09.02.2021

Bundesdatenschutzbeauftragter droht Telekommunikationsunternehmen mit Prüfung

BfDI kündigt zeitnahe Prüfungs- und Bußgeldverfahren bei Datenschutzverstößen durch TK-Unternehmen an

Am 27.01.2021 fand der Jour Fixe des BfDI mit Unternehmen der Telekommunikationsbranche statt. Wichtiges Thema der Abstimmungsrunde war das aktuelle Vorgehen des BfDI aufgrund von Datenschutzverstößen. Nach Angaben des BfDI seien in letzter Zeit vermehrt und in der Sache ähnliche Datenschutz-Meldevorfälle verzeichnet worden. Manche Unternehmen seien gleich mehrfach betroffen. Der BfDI hat deshalb bereits angefangen, Kontrollen bei einzelnen TK-Unternehmen durchzuführen.

Dringender Handlungsbedarf – BfDI fordert Unternehmen zu Bestandsanalyse auf

Der BfDI fordert TK-Unternehmen dazu auf, eine Bestandsanalyse der unternehmenseigenen Meldungen gegenüber den Behörden vorzunehmen, um den möglichen Handlungsbedarf zu eruieren. Der BfDI vermutet, dass Meldeprozesse in TK-Unternehmen fehlerhaft ausgestaltet und die Prozesse zum Umgang mit personenbezogenen Daten unzureichend sein könnten. Eine Ausweitung der Kontrollen durch den BfDI halten wir für wahrscheinlich. Eine umfassende Analyse der bisherigen Meldungen und erforderlichenfalls Anpassung der datenschutzbezogenen Compliance-Prozesse würde sinnvoll auf eine Kontrolle durch den BfDI vorbereiten.

Schalast kann bei Durchführung von Risikoeinschätzungen beratend unterstützen

Wir empfehlen, einen Report der Datenschutz-Meldefälle der letzten zwei Jahre anzufertigen. Dabei sollten besonders folgende Aspekte beachtet werden:

  • Wie viele Meldefälle und welche Kategorien von Meldungen gab es in 2019 und 2020?
  • Welche Meldungen erfolgten an BfDI, BNetzA oder beide Aufsichtsbehörden?
  • Welche Maßnahmen wurden ergriffen, um die Meldefälle zu reduzieren?

Nicht aufzunehmen sind Fälle, die Sie nicht für meldepflichtig hielten. Außerdem sollten Fälle mit Vorsicht beurteilt werden, die gegebenenfalls hätten gemeldet werden müssen, wovon jedoch begründet abgesehen wurde (z.B. Verstöße von Vertriebspartnern).

Vorgabe von Meldefall-Kategorien durch den BfDI

Der BfDI hat selbst folgende Kategorien für die Aufstellung von Meldefällen vorgegeben:

1. Fehlversand von Unterlagen
   a. E-Mails an falsche Empfänger (absolut überwiegende Konstellation)
   b. Postalische Falschversendung (zweitgrößte Kategorie)
2. Falsche Zuordnung von IBANs
3. Fraud von MA (Betrug durch Mitarbeiter i.S.v. Fraud-Management)
4. Einsicht in fremde Kundendaten
5. Falsche Zuordnung von Rufnummern
6. Vertragsänderungen durch Nicht-Vertragsinhaber

Wir empfehlen, bei der Anfertigung einer Bestandsanalyse die vorgegebenen Kategorien zu verwenden und bei Bedarf anzupassen.

Sie benötigen Unterstützung bei der Anfertigung einer Bestandsanalyse für Datenschutz Meldefälle? Dann kontaktieren Sie uns gerne direkt für eine umfassende Beratung.