Besserer Datenschutz

Umgang mit Datenschutzverletzungen

Datenschutzpannen, auch Datenschutzverletzungen oder Datenschutzvorfälle genannt, sind in unserer zunehmend digitalisierten Welt ein allgegenwärtiges Thema und stellen Unternehmen sowie Organisationen vor große Herausforderungen. Sie sind vielfältig und oft komplex und erfordern ein schnelles und effektives Krisenmanagement sowie eine transparente Kommunikation gegenüber den betroffenen Personen sowie den Aufsichtsbehörden. Es ist wichtig zu verstehen, was Datenschutzpannen sind und wie man darauf reagiert. Wir gehen im folgenden Artikel auf verschiedene Arten von Datenschutzverletzungen ein und erarbeiten konkrete Schritte, die Unternehmen und Organisationen ergreifen sollten, um effektiv auf solche Vorfälle zu reagieren. 

NOVIDATA Updates

Newsletter Datenschutz & IT-Sicherheit

Mit unserem Newsletter erhälst du aktuelle Informationen zu den Themen Datenschutz & IT-Sicherheit regelmäßig bequem in dein Postfach!

Jetzt anmelden

Was ist eine Datenschutzverletzung?

Datenschutzpannen sind Vorfälle, bei denen personenbezogene Daten unbefugt veröffentlicht, gestohlen oder anderweitig missbraucht werden. Sie können große Auswirkungen auf die Betroffenen haben, insbesondere dann, wenn es sich um sensible Daten handelt, wie zum Beispiel finanzielle Informationen oder medizinische Aufzeichnungen. Dabei unterscheiden wir verschiedene Arten von Datenschutzvorfällen.

Beispiele für Datenschutzpannen

  • Fehlversand einer E-Mail mit personenbezogenen Daten an eine falsche E-Mail-Adresse
  • Verlust eines unverschlüsselten USB-Sticks, Notebooks, Smartphones mit personenbezogenen Daten
  • Zugriff auf Unternehmensnetzwerk durch Unbefugte (durch Hacking oder Social Engineering)
  • Veröffentlichung von personenbezogenen Daten (ohne Rechtsgrundlage) auf einer Internetseite
  • Fehlerhaftes Ändern oder Löschen von personenbezogenen Daten (ohne Sicherheitskopie)
  • Schadsoftware, die Einfluss auf den Schutz personenbezogener Daten nimmt (z.B. Verschlüsselungstrojaner)

Wie muss ich mich bei einer Datenschutzpanne verhalten?

Es ist entscheidend, bei einer Datenschutzpanne richtig zu handeln. Zuerst sollte umgehend die zuständige Stelle im Unternehmen, typischerweise die Unternehmensleitung sowie der Datenschutzbeauftragte, informiert werden. Diese schnelle Meldung ermöglicht es dem Unternehmen, umgehend zu reagieren und potenzielle Schäden zu minimieren. Es ist wichtig, dabei alle relevanten Informationen bereitzustellen, ohne jedoch in Panik zu verfallen. Mitarbeiter sollten keine eigenständigen Untersuchungen anstellen oder Informationen an Außenstehende weitergeben, da dies die Situation verschlimmern könnte. Stattdessen sollten sie die Anweisungen des Datenschutzbeauftragten befolgen und unterstützend bei der Aufklärung des Vorfalls mitwirken. 

Bei der Beurteilung einer Datenschutzverletzung spielt der Faktor Zeit eine große Rolle. Zum einen kann beispielsweise ein Cyberangriff durch schnelles Handeln gestoppt werden, zum anderen nennt die Datenschutz-Grundverordnung eine Frist von 72 Stunden (unabhängig von Sonn- und Feiertag), binnen welcher eine Datenschutzerletzung bei der Aufsichtsbehörde gemeldet werden muss. Die Information der Unternehmensleitung sowie des Datenschutzbeauftragten muss daher unmittelbar erfolgen, selbst wenn noch keine detailierten Informationen über die Datenschutzverletzung vorliegen.

