Wenn Unternehmen unerlaubt personenbezogene Daten übermitteln, muss das dem Datenschutzbeauftragten gemeldet werden. Von Februar 2011 bis Juli 2013 hat es in Baden-Württemberg 46 solcher Pannen gegeben.

Stuttgart - Als Reaktion auf mehrere Datenskandale wurde vor Jahren ein Paragraf in das Bundesdatenschutzgesetz eingefügt. Er fordert, dass sogenannte nichtöffentliche Stellen, zum Beispiel Unternehmen, unverzüglich der zuständigen Datenschutzbehörde Meldung machen müssen. Dann nämlich, wenn personenbezogene Daten unerlaubt übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangen und so „schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen“ drohen. Die Regelung soll vor allem der Transparenz in Datenschutzangelegenheiten dienen, Folgeschäden verhindern und Firmen motivieren, die Daten ihrer Kunden ausreichend zu sichern.

 

Der Stuttgarter Zeitung liegt eine Auflistung des baden-württembergischen Datenschutzbeauftragten mit 46 Datenpannen vor, die sich im Zeitraum 28. Februar 2011 bis 22. Juli 2013 ereignet haben.

Lesen Sie auch

Datenpannen meldeten demnach unter anderem die Landesbank Baden-Württemberg, die Mannheimer Versicherung AG, die Sparda-Bank Baden-Württemberg, die Stuttgarter Lebensversicherung und die Süddeutsche Krankenversicherung, die Stadtwerke Pforzheim und die Wüstenrot & Württembergische AG. Bei dieser wurden, so der Landesdatenschutzbeauftragte Jörg Klingbeil, „elektronisch gespeicherte Dokumente mitsamt dem PC gestohlen“. Die Polizei sah „keine Chancen für die Wiedererlangung des Diebesguts“.

Durch Fernwartung zu viel erfahren

Der wohl spektakulärste der 46 Fälle betrifft eine Tochterfirma des US-Konzerns General Electric, die GE Healthcare GmbH mit Sitz in Freiburg. Wie der Datenschutzbeauftragte auf Anfrage mitteilte, meldete das Unternehmen im März 2012 eine Panne. Dem Datenschützer zufolge wartet die Tochterfirma des US-Mischkonzerns General Electric über ihren Service iLinq bildgebende Diagnostikprodukte wie Röntgengeräte oder Computertomografen in medizinischen Einrichtungen aus der Ferne.

Bei Fernwartungen durch GE Healthcare seien „mehr personenbezogene Daten empfangen“ worden, als „erforderlich waren“, so Klingbeil. Die Patientendaten seien zusammen mit „Produktleistungsdaten auf die Server des Unternehmens in den USA (. . .) übertragen worden“. Dabei handelte es sich laut GE Healthcare um Patientennamen, klinische Informationen, Angaben über Geschlecht, Größe, Gewicht, Geburtsdatum, ID-Nummern und um Bilder.

Man sei „davon überzeugt, dass es zu keinem Verlust, Hacking, Missbrauch oder Diebstahl dieser Daten kam“, teilte Christoph Habereder, Communications Director Europe der GE Healthcare GmbH auf Anfrage mit und sagt weiter: „Wir empfangen seitdem keine solchen Daten mehr.“

Gesundheits- und Bankdaten betroffen

Laut Datenschutzbehörde waren von den Datenpannen in Baden-Württemberg auch Gesundheitsdaten betroffen, die „in Verbindung mit Daten, die einem Berufsgeheimnis unterliegen“, stehen. Ob neben den Fernwartungskunden von GE Healthcare auch die betroffenen Patienten benachrichtigt wurden, wollten weder Klingbeil noch GE Healthcare sagen. Wie der Datenschutzbeauftragte weiter mitteilte, gab es eine „Untersuchung“ des Vorfalls „durch eine externe Beratungsfirma“.

Bei den übrigen Datenpannen gelangten laut Datenschützern auch „Bank- oder Kreditkartenkontodaten“ in falsche Hände. Es seien personenbezogene Daten zu Bank- oder Kreditkartenkonten von „mindestens 1667 Personen“ betroffen gewesen.

Auch sogenannte besondere Arten personenbezogener Daten waren von den Pannen betroffen. Das sind dem Bundesdatenschutzgesetz zufolge, welches diese besonders schützt, „Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.“ Von den gemeldeten Pannen waren laut Datenschutzbeauftragtem besondere Arten personenbezogener Daten von „223 Personen und möglicherweise mehr“ betroffen.

USB-Sticks verschwunden

Weiter kamen in „fünf Fällen“ USB-Sticks „mit mindestens 725 Datensätzen“ abhanden. Bei den übrigen Pannen kam es zu „fehlerhafte(n) Versendungen (Papier, Fax) und auch unberechtigte(n) Zugriffe(n) auf Webserver“, so Klingbeil. „Bei Fehlversendungen waren falsche Empfänger eingetragen, oder es gab Verwechslungen, weil Namensgleichheit vorlag“.

Nach dem Bundesdatenschutzgesetz müssen von einer Datenpanne betroffene Unternehmen, sofern „schwerwiegende Beeinträchtigungen“ drohen, auch die betroffenen Kunden informieren, „sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird“.

Nur wenn „die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde“, können die Unternehmen stattdessen eine „Information der Öffentlichkeit durch Anzeigen“ in Tageszeitungen vornehmen. Wie der Landesdatenschutzbeauftragte mitteilte, sei in „fünf Fällen (. . .) nicht bekannt, ob eine Benachrichtigung erfolgt ist“.