Wenn eine Falschlieferung zur Datenpanne wird

Ein kleiner Fehler des Versanddienstleisters oder ein falsch gedrucktes Label – und schon landet das Paket bei der falschen Empfängerin oder dem falschen Empfänger. Für Kund*innen ist das in erster Linie ärgerlich. Für dich als Online-Händler*in kann das jedoch weitreichende Konsequenzen haben.

In einem Paket stecken nicht nur Waren, sondern auch personenbezogene Daten: Name, Adresse und oft auch Rechnungsunterlagen. In solchen Fällen liegt nicht nur ein Versandfehler vor, sondern darüber hinaus gegebenenfalls eine DSGVO-relevante Datenschutzverletzung.

Was du in diesem Fall tun kannst und oft sogar musst, erfährst du in dem folgenden Tipp der Woche.

Was ist überhaupt eine Datenpanne?

Eine Datenpanne beschreibt zunächst eine Störung der Informationssicherheit. Diese kann unterschiedliche Dimensionen betreffen:

• Wenn unbefugte Personen Zugang zu Informationen bekommen, die nicht für sie bestimmt sind, handelt es sich um die Verletzung der Vertraulichkeit der Daten,
• wenn Daten ungewollt verändert werden, um eine Verletzung der Integrität und
• wenn Daten nicht mehr zugänglich sind, um eine Verletzung der Verfügbarkeit.

Eine Datenschutzverletzung liegt allerdings nur dann vor, wenn die Datensicherheit und der Datenschutz verletzt werden. Davon kann ausgegangen werden, wenn Unbefugte Kenntnis über oder Zugriff auf personenbezogene Daten erhalten haben. Personenbezogene Daten im Sinne der DSGVO sind dabei alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, beispielsweise der Name und die Adresse von Kund*innen.

Durch die falsche Zustellung eines Pakets gelangen in vielen Fällen geschützte Informationen an eine unbefugte Person. Hier liegt zumindest eine Verletzung der Vertraulichkeit vor, es handelt sich also zunächst um eine Datenpanne. Ergibt sich daraus, dass personenbezogene Daten betroffen sind, wie Name und Adresse oder sogar weiterführende Rechnungsunterlagen, liegt außerdem eine Datenschutzverletzung vor.

Muss eine solche Datenpanne gemeldet werden?

Ob ein falsch zugestelltes Paket als Datenschutzverletzung der zuständigen Datenschutzbehörde gemeldet werden muss, hängt maßgeblich von einer Risikobewertung des Vorfalls ab.

Dabei musst du als Händler*in zunächst prüfen, welche Schäden für die betroffene Person entstehen könnten, wie etwa ein Identitätsdiebstahl oder eine Rufschädigung. Anschließend muss eingeschätzt werden, wie wahrscheinlich es ist, dass ein Schaden tatsächlich eintritt. Aus der Kombination von Schadenshöhe und Eintrittswahrscheinlichkeit ergibt sich eine Einstufung des Vorfalls in ein geringes, mittleres oder hohes Risiko für die/den Betroffene*n.

Kommst du zu dem Ergebnis, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, muss der Datenschutzvorfall der Datenschutzbehörde gegenüber gemeldet werden.

Einhaltung der Meldefrist

Die DSGVO schreibt gem. Art. 33 Abs. 1 Satz. 1 vor, dass eine meldepflichtige Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzbehörde gemeldet werden muss. Dabei beginnt die Frist mit der nächsten vollen Stunde nach der Kenntnisnahme des Vorfalls. Dabei ist irrelevant, wer die Kenntnis erlangt hat. Die Kenntnis der Mitarbeitenden wird den Verantwortlichen zugerechnet.

Damit sich alle Mitarbeitenden dieser Verantwortung bewusst sind, sollten sie regelmäßig datenschutzrechtlich geschult werden.

Welche Informationen müssen Betroffene erhalten?

Wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen ermittelt wurde, greift zusätzlich die Mitteilungspflicht. In diesem Fall müssen betroffene Kund*innen in klarer und verständlicher Sprache über die Datenschutzverletzung informiert werden.

Dazu gehört zunächst die Benennung der Art der Datenschutzverletzung, also die Falschzustellung eines Pakets beispielsweise, das sensible Informationen wie Rechnungen etc. enthalten hat.
Ebenso sollten die möglichen Folgen für die betroffene Person deutlich gemacht werden, damit diese einschätzen kann, welche Risiken bestehen und darauf aufbauend ggf. Sicherheitsmaßnahmen ableiten kann.

Außerdem gehört in die Mitteilung eine Information darüber, welche Maßnahmen bereits ergriffen wurden, um den Schaden bei der Kundschaft zu begrenzen.

Zusätzlich sollten Kontaktdaten der zuständigen Ansprechperson angegeben werden, damit die Kund*innen bei Rückfragen eine direkte Anlaufstelle haben.

Dokumentation – auch wenn nicht gemeldet wird

Selbst wenn die Risikobewertung ergibt, dass kein hohes Risiko vorliegt und eine Meldung an die Behörde oder die Kund*innen nicht erforderlich ist, besteht dennoch eine Dokumentationspflicht. Nach Art. 33 Abs. 5 DSGVO musst du als Händler*in alle relevanten Fakten zum Vorfall festhalten, einschließlich der möglichen Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation stellt sicher, dass jederzeit nachgewiesen werden kann, dass der Vorfall verantwortungsvoll behandelt wurde.

Unser Tipp

Eine falsch zugestellte Sendung ist mehr als ein kleiner Versandfehler. Sie kann vielmehr eine meldepflichtige Datenschutzverletzung darstellen.

Da bei einer Datenpanne Schnelligkeit im Handeln gefragt ist bei der Risikoeinschätzung und bei der eventuellen Meldung an die Behörde oder sogar den Mitteilungen an die Betroffenen, liefern wir dir mit unserer Checkliste und unserem Muster zur Dokumentation von Datenschutzvorfällen passgenaue Akuthilfestellungen.

Da die Risikobewertung von Datenpannen nicht trivial ist, sollte immer unsere professionelle Beratung zusätzlich in Anspruch genommen werden. Wir können sehr schnell helfen, die Datenpannen richtig einzuschätzen und helfen bei der Formulierung von Meldungen an die Behörden oder bei Mittelungen an die Betroffenen.