1. Beobachtung
Ein Datenschutzvorfall wird beobachtet oder vermutet.

2. Information
Information der Unternehmensleitung und des Datenschutzbeauftragten.

Frist: Unmittelbar 

3. Beurteilung
Der Datenschutzbeauftragte prüft gemeinsam mit der Unternehmensleitung, ob eine Meldung an die Datenaufsichtsbehörde und/oder die betroffenen Personen notwendig ist.

4. Meldung
Meldung einer Datenschutzverletzung bei der Aufsichtsbehörde sowie ggf. bei Betroffenen durch die Unternehmensleitung.

Frist: 72 Stunden ab Kenntnisnahme der Datenschutzverletzung 

Welche Fragen sind bei einer Datenschutzverletzung zu klären?

Im Fall einer Datenschutzverletzung sind mehrere wesentliche Fragen zu klären, um die Situation effektiv zu bewältigen und entsprechende Maßnahmen einzuleiten:

  1. Was ist genau passiert? 
    Eine möglichst genaue Beschreibung der Art der Datenschutzverletzung, wie es zu ihr kam und welche Daten betroffen sind
     
  2. Wer ist betroffen? 
    Identifizierung der betroffenen Personen oder Personengruppen, deren Daten kompromittiert wurden.
     
  3. Welche Arten von Daten sind betroffen? 
    Feststellung, ob es sich um sensible oder personenbezogene Daten handelt und welchen Umfang die betroffenen Daten haben.

 

Sobald diese Fragen geklärt sind, wird das Datenschutz-Team tätig und klärt gemeinsam mit der Unternehmensleitung (sowie ggf. weiteren Personen) folgende Punkte:

  1. Wie konnte die Verletzung geschehen? 
    Untersuchung der Ursachen, z.B. technisches Versagen, menschliche Fehler oder böswillige Angriffe.
     
  2. Welche unmittelbaren Maßnahmen sind erforderlich? 
    Entscheidungen über Sofortmaßnahmen, wie z.B. das Absichern von Systemen, um weitere Datenverluste zu verhindern.
     
  3. Wie wird die Verletzung dokumentiert und gemeldet? 
    Festlegung der Vorgehensweise zur Dokumentation und Meldung der Datenschutzverletzung gemäß den gesetzlichen Anforderungen, insbesondere im Hinblick auf die Meldepflichten nach DSGVO.
     
  4. Welche langfristigen Maßnahmen sind notwendig? 
    Entwicklung eines Plans zur Verbesserung der Sicherheitsmaßnahmen und zur Verhinderung zukünftiger Datenschutzverletzungen.
     
  5. Wie wird die Kommunikation mit den Betroffenen und Behörden gehandhabt? 
    Erarbeitung einer Strategie für die Kommunikation mit den betroffenen Personen und den Aufsichtsbehörden, um Transparenz zu gewährleisten und Vertrauen wiederherzustellen.
     
  6. Welche Konsequenzen hat die Verletzung für die betroffenen Personen? 
    Abschätzung der potenziellen Auswirkungen auf die betroffenen Personen und Überlegungen zu möglichen Entschädigungen oder Hilfsangeboten.

Rechenschafts- und Dokumenationspflicht beachten

Eine Datenschutzverletzung sollte immer dokumentiert werden (selbst wenn keine Meldung an die Aufsichtsbehörde notwendig ist), damit das Verfahren der Rechenschafts- und Dokumentationspflicht gemäß DSGVO entspricht. Unser Fragebogen kann eine solche Dokumentation unterstützen.

Welche Risiken drohen im Fall einer Datenschutzverletzung?

Im Fall einer Datenschutzverletzung stehen Unternehmen vor einer Reihe von Risiken. Rechtliche Konsequenzen können schwerwiegend sein, da Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) oft mit hohen Bußgeldern (bis zu 20 Mio. EUR) und Strafen einhergehen, die auch strafrechtliche Folgen nach sich ziehen können. Finanzielle Verluste entstehen nicht nur durch diese Bußgelder, sondern auch durch die Kosten für rechtliche Auseinandersetzungen, Entschädigungszahlungen an Betroffene und notwendige Investitionen in verbesserte Sicherheitsmaßnahmen. 

