Was kann oder sollte man tun, wenn man einen Datenschutzverstoß oder Vorfall bemerkt?
Wie geht man am besten damit um? Welche Anlaufstellen gibt es? Welche Fälle sind für welche Ansprechpartner geeignet?
Welche Rechte und Pflichten gehen damit einher?
Sorry, aber warum ist die Erde rund?
Mal ehrlich, was für eine Antwort erwartest du bei so total allgemeinen gehaltenen Fragen?
Wähle die 110. Hallo Polizei, ich würde gerne einen Datenschutzverstoß melden.
Ja, deine Antwort zeigt leider deinen Geist.
Wenn du einen Vorfall bei einem Unternehmen hast, wird es ein Dokument geben namens Datenschutzhinweise o.s.ä., darin sind die Hälfte Deiner Fragen beantwortet. Ansonsten gehe zur deiner lokalen Datenschutzbehörde für deine Anlaufstelle. Was ist daran so schwer?
Aber das du sinnentleert hier mit 110 kommt, Hut ab für die interlektuelle Leistung.
Du hast mich danach gefragt, welche Antwort ich erwarte. Das wäre eine Antwort gewesen, die ich bspw. erwartet hätte.
Ist die Meldung eines Datenschutzverstoßes freiwillig oder ist man moralisch oder rechtilch sogar dazu verpflichtet einen Vorfall zu melden - vor allem, wenn eine Vielzahl an Leuten betroffen sind. Warum sollte man den Stress auf sich nehmen?
Wenn das bei Deinem Arbeitgeber ist, sollte dieser einen Ansprechpartner nennen was man in so einem Fall zu tun hat. Wen es um einen wirklichen Verstoß geht ist dieser den Behörden zu melden und Abhilfe zu schaffen.
Wenn Du glaubst das dieser unter den Teppich gekehrt wird, ist Deine Moral gefragt, Du kannst Dich auch jeder Zeit an die Datenschutzbehörde wenden, glaube aber nicht, das die besonders schnell darauf reagieren.
Wenn es Dich selbst betrifft und gleichzeitig andere, wenn möglich die anderen Informieren und Beschwerde einreichen.
Ob Du die Pflicht hast es zu Melden? Wenn es keine Vorschrift gibt die Dir das gebietet oder Deine Moralvorstellung es ablehnt sich damit zu befassen, kann ich nur hoffen, das jemand anders die Eier hat es zu melden.
Du hast Du Wahl, wie immer eigentlich.
Unternehmen, Behörden, Vereine usw. sind gesetzlich verpflichtet, ihrer zuständigen Datenschutzaufsicht eine Datenschutzverletzung zu melden, die sich in ihrem Verantwortungsbereich zugetragen hat (Art. 33 DS-GVO).
Betroffene Personen können sich bei einer Datenschutzaufsicht beschwerden, wenn sie denken, dass mit ihren personenbezogenen Daten nicht richtig umgegangen wird.
Ansonsten kann man auch Sachverhalte, wo man nicht selbst betroffen ist, aber wo man glaubt, dass ein Datenschutzverstoß vorliegt, auch als Hinweis an die Datenschutzaufsicht melden, allerdings ist dann nicht unbedingt sicher, dass dem auch nachgegangen wird.
Davon würde ich dringend abraten. Wir haben hier erst kürzlich einen Fall diskutiert, wo ein betroffener genau das getan hat. Je nach Sachverhalt kann diese Kontaktaufnahme ebenfalls einen Datenschutzverletzung (durch dich) bedeuten.
Mein Vorgehen wäre folgendes:
Als Betroffener:
- kontaktiere den Anbieter und bewerte die Rückmeldung
- Wenn mir das Verhalten/die Reaktion nicht passt, dann melde ich es der Datenschutzbehörde
- Wenn das nichts hilft, würde ich es in Abhängigkeit des Sachverhaltes z.B. heise kontaktieren
Als Anbieter/Angestellter eines Anbieters
- Meldung an den internen/externen Datenschutzbeauftragten
- Wenn ein gravierender Verstoß vorliegt und mein Arbeitgeber nicht angemessen reagiert würde ich noch die Whistleblower-Kontaktmöglichkeit meines Arbeitgebers nutzen
- Falls das nichts bringt anonyme Meldung an die Datenschutzbehörde
- Falls das nichts hilft, siehe oben - würde ich es der Presse stecken
Wenn ich einen Mitbetroffenen informiere ? Mit welcher Rechtsgrundlage?
Ich kann das Beispiel gerade beim besten Willen nicht finden.
In dem konkreten Fall war der Sachverhalt so, dass über die Website Zugriff auf mehr oder weniger alle Kundenprofile möglich war.
Der „Hacker“ hat die Fehlkonfiguration dem Seitenbetreiber (ich glaube eine Musikplattform) gemeldet. Da der Anbieter nicht tätig wurde, hat er Daten abgezogen und als „Proof of Concept“ erneut bereitgestellt.
Nachdem der Anbieter noch immer nicht tätig wurde, hat er die Daten genutzt um andere Betroffene zu informieren.
Später im Verlauf ist er dafür vom Anbieter angezeigt worden.
Das Problem (in meinen Augen auch bis zu einem Punkt vollkommen berechtigt), du verwendest ja ilegetim Daten (die du nicht besitzen/benutzen darfst) um andere zu kontaktieren und gefährdest ggf. die Aufarbeitung dadurch, dass du die Daten aufbewahrst.
Ob solche Prozesse dann Aussicht auf Erfolg haben oder nicht - den Ärger würde ich mir immer sparen. Daher würde ich NIE Kontakt zu anderen Betroffenen suchen, sondern wenn selbst die Behörden nicht reagieren auf die Presse zugehen. Die haben Juristen an der Hand, dass das dann auch so aufgezogen wird, dass niemand dafür belangt werden kann.
Ja, da war was. Soweit ich mich erinnere, war die „Rache“ eine Anzeige wegen „Hacken“. Nicht wegen Datenschutzverstößen: die Firma ist nicht Betroffener.
Ansonsten siehe https://www.datenschutz-wiki.de/DSGVO:Art_79
Für solche Fälle gibt es doch öffentliche Stellen das zu melden, völlig Straffrei, man kann auch anonym bleiben.
Oder Bug-Bounty Programme nutzen.
Ich dachte eher an Fälle wo ich nicht in Besitz der Daten von anderen bin, aber ok, ist wohl eine Einzelfall Entscheidung.
Er hätte die Daten nicht selbst abziehen sollen, sondern nur sagen wie man da hinkommt und gut.
Den der Anbieter hat hier ein ziemlich großes Problem die Daten nicht korrekt gesichert zu haben, da hätte der BSI ganz andere Möglichkeiten.