Die dänische Datenschutzbehörde hat erneut Kritik am Familiengericht wegen mangelnder Verarbeitungssicherheit geäußert, die zu mehreren Fällen versehentlicher Offenlegung geschützter Informationen und Informationen über Aufenthalte in Krisenzentren geführt hat.
Das Familiengericht hat der dänischen Datenschutzbehörde im Zeitraum vom 6. Januar 2023 bis zum 30. Juni 2024 28 Verstöße gegen die Sicherheit personenbezogener Daten gemeldet möglicherweise den Aufenthaltsort einer Person preisgeben, einschließlich eines Aufenthalts in einer Unterkunft. In den meisten Fällen erfolgte die Weitergabe der Informationen an die Gegenpartei, was typischerweise der Grund für die Wahl des Namens- und Adressschutzes oder des Aufenthalts in einem Krisenzentrum sein kann.
Die unbeabsichtigten Offenlegungen sind auf menschliches Versagen infolge von Unaufmerksamkeit der Mitarbeiter zurückzuführen.
Die dänische Datenschutzbehörde hat sich zuvor mit zwei ähnlichen Fällen befasst, in denen es um die versehentliche Offenlegung derselben Art von Informationen durch das Familiengericht ging. Die dänische Datenschutzbehörde hat in diesen Fällen am 4. März 2021 und am 6. September 2022 Entscheidungen getroffen. In beiden Fällen wurde ernsthafte Kritik geäußert, und im Fall aus dem Jahr 2022 wurde das Familiengericht außerdem angewiesen, eine erneute Risikobewertung durchzuführen und, auf dieser Grundlage die erforderlichen organisatorischen oder technischen Sicherheitsmaßnahmen festzulegen, um das Risiko neuer ähnlicher Verstöße zu verringern.
Schwere Kritik wegen Nichterfüllung der Anforderungen an ausreichende Sicherheit
Die dänische Datenschutzbehörde kann feststellen, dass das Familiengericht über mehrere Jahre hinweg die Initiative ergriffen hat, eine Reihe von Sicherheitsmaßnahmen umzusetzen, um das Risiko dieser Art von Verstößen zu verringern.
Die dänische Datenschutzbehörde sieht jedoch Anlass, erneut ernsthafte Kritik daran zu äußern, dass das Familiengericht den Anforderungen an angemessene Sicherheit nicht nachgekommen sei.
Angesichts der immer noch relativ hohen Zahl von Verstößen und der sehr schwerwiegenden Folgen, die diese Art von Verstößen für die betroffenen Personen haben kann, ist die dänische Datenschutzbehörde der Ansicht, dass das Familiengericht weiterhin sehr große Anstrengungen unternehmen muss Vermeiden Sie die versehentliche Offenlegung von Informationen, insbesondere über geschützte Namen und Adressen, und halten Sie sich in einem Krisenzentrum usw. auf. Darüber hinaus ist die dänische Datenschutzbehörde der Ansicht, dass das Familiengericht noch keine ausreichenden Sicherheitsmaßnahmen umgesetzt oder sichergestellt hat, dass die identifizierten Maßnahmen noch nicht die erforderliche Wirkung erzielt haben, um das Risiko zu verringern, dass Mitarbeiter versehentlich Informationen über registrierte fällige Personen weitergeben auf Fehler, Missverständnisse oder Unaufmerksamkeit gegenüber unbefugten Empfängern, insbesondere der Gegenpartei, zurückzuführen, was häufig die Ursache für das Schutzbedürfnis ist.
Das Familiengericht hat somit nicht hinreichend sichergestellt, dass die Mitarbeiter bei der Verarbeitung der personenbezogenen Daten der Bürger die erforderliche Sorgfalt walten lassen, auch im Zusammenhang mit der Sonderkontrolle, die in bestimmten Fällen von einem anderen Sachbearbeiter durchgeführt wird, wie auch bisher nicht in ausreichendem Umfang organisatorische oder technische Sicherheitsmaßnahmen getroffen wurden, die andernfalls einer unbeabsichtigten Offenlegung personenbezogener Daten entgegenwirken können, die aufgrund von Missverständnissen, Fehlern oder Aufmerksamkeit von Mitarbeitern fortlaufend erfolgt ist.
Die Datenschutzbehörde hat jedoch festgestellt, dass das Familiengericht weiterhin daran arbeitet, bestehende Maßnahmen zu stärken und neue Maßnahmen umzusetzen, um das Risiko ähnlicher Verstöße zu verringern, sowie Prozesse zur kontinuierlichen Kontrolle und Bewertung der Wirksamkeit bestehender Sicherheitsmaßnahmen einzuführen , auch im Zusammenhang mit der Ermittlung neuer Bräute.
Die dänische Datenschutzbehörde sieht jedoch Anlass, die Entwicklung der Zahl solcher Verstöße weiterhin aufmerksam zu verfolgen. In diesem Zusammenhang hat die dänische Datenschutzbehörde das Familiengericht gebeten, im kommenden Jahr detaillierte Informationen – in Bezug auf die Informationen, die bereits im Zusammenhang mit der Meldung des Verstoßes an die dänische Datenschutzbehörde übermittelt wurden – zu übermitteln, falls solche vorliegen zukünftige Verstöße der gleichen Art. Es beinhaltet u.a. eine ausführliche Beschreibung dessen, was die Bewertung des Verstoßes im Hinblick auf die Verringerung des Risikos ähnlicher Verstöße bewirkt hat.
Wiederholte Verstöße gegen die Sicherheit personenbezogener Daten sollten Datenverantwortliche grundsätzlich dazu veranlassen, über bereits durchgeführte Risikobewertungen nachzudenken. Fehlerarten, die auf persönliche Fehler oder einzelne Episoden zurückzuführen sind, sollten bei Wiederholung Anlass zur Einführung zusätzlicher wirksamer Kontrollmaßnahmen, neuer Richtlinien und/oder technischer Unterstützung geben, die die jetzt bekannten und tatsächlichen Risiken minimieren.