Am 22.08.2017 hatten wir über die bekannt gewordene Datenschutzverletzung der Berliner Verkehrsbetriebe (BVG) berichtet.
Mittlerweile hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit in einer Prüfaktion bei der BVG herausgefunden, dass dem leitenden Angestellten Zugangsrechte für ein Laufwerk eingerichtet wurden, das nicht nur vom Personalrat, sondern ebenso von der Schwerbehindertenvertretung sowie der Frauenbeauftragten genutzt wird, und auf welchem sich auch Dateien befanden, die besondere Kategorien personenbezogener Daten enthielten. Der Führungskraft waren damit Zugriffe auf die dort liegenden Unterlagen möglich, wobei mindestens ein Dokument auch „geöffnet, angesehen und ausgedruckt“ worden sein soll (die Pressemitteilung ist abrufbar unter https://datenschutz-berlin.de/content/nachrichten/pressemitteilungen).
Die Aufsichtsbehörde stellte des Weiteren fest, dass nicht nur ein unbeabsichtigter Fehler der IT-Abteilung bei der Einrichtung der Berechtigungen, sondern „erhebliche Mängel in der Datenschutzorganisation“ zu der Datenschutzverletzung geführt hätten. Neben mangelnder Maßnahmen zur Trennungskontrolle, gebe es keinen ausreichend definierten Prozess, nach welchem Berechtigungen dokumentiert vergeben werden. Auch die zum Zwecke der Datenschutzkontrolle notwendigen Protokollierungen, um Zugänge zum Laufwerk sowie Zugriffe auf die dort enthaltenen Dateien aufzuzeichnen, wurden nicht vorgenommen. Zudem sei die BVG auch ihren Melde- und Benachrichtigungspflichten nach Bekanntwerden der Datenschutzverletzung nicht unverzüglich nachgekommen.
Richtigerweise betont die Aufsichtsbehörde in ihrer Pressemitteilung, dass die BVG kein Einzelfall sei, sondern viele Unternehmen immer noch zu wenig für den Schutz personenbezogener Daten, für die sie verantwortlich sind, täten. Diese sollten sich bewusst sein, dass ab dem 25.05.2018 hierfür Bußgelder in Höhe von bis zu 10.000.000 Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden können.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Am Freitag der vergangenen Woche hat die Gewerkschaft Verdi den Berliner Verkehrsbetrieben (BVG) vorgeworfen, sich Dateien der Personalvertretung nicht nur zugänglich gemacht, sondern diese dann auch genutzt zu haben.
Einem leitenden Angestellten sollen Zugangsrechte für Laufwerke eingerichtet worden sein, die von den Personalräten für ihre Aufgaben genutzt werden und auf welchen zahlreiche Dokumente, u.a. mit sensiblen Beschäftigtendaten, zu finden gewesen sind.
Die Pressestelle der BVG dementiert eine vorsätzliche Handlung; es soll sich vielmehr um einen unbeabsichtigten Fehler der IT-Abteilung bei der Einrichtung der Berechtigungen gehandelt haben. Dieser Fehler wurde 14 Tage später bekannt, woraufhin die Zugangsrechte umgehend wieder entzogen wurden. Einsicht sei in die dort gespeicherten Dateien nicht genommen worden.
Dieser Darstellung des Vorfalls als einen bloßen IT-Fehler, folgt Verdi nicht. Im Gegenteil, es wird von der Gewerkschaft sogar die Erstattung einer Strafanzeige gegen die BVG geprüft.
Zumindest kann man hier wohl eine Datenschutzverletzung i.S.v. Art. 4 Nr. 12 Datenschutzgrundverordnung (DSGVO) annehmen, da personenbezogene Daten unbefugt offengelegt wurden; hierbei ist es unerheblich, ob dies fahrlässig oder vorsätzlich geschah oder ob der leitende Angestellte, dem die Daten angeblich offengelegt wurden, tatsächlich Einsicht genommen hat oder nicht. Daher bedarf es auf jeden Fall der Verbesserung der Datensicherheit, damit ein solcher Vorfall sich nicht wiederholt.
Sofern es sich tatsächlich um eine absichtliche Zugangs- und Zugriffsbeschaffung durch die BVG handelt, wäre dies allerdings eine schwerwiegende Datenschutzverletzung.
Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz