Da ist etwas gewaltig schiefgelaufen. Ein milliardenschweres Hilfsprogramm der italienischen Regierung zur Bewältigung der Coronakrise hat zu einer unfassbaren Datenpanne geführt. Das Hilfsprogramm sieht für jeden Selbständigen eine Soforthilfe in Höhe von 600 Euro vor. Diese können über das Portal der offiziellen INPS-Webseite (Istituto Nazionale della Previdenza Sociale) beantragt werden. Von dieser Möglichkeit haben in den vergangenen beiden Tagen unzählige Personen Gebrauch gemacht oder besser gesagt: Gebrauch machen wollen.
Das Portal war dem Ansturm hunderttausender Freelancer nicht gewachsen und ging in die Knie. Immer wieder kam es auf dem Portal zu massiven Störungen. Auf den sozialen Medien verbreiteten sich prompt die ersten Beschwerden. Die Bürger warten seit Tagen sehnsüchtig auf die finanzielle Hilfe des Staates und nun funktioniert die Webseite nicht. Doch das ist nicht alles. Als die Website wieder funktionierte, kam es zu mehreren Meldungen von Benutzern, dass sie plötzlich Zugriff auf andere Profile hatten. Über die sozialen Medien verbreiteten sich in Windeseile Mitteilungen, Screenshots und Bildschirmvideos.
Hier ein Video auf der Webseite der Repubblica in welchem ein Nutzer auf verschiedene Daten von anderen Profilen stößt.
Offenbar bekamen Antragende beim Einloggen Einblick in andere Nutzerprofile, und damit auch in deren personenbezogene Daten wie beispielsweise:
- Name und Vorname
- Anschrift
- Private Telefonnummer
- E-Mail-Adresse
- Steuer-ID
- Informationen zu Elternzeit und Invalidität
Wie viele Nutzerprofile davon betroffen sind und ob es nicht vielleicht Testdaten sind, ist noch unklar. Bislang hat es noch keine offizielle Stellungnahme vom NPS gegeben. Diese ist aber dringend erforderlich.
Und was nun?
Gemäß Art. 33 Abs. 1 DGSVO muss der Verantwortliche die Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde melden, sofern sie zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt oder führen kann.
Führt eine Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen, sind die betroffenen Personen unverzüglich zu benachrichtigen (Art. 34 Abs. 1 DSGVO). Auch für die Pflicht zur Benachrichtigung der betroffenen Personen müssen damit zwei Voraussetzungen vorliegen: Eine Verletzung des Schutzes personenbezogener Daten und ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, was hier wohl als gegeben angesehen werden kann.
Zu welchen rechtlichen Konsequenzen kann es kommen?
Die italienische Datenschutz- Aufsichtsbehörde verfügt gemäß Art. 58 DSGVO über verschiedene und weitreichende Befugnisse. Hierzu gehören auch die Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen anzuweisen, die von einer Datenpanne betroffene Personen entsprechend zu benachrichtigen oder Verarbeitungsvorgänge innerhalb eines bestimmten Zeitraums im Einklang mit der DSGVO zu bringen.
Eine Verhängung von Bußgeldern an das INPS ist ein durchaus denkbares Szenario. Im Gegensatz zu Deutschland, können in Italien auch öffentliche Körperschaften sanktioniert werden. Geldstrafen von bis zu 10 Millionen Euro oder, im Fall von Unternehmen, bis zu zwei Prozent des weltweiten Jahresumsatzes können verhängt werden.
Gestern um 15:00 Uhr hat die oberste italienische Aufsichtsbehörde ein kurzes Statement abgegeben. „Wir sind sehr besorgt über diese Datenpanne. Es ist ein Zeichen für die noch unzureichende Sensibilität für das Thema Datenschutz in unserem Land.“ Zudem versicherte die Behörde, dass Untersuchungen zur Ermittlung der Ursache sofort angegangen werden. Aufgabe des INPS ist es, den technischen Fehler zu ergründen und baldmöglichst zu beheben und die Sicherheit aller Daten zu gewährleisten.
Weitere Informationen zum Thema Datenschutz & Corona
Wir haben für Sie einige Informationen dazu zusammengefasst, was Sie im Home-Office und in Bezug auf Kommunikationstools wie Zoom, Microsoft Teams & Co. beachten sollten. Hier geht es zu unseren Webinaren, Artikeln und Dokumenten mit praxisnahen Tipps und Tricks dazu, wie Sie auch in Krisenzeiten datenschutzkonform bleiben.