Und täglich grüßt die Datenpanne

Man ist als Datenschützer Leid gewohnt: Man muss in Sachen Datenpannen und IT-Sicherheit Prävention predigen und wenn hinterher nichts passiert ist, wird man belächelt und als Katastrophenprophet abgestempelt.

Es gehen aber trotzdem täglich die Bearbeitungsanfragen für datenschutzrechtliche Pannen über den Schreibtisch, also irgendjemandem passiert wohl doch irgendwo ein kapitaler Schaden.

Ein Beitrag von Dipl. Ing. Harald Müller-Delius, HMDATA Ing.-Büro für Daten- und Medientechnik

Der Trugschluss, der dahinterliegt, ist in der Statistik begründet: Es macht einfach keinen Sinn, vom Einzelfall auf die Masse zu schließen. Und die Statistik beschreibt kein Einzelschicksal, sondern lediglich eine Eintrittswahrscheinlichkeit.

Wenn ich also im Lotto gewonnen habe, dann ist es ganz leicht gewesen. Von den 14 Millionen möglichen Fehlversuchen redet keiner. Genau aber um mit dieser Diskrepanz zwischen individueller und mathematischer Einschätzung umzugehen, gibt es ein wunderbares einfaches Werkzeug: das Risikomanagement.

Und gerade das sollte im Versicherungsvertrieb doch eine sehr bekannte Methode sein: Das Verhältnis zwischen Schadenhöhe und möglicher Eintrittswahrscheinlichkeit bestimmt meine Ressourcen, mit denen ich das Risiko in den Griff bekommen kann.

Die Schadenhöhe mag jeder für sich selbst einschätzen: Man schüttet so lange Salz in die Wunde, bis es richtig wehtut. Und ein kleinen Appetizer für die Eintrittswahrscheinlichkeit mögen – selbstverständlich anonymisiert und etwas vereinfacht – folgende reale Datenpannen, auch außerhalb der komplexen IT-Sicherheitstechnik, sein.

Fall „Besprechungsraum“

Ein Unternehmer mit guter Umsatzrendite leistet sich in dem firmeneigenen Betriebsgebäude eine neue Büroausstattung mit stylischem Besprechungsraum. Ganz in edlem Milchglas gehalten mit Trennwänden für genug optische Diskretion. Für ein offenes Büroklima sorgt, dass die Glaswände nicht deckenhoch gezogen sind, sondern einen chicken Abstand zur Decke haben. Zusammen mit der gelebten Besucherregelung kann hier kein Besucher Einsicht in sensible Daten des Betriebes erhalten, alle Mitarbeiter sind eingewiesen. Das Chefzimmer ist gleich auf dem Flur gegenüber, dieser telefoniert gerne emotional bei offener Tür …

Natürlich kann jeder Besucher live mithören, was dem Chef auf dem Herzen liegt. Datenpannen passieren eben nicht nur durch IT-Angriffe oder verlorene Dokumente …

Lerneffekt: Es geht eben nicht ausschließlich um die komplexen technischen Hackerangriffe. Es sind oft ganz einfache, profane Dinge, die zur Datenpanne führen.

Das Chefzimmer ist gleich auf dem Flur gegenüber, dieser telefoniert gerne emotional bei offener Tür … Natürlich kann jeder Besucher live mithören, was dem Chef auf dem Herzen liegt.

Fall „Fahrradkorb“

Eine selbstständige Unternehmerin war einkaufen und ließ kurz das Fahrrad mit dem Aktenordner im Fahrradkorb stehen. Einen Aktenordner stiehlt kein Mensch. Nach dem schnellen Einkauf war aber das ganze Fahrrad
weg. Materialschaden unerheblich. Da aber gesundheitliche Gutachten von Patienten im Ordner enthalten waren, ist es aus Datenschutzsicht eine schwere Datenpanne, die auch behördlich meldepflichtig ist.

Lerneffekt: Der Fall mag leichtsinnig erscheinen, steht aber als Synonym für alle Situationen, wo man „nur kurz mal“ zwischenzeitlich etwas anderes erledigen will. Hauptursache Nummer eins: Leichtsinn und Naivität.

Fall „Postausgang“

Ein Unternehmer hat zwei neue Kunden akquiriert. Für jeden wird eine hochwertige Willkommensmappe erstellt mit allen Verträgen, Unterlagen und Beratungsdokumenten und einem ausführlichen Kundenprofil. Die Mappen werden versandfertig verpackt und dem Sekretariat zur Etikettierung übergeben. Es kommt wie gedacht: Ordner und Adressaufkleber werden vertauscht, jeweils der eine Kunde erhält im Folgenden den
Ordner des anderen. Aus Datenschutzsicht: massive Datenpanne. Als Unbeteiligter mag man lächeln, passieren können hätte das in jedem Büro.

