Hintergrund der Entscheidung
Ende des Jahres 2021 erreichten das ULD mehrere Beschwerden von Kunden eines Unternehmens, bei dem diese Online-Geschenkgutscheine für Kinobesuche erworben hatten. Gemeinsam mit ihrer eigenen Rechnung waren ihnen die Kaufbelege von jeweils bis zu 45 weiteren Personen zugesandt worden.
Bei den in den Rechnungen enthaltenen personenbezogenen Daten handelte es sich um den Namen, die Anschrift und die Kundennummer der Kundinnen und Kunden sowie deren Telefonnummern. Ebenfalls in den Rechnungen abgedruckt waren an die beschenkten Personen gerichtete Grußtexte, aus denen sich teilweise weitere personenbezogene Daten ergaben.
Aus dem übermittelten Schriftwechsel ergab sich, dass das Unternehmen über die Verletzung des Schutzes personenbezogener Daten benachrichtigt worden war, eine entsprechende Meldung des Verantwortlichen an die Landesbeauftragte für Datenschutz war jedoch nicht erfolgt.
Die Prüfung ergab, dass das Problem grundsätzlich schon vorher existierte, jedoch aufgrund des geringen Bestellaufkommens zuvor nie zum Tragen kam. Der Fehler trat nur dann auf, wenn innerhalb einer Minute mehr als eine erfolgreich abgeschlossene Bestellung durchgeführt wurde. Dieser Umstand führte nach Angaben des Verantwortlichen auch dazu, dass der Fehler bei routinemäßigen Tests und auch im Produktivbetrieb des Shops bisher nicht aufgetreten war. Da das Problem nicht behoben werden konnte und es weiterhin zu Fehlversand kam, wurden die E-Mail-Anhänge komplett deaktiviert.
Kein Datenschutzverstoß nach Auffassung des Verantwortlichen
Eine Verletzung des Schutzes personenbezogener Daten lag nach Auffassung des Verantwortlichen nicht vor, da es sich bei den durch die Rechnungen offengelegten Daten um Daten eines normalen Schutzbedarfs handele, die typischerweise auch dem Telefonbuch und im Einzelnen auch anderen öffentlichen Medien zu entnehmen seien. Deshalb führe der Fehlversand der Rechnungen nicht zu einem voraussichtlich hohen Risiko für die Rechte und Freiheiten natürlicher Personen. Eine Meldepflicht habe daher nicht bestanden.
Unterlassene Meldung einer Datenschutzverletzung
Dieser Einschätzung folgte das ULD nicht, da weder mobile Telefonnummern noch vollständige Namen unter Angabe der Anschrift üblicherweise in Telefonbüchern vermerkt wüden, sondern zumeist – wenn überhaupt ein Eintrag vorliegt – lediglich der Hausanschluss unter Anfügung eines Anfangsbuchstabens oder des Vornamens eines Familienmitgliedes.
Im Hinblick auf ein mögliches Risiko sei insbesondere zu beachten, dass tatsächlich einzelne Informationen den öffentlichen Medien zu entnehmen seien, die durch den vorliegenden Sachverhalt um Informationen ergänzt werden könnten. So wäre es möglich, anhand des Namens einer betroffenen Person deren Profil in den sozialen Medien aufzufinden oder durch Einspeichern der mobilen Telefonnummer ein möglicherweise bei einem Messengerdienst hinterlegtes Profilbild zu erlangen. Zudem sei eine Kontaktaufnahme problemlos möglich, da die Telefonnummer sowie die Anschrift durch die erfolgte Übermittlung bekannt waren. Bei Zusatzinformationen könnten diese ebenfalls genutzt werden, um etwa eine Bekanntschaft mit den in den Grußworten genannten Personen vorzugeben.
Verarbeitung ohne Rechtsgrundlage
Neben der Verletzung des Schutzes personenbezogener Daten wurde die Rechtmäßigkeit der Erhebung der Telefonnummer geprüft. Hierzu teilte der Verantwortliche mit, dass diese zur Erfüllung des Vertrags erforderlich sei, da in seltenen Einzelfällen physische Gutscheine nicht aktiviert werden könnten. Um in solchen Fällen eine schnelle Klärung herbeizuführen, könne der betroffene Kunde direkt kontaktiert und um Übermittlung des Barcodes gebeten werden, sodass eine manuelle Nachaktivierung erfolgen könne.
Diese Darstellung betrachtete das ULD als nicht schlüssig, da es sich bei den physischen Gutscheinen um Geschenkkarten oder -boxen handele, die sich zu dem Zeitpunkt, zu dem ein Defekt oder das Fehlen des Barcodes bemerkt werde, üblicherweise nicht mehr im Besitz des Schenkenden befänden. Eine telefonische Kontaktaufnahme zu diesem würde eine Klärung somit nicht oder nur in seltenen Fällen ermöglichen. Zudem wäre nicht ersichtlich, wie dem Verantwortlichen ohne eine vorherige Kommunikation, der Defekt oder das Fehlen des Barcodes zur Kenntnis gelangen könnte. Nach alldem wäre nicht ersichtlich, wie es zu einer ersten Kontaktaufnahme vonseiten des Unternehmens zur Lösung der beschriebenen Problematik kommen könnte.
Unzureichende technische und organisatorische Maßnahmen
Des Weiteren habe der Fehlversand aufgezeigt, dass durch den Verantwortlichen keine geeigneten technischen und organisatorischen Maßnahmen getroffen worden waren, um eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten. Dabei wurde insbesondere beanstandet, dass Korrekturen aufgrund von lediglich vermuteten Fehlerquellen erfolgten und ein geeignetes Testverfahren nicht vorhanden war, um die Wirksamkeit der ergriffenen Maßnahmen zu prüfen.
Handlungsempfehlung
Zur Vermeidung von und beim Umgang mit Datenschutzverstößen, empfiehlt es sich:
- Rechtsgrundlagen der Verarbeitung regelmäßig überprüfen
- E-Mail-Anhänge verschlüsseln
- Getroffene technische und organisatorische Maßnahmen auf ihre Wirksamkeit hin prüfen
- Nach Datenschutzverstößen eine umfassende, dokumentierte Entscheidung für oder gegen eine Meldung der Datenpanne anfertigen