Datenschutzverletzungen im Zug

Eines von den Kaspersky Labs durchgeführtes Experiment zeigt auf, dass der Umgang mit personenbezogenen Daten in der Öffentlichkeit nicht selten sehr ungezwungen erfolgt.

Ein Tester ist zwischen Ostern und Pfingsten 2019, also ein knappes Jahr nach Einführung der DS-GVO, fünf Tage lang Zug gefahren und hat dabei erfasst, welche Art von Daten ihm ohne weiteres Zutun bekannt geworden sind. Dabei hat er sich lediglich dem „Visual und Audible Hacking“ bedient, er hat also lediglich darauf geachtet, welche Informationen man durch Mitlesen des Bildschirmes eines elektronischen Gerätes (Laptop, Smartphone, Tablet) oder durch das Mithören von Telefonaten gewinnen konnte. Im Ergebnis sind dem Tester eine Vielzahl von personenbezogenen Daten bekannt geworden. Dies betraf in 758 Fällen den Namen des Reisenden und in 903 Fällen den Namen des Unternehmens an sich. Allerdings wurde der Name des Reisenden unter anderem auch dadurch bekannt, dass sich dieser mittels einer ID-Card am Rechner anmelden musste und auf dieser der Name des Mitarbeiters abgedruckt war. Hier lag also die Ursache des Datenschutzverstoßes nicht beim Mitarbeiter selber sondern beim Verantwortlichen, der Firma. Dass der Firmenname als solcher bekannt geworden ist, mag auf den ersten Blick nicht sonderlich schlimm erscheinen. Gerade Firmen an sich haben ja schließlich ein ureigenes Interesse daran, dass der Unternehmensname möglichst bekannt ist. Berücksichtigt man jedoch weiterhin, dass nicht selten Firmeninterna bearbeitet worden sind, ist über den Firmennamen ohne Weiteres eine Zuordnung möglich. Sollte es sich bei diesen Interna also um vertrauliche Daten handeln, kann hieraus dem Unternehmen ein erheblicher Schaden entstehen. In diesem Zusammenhang ist weiterhin besonders gravierend, dass in 159 Fällen die Namen von Kunden, Partnern und Kollegen bekannt geworden sind. Dies stellt einen Datenschutzverstoß im Sinne der DS-GVO dar, der nicht nur mit einem erheblichen Bußgeld geahndet werden kann. Auch ergibt sich aus § 82 Abs 1 DS-GVO ein Schadensersatzanspruch des Betroffenen gegenüber dem Unternehmen, sodass hier mit einer doppelten Belastung des Unternehmens gerechnet werden muss. Schlussendlich zeigt dieses Experiment auf, dass nicht nur im Interesse der Betroffenen, sondern auch im Interesse der Firmen noch einiges an Sensibilisierung im Hinblick auf den Umgang mit personenbezogenen Daten notwendig ist. Die Datenschutzbeauftragten sollten daher zusammen mit den Verantwortlichen geeignete technische und organisatorische Maßnahmen erarbeiten, um den Verlust personenbezogener Daten nicht nur im Zug sondern in der Öffentlichkeit an sich zukünftig zu verhindern.