Information zur Datenpanne 21.10.2020

aktualisiert 22.10.2020 16:57 Uhr

Trotz sorgfältiger Prozessbeschreibungen, passieren auch den Mitarbeiter/innen des Tausendfüßler Club Fehler. Das tut uns leid, zumal wir uns der Verantwortung bewusst sind.
Natürlich unternehmen wir viel, um das zu vermeiden und den Schaden so gering wie möglich zu halten, unabhängig von gesetzlichen Regelungen.

Was ist passiert?

Leider wurde der Email Verteiler für die Teilnahmen am Online-Tanzen am 21.10.2020 entgegen Arbeitsanweisung von eine/m Mitarbeiter/in offen übermittelt statt geschlossen.
Dadurch haben alle Empfänger der Rund-Mail Einblick in den Verteiler erhalten.

Grund für die Datenpanne war menschliches Versagen durch Mitarbeiter/in vom Tausendfüßler Club Baden e.V.
 

Wer ist betroffen?

Die Teilnehmer vom Online-Tanzen.

Welche Maßnahmen sind ergriffen worden?

22.10.2020

  • 07:25 Uhr Eine betroffene Person hat die Datenpanne bei Alexander Gipp schriftlich gemeldet.
  • 08:05 Uhr Alexander hat die Meldung entgegengenommen (gelesen) und sofort gehandelt:
    - Klärung des Umfangs (86 Emailadressen)
    - Grund des Fehlers: Menschliches Versagen von Mitarbeiter/in. Entgegen der Arbeitsanweisung die EMails per BCC zu versenden wurden die EMails per CC versendet.
    - Mitarbeiter/in auf Fehlverhalten hingewiesen und zukünftig mehr Sorgfalt gefordert.
  • 09:15 Uhr telefonisches Beratungsgespräch mit einem externen Experten, Klärung des weiteren Vorgehens.
  • 10:15 Uhr weitere Informationen zum Umgang und Einordnung von Datenpannen werden eingeholt
  • 13:11 Uhr Information der Betroffenen per Email
  • 13:17 Uhr Bereitstellung der Informationen auf der Homepage
  • 14:16-16:56 Uhr Beratungsgespräche mit verschiedenen Personen
  • 16:57 Uhr Entscheidung Meldung der Datenpanne an die Aufsichtsbehörde [klick]

 

Meldung an die Datenschutzbehörde

DSGVO §33.1
"Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt."
Zuständige Behörde: Landesbeauftragter für Datenschutz Baden-Württemberg [klick]

  • 22.10.2020 08:05 Uhr: Die Datenpanne wird bekannt.
  • 22.10.2020 12:54 Uhr: Nach einer ersten Einschätzung wird keine Meldung an die Behörde vorgenommen, die Teilnehmer kennen sich untereinander und das Risiko für die Rechte und Freiheiten der betroffenen Personen durch die Datenpanne wird als sehr gering eingestuft. Der Findungsprozess ist noch nicht abgeschlossen, es werden weitere Informationen und Meinungen eingeholt.
  • 22.10.2020 16:10 Uhr: Im Rahmen der Risikobewertung ziehen wir den Schriftsatz  "Erwägungsgrund 85 Meldepflicht von Verletzungen an die Aufsichtsbehörde" zu rate.
    Wir sehen keine Gefahr einer physischen, materiellen oder immateriellen Schaden für die Betroffenen. Dass die Datenpanne zu einer der im Artikel aufgeführten Gefahren führt, stufen wir als unwahrscheinlich ein (Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene Person).
    Einzig der Punkt "unbefugte Aufhebung der Pseudonymisierung" könnte bei einzelnen Betroffenen relevant werden, da sich allerdings die betroffenen Personen kennen bzw. während dem Online-Angebot begegnen, bewerten wir auch dieses Risiko als sehr gering und verzichten weiterhin auf eine Meldung bei der Behörde. Weiterhin ist der Findungsprozess noch nicht abgeschlossen, es werden weitere Informationen und Meinungen eingeholt.
  • 22.10.2020 16:57 Uhr nach weiteren Beratung wird eine Meldung die Behörde in die Wege geleitet. Soweit es überblickt wird, muss eine Meldung gemacht werden, wenn ein Risiko besteht, ein geringes Risiko ist ein Risiko, der geringe Grad des Risikos führt so weit nicht dazu, auf eine Meldung zu verzichten. Ein weiteres Argument ist der Wunsch nach Transparenz und Eindeutigkeit seitens der Vereinsführung gegenüber den Behörden und Betroffenen.