Im Datenschutznotfall sind wir Ihr zuverlässiger Partner, wenn es um die sachgerechte Information Ihrer Kunden geht!
Georg Nestmann CEO
Massenversendung nach Datenschutzpanne
Datenschutzvorfälle passieren schneller als man denkt, und meist ohne eigenes Verschulden. Denn auch technische Störungen oder Probleme bei Drittanbietern führen dazu, dass personenbezogene Daten Unberechtigten zugänglich werden. Gleichwohl steht man laut DSGVO selbst in der Verantwortung gegenüber Betroffenen.
Durch einen Angriff auf die Datentransferplattform MOVEit waren über 2600 Unternehmen von Datenschutzvorfällen betroffen, die den Dienst nutzten. Unter den betroffenen Unternehmen fanden sich auch namhafte deutsche Firmen. Diese sind verpflichtet, einen derartigen Vorfall ihrer zuständigen Aufsichtsbehörde zu melden.
Doch was ist mit den Betroffenen, um deren Daten es geht?
Diese müssen schnell und für sie zugänglich informiert werden. Unternehmen sollten außerdem auch dabei die Möglichkeit haben, nachweisen zu können, dass die Information bei den Betroffenen eingegangen ist.
Wie können viele Betroffene schnell, sicher und nachweisbar informiert werden? Denn eine einfache E-Mail genügt nicht.
Ihr Team im Notfall - comcrypto
Sie stecken in der Klemme und brauchen schnell zuverlässige Hilfe bei Ihrem Massenmailing? Wir sind Ihr Partner und Retter in der Not. Wir helfen Ihnen, Betroffene einfach sowie nachweisbar per Massenmailings über Datenschutzvorfälle zu informieren.
Schnelle Umsetzung
Im Falle einer Datenpanne gilt es schnell und vor allem gezielt zu agieren. Unser System ist genau für diesen Umstand ausgelegt. Wir stellen Ihnen mit unserem E-Mail-Gateway MXG, dem Mail-Generator-System und der Protokolldatenbank alles zur Verfügung, um Ihnen zu helfen. Von Ihnen benötigen wir lediglich den E-Mail-Inhalt wie Text, Betreff, die Empfänger-Liste sowie etwaige Individualisierungen, wenn diese gewünscht sind.
Im Fall der MOVEit-Datenpanne konnten wir einem deutschen Webportal in kürzester Zeit helfen, erfolgreich 250.000 Kunden zu informieren.
Rechtssicherer Zustellnachweis
Um etwaigen Rechtsstreitigkeiten, die durch Klagen seitens der Betroffenen ausgelöst werden können, zu vermeiden ist es wichtig, dass bewiesen werden kann, dass die Information an diese übermittelt wurde.
Das MXG protokolliert die Zustellung der zu versendenden E-Mail, sobald der Empfänger-Server diese entgegengenommen hat. Ab da ist der Zustell-Status zu jeder Zeit nachvollziehbar und die erfolgreiche Zustellung kann nachgewiesen werden.
Durch das Urteil des Bundesgerichtshofes wurde der Zustellnachweis der E-Mail rechtssicher definiert.
Sichere Übertragung
Um einer erneuten Datenschutzpanne aus dem Weg zu gehen, muss die Informationen an die Betroffenen auf gesichertem Weg geschehen. "Postkarten-Mails" gilt es auszuschließen. Allerdings müssen die Betroffenen auch einfach und für sie umsetzbar an die Daten gelangen. Die Information also nur in einem Portal zum Download zur Verfügung zustellen, ist ebenfalls keine Lösung.
Wir stellen sicher, dass Ihre Informationen gesichert und für Sie nachweisbar über unser E-Mail-Gateway MXG übermittelt wurden. Das bedeutet: Ihre Empfänger erhalten eine einfache E-Mail, die sofort lesbar ist und Sie erfüllen alle Datenschutzvorgaben.
Minimale Kosten für Sie
Ein Datenschutzvorfall kann erhebliche Kosten mit sich ziehen. Hohe Portokosten durch zahlreiche Briefe, um alle Betroffenen zu informieren, sollten nicht dazu zählen. Das Einsparpotenzial durch digitale Kommunikation ist immens.
Infomieren Sie deswegen mittels sicherer E-Mail-Kommunikation mit rechtssicherem Zustellnachweis.
Effektive Abwehr von Ansprüchen
Laut Art. 34 Abs.1 DSGVO müssen Sie die betroffenen Personen informieren, wenn ein absehbarer Schaden vorliegen könnte. Sollte das Risiko als hoch eingestuft werden, müssen alle betroffenen Personen einzeln und umgehend benachrichtigt werden. Im Artikel 34 der DSGVO wird explizit von „Person“ gesprochen. Dies impliziert, dass jede einzelne zu Schaden gekommene Person informiert, werden muss.
„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen, Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“
Weiterhin muss die Person auf einem ihr einfach zugänglichen Weg informiert werden. Ein bloßer „Aushang“ auf der Website genügt in so einem Fall nicht, denn dieser könnte von dem Betroffenen nicht wahrgenommen werden.
Richtig mit Verjährungsfristen für Schadenersatz umgehen
Sobald der betroffenen Person ein materieller oder immaterieller Schaden zugefügt wurde, kann diese auf Schadensersatz klagen. Der Anspruch auf Schadensersatz verjährt laut hat §§ 195, 199 BGB drei Jahre, nachdem der Geschädigte den Schaden festgestellt hat. Die Verjährungsfrist beginnt allerdings erst mit Ende des Jahres, in dem Anspruch entstanden ist und der Geschädigte in Kenntnis gesetzt wurde.