Lerneffekt: Anpassung und Einhaltung von Standard-Prozessen (also hier beispielsweise Mappen erstellen, Adressaufkleber erstellen, erst dann disponieren) sind die Lösung. 

Der morgendliche Putzdienst leert den Schredder und steckt das lose Blatt Papier mit den Papierschnitzeln in den Entsorgungsbeutel …

Fall „Papierschredder“

Ein fleißiger Unternehmer arbeitet bis spät in die Nacht für neue Angebote. Am Ende der langen Arbeitsschicht vernichtet er die Fehldrucke im Papierschredder. Dabei fällt unbemerkt ein Blatt hinter den Schredder. Der morgendliche Putzdienst leert den Schredder und steckt das lose Blatt Papier mit den Papierschnitzeln in den Entsorgungsbeutel. Beim Entleeren des Beutels in den gemeinsamen Papiercontainer des Bürokomplexes fällt das Blatt unbemerkt hinter den Container. Gefunden wird es von einem Kollegen aus der gleichen im Bürokomplex ansässigen Firma, für deren Mitarbeiter der Unternehmer individuelle Angebote erstellt hat.

Lerneffekt: Die Summierung von unglücklichen Einzelfällen führt nicht nur zu einer Datenpanne, sondern auch zu einem empfindlichen Reputationsschaden.

Fall „E-Mail-Ähnlichkeit“

Ein Unternehmer führt die Erstberatung eines rentablen Geschäftskunden durch, der auch privat vom Unternehmen betreut werden will. Dabei werden auch die Kontaktdaten aufgenommen. Der Kunde hat einen geläufigen Vor- und einen häufigen Nachnamen, die E-Mail-Adresse privat ist bei einem bekannten Provider gehostet.

Bei der Übersendung der Angebote wird dann neben der Geschäftsadresse auch die Privatadresse des Kunden
im CC angegeben.

Hierbei wird ein Punkt in der E-Mail-Adresse zu viel gesetzt, die E-Mail geht an den falschen, dem Kunden durch die Namensähnlichkeit mittlerweile bekannten CC-Empfänger. Durch den Versand auch an die Geschäftsadresse fällt dies dem Kunden natürlich sofort auf und er verlangt die Erklärung der unangenehmen Datenpanne.

Lerneffekt: Auch hier mag man glücklich sein, nicht selbst Opfer dieser alltäglichen Datenpanne zu sein. Es ist aber Beispiel dafür, wie wichtig es ist, die Sorgfaltspflicht bei jeder einzelnen E-Mail zu wahren.

Fazit?

Meist ist es für die Verursacher von Datenpannen nicht ersichtlich, wie aufwendig die weitere konforme, rechtssichere und abschließende Bearbeitung ist. Da kommen schnell zig Stunden pro Fall zusammen. Auch von daher lohnt sich ein Blick auf die Prävention.

Alle oben genannten – wohlgemerkt realen – Beispiele mögen trivial erscheinen. Aber genau deswegen sind sie in die Auswahl gelangt: Sie hätten wirklich jedem selbst passieren können. Zufall, Leichtsinn, Fahrlässigkeit, Unaufmerksamkeit sind Ursache Nummer eins bei Datenpannen.

Da mag man sich – auch ganz im Sinne des Risikomanagements – schon fragen, warum man überhaupt den ganzen DSGVO-Aufwand im Unternehmen betreiben soll, wenn man mit einfachsten kostenlosen Mitteln ganz erheblich sein Datenschutz-Niveau steigern kann.

Es gibt aber drei gute Antworten darauf:

1. Weil es Gesetz ist.
2. Erst wenn man seine Unternehmensabläufe kennt, kommt man darauf, wo es diese „einfachsten kostenlosen Mittel“ gibt.
3. Kennt man seine Prozesse, gibt es die DSGVO-Compliance dann fast gratis dazu.

Und so wird man als leidenschaftlicher Vertreter seiner Zunft nicht müde, weiterhin gegen alle Windmühlen Aufklärungsarbeit zu leisten und eine Sensibilisierung für den sorgsamen Umgang mit den Daten seiner Kunden herbeizuführen. Dann wird die Welt wieder ein Stückchen besser.

 

Bilder: (1) © Pixel-Shot – stock.adobe.com (2) © Evgeni Schemberger – stock.adobe.com (3) © Demianastur – stock.adobe.com (4) © Africa Studio – stock.adobe.com (5) © Rawf8 – stock.adobe.com (6) © HMDATA Ing.-Büro für Daten- und Medientechnik
.

Bilder: (1) © Pixel-Shot – stock.adobe.com (2) © Evgeni Schemberger – stock.adobe.com (3) © Demianastur – stock.adobe.com (4) © Africa Studio – stock.adobe.com (5) © Rawf8 – stock.adobe.com (6) © HMDATA Ing.-Büro für Daten- und Medientechnik