Die spanische Datenschutzbehörde (AEPD) hat im Fall einer Datenpanne eine Entscheidung getroffen, die im Rahmen des europäischen Datenschutzrechts auch für Unternehmen in Mecklenburg-Vorpommern relevant ist. Im vorliegenden Fall war ein unverschlüsselter USB-Stick mit personenbezogenen Daten gestohlen worden. Obwohl keine Beweise dafür vorlagen, dass Unbefugte auf die Daten zugegriffen hatten, verhängte die Behörde eine Geldstrafe in Höhe von 145.000 Euro.
Das betroffene Unternehmen, AFIANZA ASESORES, S.L., ist auf Rechtsberatung spezialisiert. Auf dem gestohlenen USB-Stick befanden sich unverschlüsselte sensible Daten, die nicht ausreichend geschützt waren. Nach dem Vorfall führte das Unternehmen eine interne Untersuchung durch und meldete den Vorfall 13 Tage später der AEPD.
Die AEPD bewertete die Speicherung dieser Daten ohne Verschlüsselung als fahrlässig und verschärfte daher die Strafe. Die Behörde forderte das Unternehmen auf, die betroffenen Personen zu informieren und leitete daraufhin das Sanktionsverfahren ein.
Argumente des Unternehmens und Entscheidung der AEPD
Das Unternehmen argumentierte, dass es keine Beweise für einen Zugriff Dritter auf die gestohlenen Daten gebe, und dass die Vertraulichkeit somit nicht verletzt worden sei. Es betonte, dass es über Sicherheitsmaßnahmen verfüge und seine Mitarbeiter regelmäßig über Datenschutzvorschriften informiere. Zudem wies es darauf hin, dass die DSGVO keine Verschlüsselung als Pflichtmaßnahme festlege. Das Fehlen einer solchen Maßnahme dürfe daher nicht zur alleinigen Grundlage der Strafe werden.
Die AEPD hielt jedoch fest, dass der Verlust eines unverschlüsselten USB-Sticks bereits einen Verstoß gegen die Vertraulichkeit nach Artikel 5(1)(f) DSGVO darstelle. Obwohl das Unternehmen allgemeine Schutzmaßnahmen vorweisen konnte, fehlten beim USB-Stick konkrete Schutzmechanismen wie Verschlüsselung, die unbefugten Zugriff hätten verhindern können. Zudem stellte die AEPD fest, dass einige Sicherheitsvorkehrungen am Tag des Diebstahls nicht ordnungsgemäß angewendet wurden.
Fazit für Datenschutz in Mecklenburg-Vorpommern
Der Fall verdeutlicht die Notwendigkeit, personenbezogene Daten besonders auf mobilen Datenträgern wie USB-Sticks stets durch geeignete Maßnahmen wie Verschlüsselung zu schützen. Unternehmen und Organisationen in Mecklenburg-Vorpommern sollten sicherstellen, dass Sicherheitsvorkehrungen nicht nur vorhanden sind, sondern auch konsequent umgesetzt werden. Im Rahmen der Datenschutzberatung in Mecklenburg-Vorpommern empfiehlt Datenschutz Nordost, besonderen Wert auf regelmäßige und qualitativ hochwertige Datenschutz-Schulungen zu legen, um die Mitarbeiter im stets richtigen Umgang mit sensiblen Daten zu sensibilisieren. Zumal die aktuelle Entscheidung zeigt: Datenschutzverstöße können nach europäischem Datenschutzrecht selbst dann zu erheblichen Strafen führen, wenn kein nachgewiesener Datenzugriff stattgefunden hat. Datenschutz bleibt ein zentrales Thema bleibt, das sowohl technisch als auch organisatorisch umfassend berücksichtigt werden muss.