Datenschutz-GAU in Coburg

Heise berichtet von einem schweren Fall von Leichtsinn und diversen weiteren Datenschutz-Verfehlungen im Landkreis Coburg und bei Lieferanten. Betroffen sind der Zweckverband Zulassungsstelle und das Jugendamt des Landratsamtes Coburg.

Auf verschlungenen Wegen gelangte eine SSD mit angesammelten Daten über Bürger und Bürgerinnen sowie zahlreichen Interna der Behörde wieder in den Handel. Diese Wege beinhalten zahlreiche Versäumnisse und am Gipfel auch noch Betrug im Handel – was in dieser Situation aber absolut nebensächlich ist. Denn die Daten sind von äußerst hoher Sensibilität. So sind nicht nur Schriftwechsel, Vollmachten und Zulassungsunterlagen enthalten, sondern auch Details zu Vorgängen des Jugendamts wie Heimunterbringung und unterschiedliche Zwangsvorgänge. Daten, die niemals unverschlüsselt auf einem Endgerät irgendwo abgelegt werden dürften. In diesem Fall landeten sie am Ende zum Glück in Händen, die achtsam damit umgingen und zur Aufdeckung beitragen. Jedoch ist in keiner Weise klar, ob noch weitere SSDs mit derartigen Daten anderweitig wieder im Umlauf sind – das ist sogar wahrscheinlich.

“Sowas kann uns nicht passieren”

Wie ist es um Ihre Konzepte für den Datenschutz bestellt? Und wie läuft die Umsetzung im Alltag tatsächlich?

Die Datenschutzgrundverordnung (DSGVO) erfordert zumindest umfangreiche Dokumentation aller Verfahren, die personenbezogene Daten verarbeiten. Technisch und organisatorische Maßnahmen zu deren Schutz sind ebenfalls nach klaren Vorgaben zu treffen und zu dokumentieren. Beim Fehlen dieser Dokumentation und insbesondere bei Verstößen gegen den Datenschutz drohen inzwischen äußerst empfindliche Strafen (10 Millionen Euro gegen 1&1, 110 Millionen Euro gegen Hotelkette Marriott). Für Behörden sieht es noch etwas anders aus.

Datenschutz auf dem Prüfstand

In jedem Fall aber gilt: sich in Sicherheit zu wiegen, nur weil man einen Datenschutzbeauftragten bestellt und gemeldet hat, reicht nicht aus. Lassen Sie Ihre Konzepte und Verfahren auf den Prüfstand stellen. Begreifen Sie Datenschutz und IT-Sicherheit als einen Prozess, kein einmaliges Projekt. Sprechen Sie uns gerne an für eine zügige Einschätzung der Risiken und Ihrer Readiness in Sachen Datenschutz und IT-Sicherheit.