Auch ein Blick in das Verarbeitungsverzeichnis oder in bestehende Compliance-Systeme kann helfen weitere mögliche Auswirkungen der Datenpanne für die Betroffenen und Stellen an denen Maßnahmen ergriffen werden müssen aufzudecken.
Insbesondere bei Verantwortlichen mit vielen Datenverarbeitungen und ggf. komplexeren inneren Strukturen ist sicherzustellen, dass die zu ergreifenden Maßnahmen an allen relevanten Stellen umgesetzt werden und die neu etablierten Prozesse vollständig datenschutzkonform sind. Insbesondere wenn Geschäftsprozesse nach einer Datenpanne umfangreich umgestellt werden, ist es typisch, dass die Nachbereitung einer Datenpanne einen längeren Zeitraum in Anspruch nehmen kann.
Wie ging das Bußgeldverfahren aus?
Die griechische Aufsichtsbehörde erließ Bußgelder gegen Vodafone (700.000 EUR) und D.S. PHONE E.E (40.000 EUR). Die Bußgelder setzen sich aus einer Reihe von Vorwürfen gegen die Parteien zusammen, sowohl aus der ursprünglichen Datenpanne als auch aus dem Umgang mit derselben. Besonders schwer wogen, die erheblichen Nachteile, die die Betroffene durch die Vorladungen bei der Staatsanwaltschaft erlitten hatte. Zudem hatten die organisatorischen Mängel bei Vodafone und seinen Auftragsverarbeitern als Telekommunikationsanbieter potenziell alle Vodafone-Kunden den gleichen Risiken ausgesetzt.
Mit einem angemessenen Datenschutzmanagement ab dem ersten Bekanntwerden der fehlerhaften (Massen-)Registrierung durch Franchiseunternehmer, hätten eventuell mehrere Datenpannen vermieden werden können.
Zu einem in Deutschland bereits gegen Vodafone ergangen Bußgeld können Sie hier weiterlesen.