Wie man mit einer Meldung zu einem DSGVO Verstoß richtig umgeht
Eventuell hat der ein oder andere Leser und Leserin es mitbekommen das letztens bei der DSAG die Profilfotos nicht mehr verfügbar waren. Wer in der DSAG aktiv ist und sich im März/April auch mal auf der Webseite angemeldet hat sollte es mitbekommen haben. Anstatt das eigene Profilbild zu sehen, wurde ein Platzhalterbild verwendet. Dies galt so für alle Benutzer.
Nun ja, ganz unschuldig bin ich nicht. Mir war auf der Webseite eine Unregelmäßigkeit bezüglich der Einhaltung der Datenschutzerklärung bezüglich der DSGVO aufgefallen. Ich will diesen Artikel nutzen, um Anhand der Reaktion der DSAG zu zeigen, wie man schnell auf so einen Vorfall reagieren sollte. Inzwischen ist das Problem auch technisch gelöst, so dass wieder datenschutzkonform Profilbilder abgespeichert und angezeigt werden.
Kurz nachdem die Profilbilder entfernt wurden bekam man nach der Anmeldung im DSAG Net auf der Startseite einen Hinweistext angezeigt.
Der Hinweistext konnte nicht ignoriert werden. Es wurde darauf hingewiesen, dass die Profilbilder wegen einer Sicherheitslücke durch ein generisches Bild ersetzt wurden.
Wie kam es dazu und warum ist dies ein sehr gutes Beispiel wie man mit einer Meldung zu einem DSGVO Verstoß vorgeht? Mir war aufgefallen das die Profilbilder leider so in der Cloud abgespeichert wurden das sie bei entsprechender Kenntnis der URL anonym abrufbar waren. Da es sich hier um persönliche Daten handelt und in der Datenschutzerklärung der DSAG steht das diese nur registrierten Benutzern zugänglich seien, lag ein Verstoß vor.
„Geschützt bedeutet, dass nur ein bestimmter Benutzerkreis, aufgrund der erfolgreichen Registrierung auf diesen Bereich zugreifen kann und dieser über die notwendig eingerichteten technischen Maßnahmen, vor dem Zugriff unbefugter Dritter, d.h. nicht registrierten Nutzer des DSAGNet, geschützt ist.“ [DSAG]
Dieser Verstoß wurde von mir gemeldet. Hier jetzt ein kurzes Protokoll über den Ablauf.
23.03.2022, 18:10 Uhr: Ich schreibe eine E-Mail an den DSAG Datenschutzbeauftragen.
24.03.2022, 15:36 Uhr: Der Datenschutzbeauftragte der DSAG bestätigt mir den Empfang meiner E-Mail und das man schon dabei ist das Problem zu lösen (mit einer signierten E-Mail!)
25.03.2022: Die Profilbilder wurden durch einen Platzhalter ersetzt und die DSAG Anwender über den Hinweis darauf aufmerksam gemacht.
Das ist eine beeindruckende Reaktionszeit zwischen: Meldung, Bestätigung und Handlung. Wir haben hier gerade mal 2 Tage bis zur ersten Lösung des Problems. Ja, es geht hier nur um Bilder, die wohl viele Anwender auch in ihren anderen sozialen Netzen verwenden. Trotzdem ist die Reaktion der DSAG hier vorbildhaft. Man selbst musste nichts tun: die Bilder wurden automatisch durch einen Platzhalter ersetzt. Die restliche Funktionalität des DSAG Net war davon nicht beeinträchtigt, d.h. es war weiterhin problemlos möglich im Forum oder den Treffen teilzunehmen.
Die Profilbilder sind heute so abgespeichert das man sie nur aus dem DSAG Net heraus aufrufen kann. Ein direkter, anonymer Aufruf führt zu einem Fehler:
<Code>AuthenticationFailed</Code>
Fehler gemeldet, schnell bearbeitet, betroffene Anwender informiert, Problem gelöst. So muss das sein.
0 Comments