Medienberichten zufolge gibt es derzeit eine erhebliche Datenpanne bei großen Onlineplattformen. Betroffen sollen unter anderem Otto, Kaufland, Check24, idealo und Mediamarkt sein. Konkret geht es um die von diesen Anbietern betriebenen Marktplätze, auf denen externe Händler ihre Waren anbieten können. Was die betroffenen Unternehmen jetzt tun sollten und was andere Verantwortliche aus der Datenpanne lernen können.
Von der Postadresse über die E-Mail-Adresse bis hin zu Telefonnummern, Angaben zu den bestellten Waren und sogar Bankverbindungen – zahlreiche Kundendaten waren ungeschützt über das Internet zugänglich – soweit bekannt, über Jahre. Die von dem Datenleck betroffenen Personen haben bislang nichts hiervon erfahren; ebenso die Aufsichtsbehörden. Die Plattformbetreiber weisen jede Verantwortung von sich und die Händler haben offenbar noch nicht reagiert.
Wie ist das Ganze aus Sicht des Datenschutzes zu beurteilen?
Meldepflichtige Datenpanne
Klar dürfte sein, dass von einer unbefugten Offenbarung ausgegangen werden muss und damit von einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DSGVO (Datenschutz-Grundverordnung). Diese wäre nach Art. 33 DSGVO grundsätzlich innerhalb von 72 Stunden meldepflichtig. Die Lücke wurde im vergangenen Sommer aufgedeckt. Dass hier keine Risiken vorliegen, was eine Meldung ausnahmsweise entbehrlich machen würde, lässt sich kaum vernünftig begründen.
Angesichts der betroffenen Benutzerzahlen und der Daten, die ein sehr hohes Missbrauchsrisiko bergen, muss auch von einem entsprechend hohen Risiko ausgegangen werden. Zusätzlich wären folglich auch die Betroffenen zu informieren gewesen, siehe Art. 34 DSGVO.
Ein Verstoß gegen diese Pflichten ist eine Ordnungswidrigkeit, die nach Art. 83 Abs. 4 DSGVO mit bis zu 10 Millionen Euro bzw. bis zu 2% des global im Vorjahr erzielten Jahresumsatzes geahndet werden kann.
Dass die Betreiber der Onlineplattform sich hier versuchen, aus der Verantwortung zu ziehen, ist vor diesem Hintergrund nachvollziehbar. Aber was ist hiervon zu halten?
Auftragsverarbeitung
Sicher wird der externe Händler Verantwortlicher für seinen Bereich sein. Aber: Zumindest wird der Einsatz der Plattform als Auftragsverarbeitung mit dem Anbieter der Plattform als Auftragsverarbeiter angesehen werden müssen. Damit wäre zumindest eine gesamtschuldnerische Haftung für eingetretene Schäden von Betroffenen angelegt, Art. 82 DSGVO.
Die erfahrungsgemäß sehr interessante Frage wäre in diesem Zusammenhang auch, ob in diesen Fällen denn auch die notwendigen Verträge nach Art. 28 DSGVO vorliegen und ob jemals ein verantwortlicher Marktplatzteilnehmer den Marktplatzbetreiber auf Einhaltung seiner vertraglichen Versprechen, konkret der technischen und organisatorischen Maßnahmen, kontrolliert hat. Auch hierin lägen gegebenenfalls weitere Verstöße gegen Vorgaben der DSGVO, die ebenfalls mit den gerade genannten Bußgeldern belegt werden können.
Gemeinsame Verantwortlichkeit
Es gibt aber noch einen weiteren Aspekt, der in der Praxis gerne vernachlässigt und in solchen Fällen wohl besonders leicht „übersehen“ wird. In aller Regel setzt der Einkauf über einen Marktplatz (auch) ein Konto beim Marktplatzbetreiber also der Onlineplattform voraus. Zumindest im Hinblick auf einige Stammdaten von Benutzern dürfte aller Wahrscheinlichkeit nach eine gemeinsame Verantwortlichkeit von Plattformbetreiber und externem Händler vorliegen.
Auch in diesen Fällen müsste es gemäß Art. 26 DSGVO einen eigenen Vertrag geben, in dem die gemeinsam Verantwortlichen die Details dieser Kooperation festlegen. Darin würde unter anderem eine Regelung enthalten sein müssen, wer welche Verantwortungen trägt und wie die Rechte von Betroffenen gewährleistet werden. Die Inhalte der Vereinbarung müssten den Betroffenen auch bekannt gemacht worden sein.
Dass es diese Vereinbarung möglicherweise nicht gibt, ändert jedoch nichts an der rechtlichen Einordnung als gemeinsame Verantwortlichkeit. Und damit haben wir einen dritten Bereich erreicht, in dem nochmals die oben genannten Bußgeldvorschriften relevant werden können.
Nur ergänzend an dieser Stelle noch der Hinweis, dass die gemeinsame Verantwortlichkeit auch dazu führt, dass Betroffene ihre Rechte ungeachtet der Vereinbarung zwischen den gemeinsamen Verantwortlichen gegenüber jedem einzelnen der Verantwortlichen geltend machen können, siehe Art. 26 Abs. 3 DSGVO.
Fazit: Verantwortung übernehmen, schnell handeln, besser vorsorgen
Unser Rat an die möglicherweise Betroffenen ist, sich gegebenenfalls mit den Verantwortlichen in Verbindung zu setzen und um Aufklärung zu bitten. Über diese Adresse lässt sich überprüfen, ob man von der Lücke betroffen ist: www.leckchecker.wortfilter.de
Den beteiligten Unternehmen können wir eigentlich nur ans Herz legen, sich im eigenen Interesse um schnellstmögliche Aufklärung und proaktive Kooperation mit den Aufsichtsbehörden zu bemühen. Die Aufsichtsbehörden sind natürlich auf diesen Fall aufmerksam geworden und werden ihre Nachforschungen anstellen. Die Einschätzung, nicht verantwortlich zu sein, ist weder für die Aufsichtsbehörden noch für ein möglicherweise später beteiligtes Gericht in irgendeiner Form bindend.
Was die technischen Lücken angeht, so können wir nicht beurteilen, ob diese in vorwerfbarer Art und Weise bestanden. Es ist noch im Einzelfall zu klären, ob und inwieweit ein Verstoß gegen Vorschriften der Datensicherheit vorliegt. Ganz nebenbei: dies wäre dann der vierte Anlass, aus dem ein entsprechendes Bußgeld nach den oben genannten Grundsätzen fällig werden könnte.
Falls aber die vermutlich notwendigen Verträge nicht existieren, so hätte sich dies mit Sicherheit durch die Beteiligung eines qualifizierten (!) Datenschutzberaters vermeiden lassen.
Bestellen Sie jetzt einen Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!