09.06.2016

Transport einer DVD mit personenbezogenen Daten - what could possibly go wrong?

Empfehlung der österr. Datenschutzbehörde 24.05.2016, DSB-D213.462/0001-DSB/2016:

Die Datenschutzbehörde spricht aus Anlass der Meldung der N*** Aktiengesellschaft aus P*** (Auftraggeberin), vertreten durch die D*** Rechtsanwälte OG in P***, vom 21. April 2016, betreffend Verlust eines Datenträgers mit teilweise sensiblen personenbezogenen Daten folgende Empfehlung aus:
1.   Die Auftraggeberin möge durch technische Vorkehrungen und entsprechende Verpflichtung ihrer Dienstleister sicherstellen, dass
a.   die Überlassung sensibler personenbezogener Daten, einschließlich des Datentransfers durch den Austausch von Datenträgern, nur unter dem Schutz einer dem Stand der technischen Möglichkeiten entsprechenden und wirtschaftlich vertretbaren Verschlüsselung erfolgt, und
b.   die zur Entschlüsselung des Datenträgers oder der Datei erforderlichen Daten getrennt vom Datenträger oder der Datei ausgetauscht werden.
2.   Diese Empfehlung ist sofort, das heißt bei der nächsten Datenüberlassung, umzusetzen.
Rechtsgrundlagen: § 1 Abs. 1, § 4 Z 2, § 6 Abs. 1 Z 1, § 14 Abs. 1 und Abs. 2 Z 5 und 6 und § 30 Abs. 6 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999 idgF.

Gründe für diese Empfehlung
A. Vorbringen der Auftraggeberin
Die Auftraggeberin hat sich, anwaltlich vertreten, als datenschutzrechtlich Verantwortliche mit Schreiben vom 21. April 2016 an die Datenschutzbehörde gewendet und folgenden Sachverhalt gemeldet:
Im Rahmen einer Projektumstellung wurde ein Call-Center-Dienstleister gewechselt. Aufgabe des Call-Center-Dienstleisters ist es, Patienten, die mit den von der N*** AG entwickelten, produzierten und vertriebenen Arzneimittelspezialitäten „X***“ und „Y***“ behandelt werden („Patientenserviceprogramm“), und Abonnenten der Zeitschrift „Z***“ zu betreuen. Dem bisherigen Dienstleister wurde im Zuge der Beendigung der Dienstleistung gemäß § 11 Abs. 1 Z 5 DSG 2000 aufgetragen, die im Namen von der Auftraggeberin verarbeiteten Daten in Form einer DVD an die Auftraggeberin herauszugeben. Der Transport der DVD vom alten Dienstleister zur N*** Österreich Zentrale in P*** wurde am 14.4.2016 von einem verlässlichen Mitarbeiter der Auftraggeberin durchgeführt, der bereits derartige Transporte ohne Probleme durchgeführt hat. Dennoch ging der Datenträger während des Transports verloren. Bislang wurde die DVD nicht wieder gefunden. [...]