Ein weiteres großes Risiko stellt der Reputationsschaden dar. Eine Datenschutzverletzung kann das Vertrauen von Kunden, Partnern und der Öffentlichkeit stark beeinträchtigen, was langfristige Auswirkungen auf das Geschäft haben kann und oft zu einem Verlust von Kundenvertrauen führt. Dies kann wiederum zu Umsatzeinbußen führen, da Kunden möglicherweise zu Konkurrenten wechseln. 

Betriebsunterbrechungen sind eine weitere direkte Folge von Datenschutzverletzungen, da Systeme möglicherweise vorübergehend heruntergefahren werden müssen, was zu Produktivitätsverlusten führt. 

Für die betroffenen Personen besteht das Risiko von Identitätsdiebstahl, Betrug oder anderen Arten von Missbrauch ihrer persönlichen Daten. Zudem kann es zu einem Verlust von Geschäftsgeheimnissen oder geistigem Eigentum kommen. Langfristige Überwachung und Nachsorge sind oft erforderlich, um sicherzustellen, dass betroffene Personen geschützt sind und keine weiteren Datenlecks auftreten. 

All diese Risiken erfordern eine sorgfältige Planung und ein effektives Risikomanagement, um sowohl die Auswirkungen auf das Unternehmen als auch die potenziellen Schäden für die betroffenen Personen zu minimieren.

Wie kann ich mein Unternehmen vor einer Datenschutzverletzung schützen?

Bleiben wir ehrlich - ausschließen kann man eine Datenschutzverletzung nicht. Dafür ist unsere heutige Welt zu vernetzt, zu digital, zu offen für Angriffe von Außen oder Unachtsamkeiten im Inneren. Es gibt jedoch einige Schritte, die man unternehmen kann, um die Eintrittswahrscheinlichkeit einer Datenschutzverletzung zu senken bzw. Auswirkungen einer Datenschutzpanne zu minimieren:

  1. Einführung von Datenschutzrichtlinien und -verfahren
    Unternehmen sollten ein Datenschutzhandbuch mit klaren Richtlinien und Verfahren für den Umgang mit personenbezogenen Daten etablieren und sicherstellen, damit alle Mitarbeiter über diese Richtlinien informiert sind und sich an diese halten. 
     
  2. Datenschulungen für Mitarbeiter
    Mitarbeiter sollten mittels Datenschutzschulungen regelmäßig über den Umgang mit personenbezogenen Daten geschult werden, um sicherzustellen, dass sie die relevanten Gesetze und Vorschriften kennen und einhalten.
     
  3. Technische Sicherheitsmaßnahmen
    Unternehmen sollten geeignete technische Sicherheitsmaßnahmen treffen, um die Sicherheit von personenbezogenen Daten zu gewährleisten. Dazu gehören beispielsweise Firewalls, Verschlüsselung und der Einsatz von Sicherheitssoftware. Eine gute Checkliste Technische und organisatorische Maßnahmen kann hierbei unterstützen.
     
  4. Regelmäßige Überprüfungen
    Unternehmen sollten regelmäßig Überprüfungen durchführen, um sicherzustellen, dass alle Datenschutzverfahren und -richtlinien eingehalten werden und auf dem neuesten Stand sind.

Die Datenschutzverletzung fand bei einem Auftragsverarbeiter statt - wer muss melden?

Die Rolle von Auftragsverarbeitern ist entscheidend, da sie oft im Namen von Unternehmen handeln und deren personenbezogene Daten verarbeiten. Tritt eine Datenschutzverletzung auf, sind auch die Daten des auftraggebenden Unternehmens betroffen. In solchen Fällen ist es wichtig zu wissen, wie man als verantwortliche Stelle korrekt vorgeht.