Häufige Fragen zum Datenschutzvorfall
Was ist ein Datenschutzvorfall?
Datenschutzverletzungen sind Verstöße gegen die Datensicherheit und den Datenschutz. Dabei werden personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt gemacht. Ausgelöst können diese durch verschiedene Ursachen wie z. B. einem Hackerangriff, ein fremder USB-Stick, dem Diebstahl eines Smartphones oder wenn unbefugte Mitarbeitende Informationen weitergeben.
Nach Art. 4 Nr. 12 DSGVO können folglich nicht nur vorsätzliche und damit bewusste, sondern auch zufällige Ereignisse mit einbezogen werden.
Muss ich meine Kunden im Datenschutzvorfall informieren?
Art. 34 Abs.1 DSGVO besagt:
„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen, Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“
Es muss also informiert werden, wenn für die betroffenen Personen ein absehbarer Schaden vorliegen könnte. Diese Schadenabschätzung erfolgt durch eine Risikobewertung durch das Unternehmen oder auch durch die zuständige Aufsichtsbehörde.
Allerdings informieren Unternehmen auch bei kleinen Verstößen ihre Kunden oft, um ihre Reputation zu wahren und Transparenz zu sichern.
Ist im Datenschutzvorfall auch der/die Datenschützer/in haftbar?
Mangels vertraglicher Beziehungen kommt eine Haftung des internen betrieblichen Datenschutzbeauftragten für Schäden von Betroffenen regelmäßig nur aus deliktischen Ansprüchen, sog. unerlaubten Handlungen, nach § 823 BGB in Betracht. Dies ist z. B. denkbar, wenn ein Unternehmen aufgrund einer objektiv falschen Beratung eine datenschutzrechtlich unzulässige Maßnahme durchführt und ein Betroffener infolgedessen einen Schaden erleidet.
Externen Datenschutzbeauftragten kommen mangels Arbeitsverhältnisses mit der verantwortlichen Stelle die Haftungsprivilegierungen und -erleichterungen des Arbeitsrechts nicht zugute. In der Regel haften sie daher gegenüber dem jeweils Geschädigten nach allgemeinen vertraglichen Grundsätzen schon bei leichter Fahrlässigkeit in voller Höhe.
Wo besteht der Unterschied zwischen Zustell- und Zugangsnachweis?
Zustellnachweis
Ein Zustellnachweis besagt, dass die Übermittlung der E-Mail an den Empfänger-Server erfolgreich war. Sie besagt allerdings nicht, ob der Empfänger die E-Mail in seinem Postfach auch geöffnet und gelesen hat. Laut des BHG-Urteils vom 11.01.2022 muss also der Absender beweisen können, dass der Empfänger-Server die E-Mail tatsächlich entgegengenommen hat. Das reine "Absenden" der E-Mail genügt also als Beweis nicht aus.
Zugangsnachweis
Der Zugangsnachweis besagt im Gegensatz zur reinen Zustellung, dass der Empfänger die E-Mail zumindest geöffnet oder sogar gelesen hat. Dies kann in manchen Fallen mit einer speziell angeforderten Lesebestätigung bewiesen werden.
Bei Datenschutzvorfällen genügt allerdings, um zu beweisen, dass man alle Geschädigten informiert hat, der Zustellnachweis an den Empfänger-Server.
Mehr Informationen zur Rechtssicherheit von Zustellnachweisen finden Sie hier
Wann birgt der Vorfall ein normales oder hohes Risiko?
Die DSGVO gibt dazu keine Einschätzung.
Allerdings geben DSK und das BayLDA im Kurzpapier Nr.18 und der Orientierungshilfe Auskunft. Zusammengefasst müssen 3 Schritte bedacht werden ob, wie und in welchem Umfang der Vorfall bei welchen Parteien gemeldet werden muss:
Bestimmung möglicher Schäden
- Schäden können physischer, materieller oder immaterieller Natur sein
- daher Schäden wie Identitätsdiebstahl oder -betrug, finanzielle Verluste oder eine Rufschädigung
Abschätzung der Eintrittswahrscheinlichkeit und Schwere möglicher Schäden
- niedrige Eintrittswahrscheinlichkeit: Tatsache, dass E-Mail an einen sehr kleinen Kreis von falschen Adressaten geschickt wurde o. Datenleck innerhalb kurzer Zeit wieder beseitigt wurde
- hohe Eintrittswahrscheinlichkeit: viele Personen und oder besondere Kategorien von Daten sind betroffen
- Dauer des Vorfalls
- die während oder nach dem Vorfall getroffenen Sicherheitsmaßnahmen
- Art der Daten
- die Anzahl der betroffenen Personen
Zuordnung zur Risikoabstufung
- Nach der Risikomatrix der DSK kann eine Zuordnung für „geringes Risiko“, „Risiko“ und „hohes Risiko“ erfolgen.
Die Meldung an die Aufsichtsbehörde muss in jedem Fall erfolgen. Egal welches Risiko. (Art. 33 DSGVO)
Wie muss ich meine Kunden informieren?
Die betroffene Person muss in einfacher und verständlicher Sprache über den Vorfall informiert werden. Weiterhin muss das Opfer aufgeklärt werden, welche Nachteile es zu erwarten hat und ob die Möglichkeit besteht durch eigenes Handeln den Schaden zu minimieren.
Liegen dem Unternehmen bspw. die E-Mail-Adresse all seiner Kunden vor, so ist dies ein geeigneter Kommunikationskanal, wenn die E-Mails verschlüsselt versendet werden können.
