Wie man mit einer Meldung zu einem DSGVO Verstoß richtig umgeht

Published by Tobias Hofmann on

3 min read

Eventuell hat der ein oder andere Leser und Leserin es mitbekommen das letztens bei der DSAG die Profilfotos nicht mehr verfügbar waren. Wer in der DSAG aktiv ist und sich im März/April auch mal auf der Webseite angemeldet hat sollte es mitbekommen haben. Anstatt das eigene Profilbild zu sehen, wurde ein Platzhalterbild verwendet. Dies galt so für alle Benutzer.

Nun ja, ganz unschuldig bin ich nicht. Mir war auf der Webseite eine Unregelmäßigkeit bezüglich der Einhaltung der Datenschutzerklärung bezüglich der DSGVO aufgefallen. Ich will diesen Artikel nutzen, um Anhand der Reaktion der DSAG zu zeigen, wie man schnell auf so einen Vorfall reagieren sollte. Inzwischen ist das Problem auch technisch gelöst, so dass wieder datenschutzkonform Profilbilder abgespeichert und angezeigt werden.

Kurz nachdem die Profilbilder entfernt wurden bekam man nach der Anmeldung im DSAG Net auf der Startseite einen Hinweistext angezeigt.

Der Hinweistext konnte nicht ignoriert werden. Es wurde darauf hingewiesen, dass die Profilbilder wegen einer Sicherheitslücke durch ein generisches Bild ersetzt wurden.

Wie kam es dazu und warum ist dies ein sehr gutes Beispiel wie man mit einer Meldung zu einem DSGVO Verstoß vorgeht? Mir war aufgefallen das die Profilbilder leider so in der Cloud abgespeichert wurden das sie bei entsprechender Kenntnis der URL anonym abrufbar waren. Da es sich hier um persönliche Daten handelt und in der Datenschutzerklärung der DSAG steht das diese nur registrierten Benutzern zugänglich seien, lag ein Verstoß vor.

„Geschützt bedeutet, dass nur ein bestimmter Benutzerkreis, aufgrund der erfolgreichen Registrierung auf diesen Bereich zugreifen kann und dieser über die notwendig eingerichteten technischen Maßnahmen, vor dem Zugriff unbefugter Dritter, d.h. nicht registrierten Nutzer des DSAGNet, geschützt ist.“ [DSAG]

Dieser Verstoß wurde von mir gemeldet. Hier jetzt ein kurzes Protokoll über den Ablauf.

23.03.2022, 18:10 Uhr: Ich schreibe eine E-Mail an den DSAG Datenschutzbeauftragen.

24.03.2022, 15:36 Uhr: Der Datenschutzbeauftragte der DSAG bestätigt mir den Empfang meiner E-Mail und das man schon dabei ist das Problem zu lösen (mit einer signierten E-Mail!)

25.03.2022: Die Profilbilder wurden durch einen Platzhalter ersetzt und die DSAG Anwender über den Hinweis darauf aufmerksam gemacht.

Das ist eine beeindruckende Reaktionszeit zwischen: Meldung, Bestätigung und Handlung. Wir haben hier gerade mal 2 Tage bis zur ersten Lösung des Problems. Ja, es geht hier nur um Bilder, die wohl viele Anwender auch in ihren anderen sozialen Netzen verwenden. Trotzdem ist die Reaktion der DSAG hier vorbildhaft. Man selbst musste nichts tun: die Bilder wurden automatisch durch einen Platzhalter ersetzt. Die restliche Funktionalität des DSAG Net war davon nicht beeinträchtigt, d.h. es war weiterhin problemlos möglich im Forum oder den Treffen teilzunehmen.

Die Profilbilder sind heute so abgespeichert das man sie nur aus dem DSAG Net heraus aufrufen kann. Ein direkter, anonymer Aufruf führt zu einem Fehler:

<Code>AuthenticationFailed</Code>

Fehler gemeldet, schnell bearbeitet, betroffene Anwender informiert, Problem gelöst. So muss das sein.

Let the world know
Categories: Technology

Tobias Hofmann

Doing stuff with SAP since 1998. Open, web, UX, cloud. I am not a Basis guy, but very knowledgeable about Basis stuff, as it's the foundation of everything I do (DevOps). Performance is king, and unit tests is something I actually do. Developing HTML5 apps when HTML5 wasn't around. HCP/SCP user since 2012, NetWeaver since 2002, ABAP since 1998.

0 Comments

Leave a Reply

Avatar placeholder

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.