Nach Artikel 28 DSGVO trägt das auftraggebende Unternehmen die Verantwortung für die Meldung einer Datenschutzverletzung an die zuständige Aufsichtsbehörde. Eine bestehende Meldung durch den Auftragsverarbeiter entbindet das Unternehmen nicht von dieser Pflicht. Es wird erwartet, dass der Auftragsverarbeiter das Unternehmen unverzüglich über die Datenschutzverletzung informiert, sodass das der Auftraggeber wiederum die erforderlichen Schritte einleiten kann.

Grundsätzlich sollte der Dialog mit dem Auftragsverarbeiter dabei schriftlich geführt werden, um der eigenen Dokumentations- und Rechenschaftspflicht nachzukommen. Sofern der Dienstleister keine genauen Informationen liefert, sollte nachgefragt werden, um welche Art des Vorfalls es sich handelt, wie es zu diesem Vorfall kommen konnte, welche Daten betroffen sind, wie groß das Ausmaß der betroffenen Daten ist, ob Daten abgeflossen oder unwiderruflich zerstört wurden und welche Sicherheitsmaßnahmen künftig getroffen werden.

Bei der Meldung einer Datenschutzverletzung ist zu beachten, dass der Auftragsverarbeiter möglicherweise nicht sofort alle relevanten Informationen zur Verfügung stellen kann. Dennoch ist der Auftraggeber verpflichtet, innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung eine Erstmeldung vorzunehmen. Wenn eine Datenschutzverletzung festgestellt wird, muss der Auftragsverarbeiter nicht nur seine Kunden informieren, sondern auch unverzüglich Maßnahmen ergreifen, um die Verletzung zu beheben. Die verantwortliche Stelle sollte in jedem gut gestalteten Auftragsverarbeitungsvertrag festlegen, dass der Auftragsverarbeiter alle relevanten Informationen über die Verletzung liefert, einschließlich der betroffenen Daten und der ergriffenen Gegenmaßnahmen.

Mit der Meldung bei der Aufsichtsbehörde ist es jedoch nicht getan. Der Sachverhalt muss nachverfolgt, neue Erkenntnisse ggf. der Aufsichtsbehörde mitgeteilt werden. Darüber hinaus sollte überprüft, sobald alle Informationen vom Dienstleister vorliegen, ob eine weitere Zusammenarbeit möglich ist. Unabhängig von den Maßnahmen, die der Dienstleister für die Behebung und künftige Vermeidung einer Datenschutzverletzung ergriffen hat empfiehlt es sich beispielsweise, Sicherungskopien von Daten, die beim Auftragsverarbeiter liegen, regelmäßig verschlüsselt an einem weiteren Serverstandort oder im Haus des Auftraggebers zu speichern. So kann zumindest ein Totalausfall durch eine Verschlüsselung von Festplatten beim Auftragsverarbeiter verhindert werden.

Häufige Fragen zu Datenschutzverletzungen

Die Meldung übernimmt in der Regel die Geschäftsführung oder eine andere beauftragte Person innerhalb des Unternehmens. Es ist eher unüblich, dass der Datenschutzbeauftragte selbst eine Meldung durchführt, da er zwar auf die Einhaltung des Datenschutzes hinwirken soll, ansonsten jedoch keinerlei Entscheidungsbefugnisse innerhalb des Unternehmens besitzt.

Eine Meldung über eine Datenschutzverletzung erfolgt stets an die Aufsichtsbehörde, welche für das jeweilige Unternehmen zuständig ist. In Deutschland ist das die jeweils für das Bundesland des Unternehmens zuständige Behörde. Auf der folgenden Seite findest du alle Datenschutzaufsichtsbehörden in Deutschland.

Grundsätzlich sollte man sich mit dem Gedanken anfreunden, dass stets eine Meldung bei der Aufsichtsbehörde erfolgen sollte. Davon kann nur abgewichen werden, wenn ausgeschlossen werden kann, dass die Datenschutzverletzung zu keinem Risiko für Rechte und Freiheiten der betroffenen Personen führt.

Unsere Fragebogen bei Datenschutzpannen  hilft dir dabei, alle relevanten Fragen zu einer Datenschutzverletzung zu beantworten. 

Fragebogen bei Datenschutzpannen herunterladen
Inhalt wird geladen ...