Datenschutzverletzungen und Datenschutzpannen

Was ist eine Datenschutzverletzung und wie muss ich mich verhalten?

Von einer Datenschutzpanne oder Datenschutzverletzung sprechen wir, wenn ein Unbefugter Zugriff auf personenbezogene Daten erhalten konnte oder erhalten hat.

Daniel Steffen, Datenschutzbeauftragter (DSB-TÜV) & Datenschutzauditor (DSA-TÜV) | Informationssicherheitsbeauftragter (ISB-TÜV) & Informationssicherheitsauditor (ISA-TÜV)

Datenschutzpannen sind Vorfälle, bei denen personenbezogene Daten unbefugt veröffentlicht, gestohlen oder anderweitig missbraucht werden. Sie können große Auswirkungen auf die Betroffenen haben, insbesondere dann, wenn es sich um sensible Daten handelt, wie zum Beispiel finanzielle Informationen oder medizinische Aufzeichnungen.

Beispiele für Datenschutzpannen

  • Fehlversand einer E-Mail mit personenbezogenen Daten an eine falsche E-Mail-Adresse
  • Verlust eines unverschlüsselten USB-Sticks, Notebooks, Smartphones mit personenbezogenen Daten
  • Zugriff auf Unternehmensnetzwerk durch Unbefugte (durch Hacking oder Social Engineering)
  • Veröffentlichung von personenbezogenen Daten (ohne Rechtsgrundlage) auf einer Internetseite
  • Fehlerhaftes Ändern oder Löschen von personenbezogenen Daten (ohne Sicherheitskopie)
  • Schadsoftware, die Einfluss auf den Schutz personenbezogener Daten nimmt (z.B. Verschlüsselungstrojaner)

Es gibt einige Schritte, die man bei einer Datenschutzpanne unternehmen kann, um die Auswirkungen zu minimieren und sich selbst zu schützen:

 

  1. Einführung von Datenschutzrichtlinien und -verfahren: Unternehmen sollten klare Richtlinien und Verfahren für den Umgang mit personenbezogenen Daten etablieren und sicherstellen, dass alle Mitarbeiter über diese Richtlinien informiert sind und sich daran halten.
     
  2. Datenschulungen für Mitarbeiter: Mitarbeiter sollten regelmäßig über den Umgang mit personenbezogenen Daten geschult werden, um sicherzustellen, dass sie die relevanten Gesetze und Vorschriften kennen und einhalten.
     
  3. Technische Sicherheitsmaßnahmen: Unternehmen sollten geeignete technische Sicherheitsmaßnahmen treffen, um die Sicherheit von personenbezogenen Daten zu gewährleisten. Dazu gehören beispielsweise Firewalls, Verschlüsselung und der Einsatz von Sicherheitssoftware.
     
  4. Regelmäßige Überprüfungen: Unternehmen sollten regelmäßig Überprüfungen durchführen, um sicherzustellen, dass alle Datenschutzverfahren und -richtlinien eingehalten werden und auf dem neuesten Stand sind.

 

Das Unternehmen oder die Organisation sollte umgehend die zuständigen Aufsichtsbehörden informieren, um sicherzustellen, dass der Vorfall entsprechend behandelt wird und geeignete Maßnahmen ergriffen werden. Es ist auch wichtig, dass das Unternehmen oder die Organisation alle relevanten Details des Vorfalls offenlegt, um eine gründliche Untersuchung zu ermöglichen. Die Aufsichtsbehörden werden in der Regel auch darüber entscheiden, ob betroffene Personen über den Vorfall informiert werden müssen.

Datenschutz Newsletter
Immer aktuell informiert

Mit unserem Datenschutz Newsletter erhalten Sie aktuelle Informationen regelmäßig bequem in Ihr Postfach!

Jetzt anmelden

Wie muss ich mich bei einer Datenschutzpanne verhalten?

  • Beobachtete oder vermutete Datenschutzverstöße sind unmittelbar dem Vorgesetzten und Datenschutzbeauftragten zu melden
  • Der Datenschutzbeauftragte prüft gemeinsam mit der Unternehmensführung, ob eine Meldung an die Datenaufsichtsbehörde und/oder die betroffene Person notwendig ist
  • Die Aufsichtsbehörde prüft den Fall und entscheidet ggf. über Korrekturmaßnahmen oder Bußgelder
  • Nach Rücksprache mit der Aufsichtsbehörde muss der Betroffene ggf. informiert werden

Eine Datenschutzverletzung muss der Aufsichtsbehörde binnen 72 Stunden ab Kenntnisnahme gemeldet werden

Welche Fragen sind bei einer Datenschutzverletzung zu klären?

  • Welche Daten sind betroffen?
  • Welche IT-Systeme sind betroffen?
  • Welche Personen sind betroffen? 
  • Wer könnte Kenntnis von den Daten bekommen haben?
  • Wie konnte der Zugriff auf Daten erfolgen?
  • Wohin sind Daten übertragen worden?
  • Hat der Vorfall einmalig, wiederholt stattgefunden (oder dauert er noch an)?
  • Welche Maßnahmen werden/wurden ergriffen, um den Vorfall zu unterbinden?

Welche Risiken drohen im Fall einer Datenschutzverletzung?

  • Imageverlust
  • Schadensersatzansprüche Betroffener
  • Sanktionierung durch Datenschutzaufsicht
  • Hohe Geldbußen (bis zu 20 Mio. EUR) 
  • Abmahnungen

Externer Datenschutzbeauftragter

Sie benötigen einen externen Datenschutzbeauftragten für Ihr Unternehmen?

 

Wir beraten Sie gerne. Kontaktieren Sie uns und fordern Sie ein unverbindliches Angebot an.

Unverbindliches Angebot anfordern