Der Verlust eines USB-Sticks mit sensiblen Daten kann schwerwiegende Konsequenzen haben – das musste nun auch die Verwaltung der Region Skånein Schweden erfahren. Ein Mitarbeiter hatte einen unverschlüsselten USB-Stick verloren, auf dem Sozialversicherungsnummern und andere persönliche Daten von fast 2.000 Personen gespeichert waren. Die schwedische Datenschutzbehörde untersuchte den Vorfall und kam zu dem Ergebnis, dass die getroffenen technischen und organisatorischen Maßnahmen nicht ausreichend waren, um ein angemessenes Sicherheitsniveau zu gewährleisten.
Besonders problematisch war dabei, dass durch die gespeicherten Sozialversicherungsnummern eine Verknüpfung mit Gesundheitsdaten von Patienten möglich war. Jede Person in Schweden ist eindeutig identifizierbar durch ihre persönliche Identifikationsnummer, die ähnlich wie in Deutschland die Kombination aus Name, Geburtsdatum und Geburtsort besteht. Die Datenschutzbehörde kritisierte ebenfalls, dass es keine angemessenen Kontrollen gab, um sicherzustellen, dass jeweils nur befugte Personen Zugriff auf die sensiblen Daten hatten.
Nach Artikel 32 der Datenschutz-Grundverordnung (DSGVO) sind geeignete technische und organisatorische Maßnahmen vom Verantwortlichen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Eine konkrete Vorgabe wie dies im Detail umzusetzen ist, machte die Behörde nicht. Dennoch sind Fehler wie der Verlust eines unverschlüsselten USB-Sticks eindeutig vermeidbar und mit einfachen und kostengünstigen Mechanismen auszuschließen. Im Rahmen unserer Beratung erarbeiten wir angemessene technische und organisatorische Maßnahmen (TOM) mit unseren Kunden und klären auf, was zu beachten ist, um datenschutzkonform zu agieren und Vorfälle wie diesen wirksam verhindert.
Sanktionsadressat
Region Skåne
Bußgeld
17.566 Euro
Verletzte Rechtsnorm
Art. 32 Abs. 1 DSGVO
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
————————————————————————————————————————-
Quellen und Links:
Datenschutzbehörde: Schweden – Integritetsskydds myndigheten
https://www.imy.se/nyheter/sanktionsavgift-mot-region-skane/
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen