• An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
Start Aktuelles Verlust eines Datenträgers mit sensiblen Daten – Datenschutzverletzung

  • blogger
  • Facebook
  • Google Bookmarks
  • linkedin
  • Twitter
  • wordpress
  • Yahoo
  • yahoobuzz

S·M·P Kurznews auch via


DSGVO & Klingelschild - ein Überblick
Dienstag, 23 Oktober 2018 05:08
Immobilienertagssteuer - Hauptwohnsitzbefreiung auch bei Miete vor Verkauf
Freitag, 07 September 2018 06:37
INFORMATIONEN / DATENSCHUTZ
Donnerstag, 10 Mai 2018 17:59
doch nur die natürliche Person im Schutzbereich des DSG in Österreich
Montag, 26 März 2018 17:34

Bitte lesen Sie vorab unsere Information zu Datenschutz bei Social Plugins und informieren Sie sich über den Datenschutz. Wenn Sie mit der Datenermittlung und Weitergabe nicht einverstanden sind, dann nutzen sie das Social Plugin nicht. Danke.

Verlust eines Datenträgers mit sensiblen Daten – Datenschutzverletzung

Data Breach Notification – Was ist die Folge? -> Strafe?

 

Die Datenschutzbehörde (DSB) hat mit 24.5.2016 eine sog. „Empfehlung“ ausgesprochen, die sich mit der Frage des Umgangs mit Datenträgern, auf denen auch sensible Daten gespeichert waren, befasst.

Ein Unternehmen hat im Rahmen der Data Breach Notification Duty (§ 24 Abs 2a DSG) der DSB eine Datenschutzverletzung gemeldet. Ein Datenträger mit sensiblen Daten ist verloren gegangen.

Es wurde ein Call-Center-Dienstleister gewechselt. Der bisherige Dienstleister hat die Daten auf einer DVD herauszugeben. Während des Transportes der DVD durch einen erfahrenen Mitarbeiter des Auftraggebers vom alten Dienstleister zur Zentrale des Auftraggebers ging die DVD verloren. Die DVD wurde nicht wiedergefunden.

Im Detail sind auf der DVD die folgenden Datenarten von Teilnehmern am Patientenprogramm enthalten:

Kundennummer, Betreuungseinrichtung (z.B. Krankenhaus und Krankenhausabteilung), Name, Anschrift, Kontaktdaten (Telefon- und/oder Faxnummer und E-Mail-Adresse), Bestellungen, Therapieinformationen, behandelnde Ärzte und Krankenschwestern/Krankenpfleger, Protokolle und technisch relevante Anmerkungen über Telefonate der Betroffenen mit dem ehemaligen Call-Center-Dienstleister im Rahmen der Erbringung der Patientenserviceprogramme und etwaiges Abonnement der Patientenzeitschrift „Z***“.

Im Detail sind auf der DVD die folgenden Datenarten von (nur) Abonnenten enthalten: Kundennummer, Name, Anschrift, Kontaktdaten (Telefon- und/oder Faxnummer und EMail-Adresse), Status als Abonnement der Zeitschrift „Z***“ und Protokolle und technisch relevante Anmerkungen über Telefonate der Betroffenen mit dem ehemaligen Call-Service-Dienstleister im Rahmen des Abonnements.

Der Auftraggeber hat eine Hotline für die Betreuung der vom Datenverlust betroffenen Personen eingerichtet. Es wurden Maßnahmen zur Prüfung durch externe Experten eingeleitet. Interne Standards werden verstärkt.

Die DSB hat ausdrücklich festgehalten, dass sensible Daten (Gesundheitsdaten) vom Auftraggeber verloren wurden. Schon der Datenverlust stellt eine Verletzung datenschutzrechtlicher Verpflichtungen dar. Es ist nicht notwendig, dass es einen Zugriff auf diese (sensiblen) personenbezogenen Daten gibt; schon die Möglichkeit des Zugriffs ist ausreichend.

Aus den datenschutzrechtlichen Bestimmungen ergibt sich die Verpflichtung, die personenbezogenen Daten vor dem Zugriff von unberechtigten Personen zu schützen. Es ist sei „stets die Kontrolle über die im eigenen Zuständigkeitsbereich verarbeiteten Daten aufrecht zu erhalten.

Die Behörde hat keine Strafe ausgesprochen, sondern (lediglich) eine Empfehlung, und zwar in folgender Art und Weise:

1. Die Auftraggeberin möge durch technische Vorkehrungen und entsprechende Verpflichtung ihrer Dienstleister sicherstellen, dass

  1. die Überlassung sensibler personenbezogener Daten, einschließlich des Datentransfers durch den Austausch von Datenträgern, nur unter dem Schutz einer dem Stand der technischen Möglichkeiten entsprechenden und wirtschaftlich vertretbaren Verschlüsselung erfolgt, und

  2. die zur Entschlüsselung des Datenträgers oder der Datei erforderlichen Daten getrennt vom Datenträger oder der Datei ausgetauscht werden.


Diese Entscheidung zeigt sehr schön den Unterschied der österreichischen Gesetzgebung (des DSG) und die Anwendung durch die Behörde (DSB) und den Ansatz, den andere Behörden, wie z.B. in Großbritannien verfolgen. In Ö wird eine „Empfehlung“ ausgesprochen, obwohl der Datenverlust im eigenen Bereich geschehen ist, und die „Nachlässigkeit“ von einem eigenen Mitarbeiter ausgegangen ist, und in UK gibt es eine Strafe von £ 15.000,-- dann, wenn ein mobiles Gerät mit wenigen Datensätzen durch einen Einbruch abhanden kommt. Mit dem Inkrafttreten der DSGVO am 25.5.2018 werden die Strafen in diesem Bereich sicherlich zumindest auf das „EU-Niveau“ steigen (müssen).

 

 

 

  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow