Hilfestellung für den Umgang mit Datenschutzvorfällen

Eine Datenschutzverletzung im Unternehmen sorgt oftmals für Unsicherheit und viel Arbeit.

Sollten Sie uns als Ihre externen Datenschutzbeauftragten außerhalb der gewöhnlichen Geschäftszeiten nicht erreichen können, finden Sie nachfolgend wichtige Informationen für den Notfall.

Drucken Sie sich deshalb die folgenden Informationen aus und legen sie griffbereit ab!

Binden Sie uns bei einer internen oder externen Kommunikation zu dem Vorfall über dsb-nord@ecovis.com / 0381 1288 490 direkt ein. Wir stimmen uns mit Ihnen schnellstmöglich ab!

1. Was sind Datenschutzverletzungen?

Eine Datenschutzverletzung ist eine Verletzung der Sicherheit, die

  • zur Vernichtung
  • zum Verlust
  • zur Veränderung oder
  • zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt.

Es besteht ein potentielles Risiko für die Rechte und Freiheiten natürlicher Personen.

Es ist nicht ausschlaggebend, ob die Verletzung unbeabsichtigt oder unrechtmäßig erfolgt ist. Ein Eigenverschulden ist nicht erforderlich.


2. Beispiele für Datenschutzverletzungen (nicht abschließend)

  • Verlust von Laptop oder Mobiltelefon, auf dem personenbezogene Daten gespeichert sind
  • Falschversand von E-Mails oder Briefen an unberechtigte Empfänger
  • Verlust von Speichermedien (z. B. USB-Stick, SD-Karte, externe Festplatte)
  • Verlust von Papierakten, Dokumenten oder Verträgen
  • unbeabsichtigte Löschung oder Vernichtung von Daten
  • Einbruch und Diebstahl von Hardware (Kamera, Laptop) oder Akten
  • Brand
  • Verschlüsselung der Daten auf Computern – (Ransomware-Angriff) und ggf. Einforderung von Lösegeldzahlungen
  • Cyberangriff (ggf. durch Virus oder Phishing)

Im Zweifel sollten Sie von einer Verletzung ausgehen und die Punkte der nachfolgenden Checkliste prüfen!


3. Checkliste - Was ist bei der Kenntnisnahme des Vorfalls zu tun?

  1. Vorfall – wenn möglich – durch Sofortmaßnahmen eindämmen
  2. Datum und Uhrzeit der Kenntnisnahme dokumentieren
  3. Vorfall mit bisher vorliegenden Informationen unverzüglich an Vorgesetzten / Geschäftsführung melden
  4. Unverzügliche Meldung an IT-Abteilung/IT-Dienstleister (leitet schnellstmöglich Sicherheitsmaßnahmen ein)
  5. Einbindung des Datenschutzbeauftragten/ggf. Aktivierung eines internen Notfall-Teams
  6. (Fortlaufende) Dokumentation des Vorfalls (Nutzen Sie dazu gerne diese Tabelle.)
  7. Risikobeurteilung durch die Geschäftsführung – trifft Entscheidung, ob Vorfall gemeldet werden soll
  8. Ggf. Meldung bei der Aufsichtsbehörde (ausführliche Informationen dazu unter Abschnitt 4)
  9. Ggf. Betroffene informieren (ausführliche Informationen dazu unter Abschnitt 5)


4. Meldung bei der Aufsichtsbehörde (Art. 33 DSGVO)

Wann besteht Meldepflicht bei der Aufsichtsbehörde?

  • Es besteht voraussichtlich ein Risiko für betroffene Personen
    (z. B. Diskriminierung, Identitätsdiebstahl, Mobbing, Einschränkung oder Verlust der Privatsphäre, finanzielle Nachteile, Gefahr von Betrug, Gefahr des Missbrauchs von Daten etc.).
  • Das Risiko ist nicht abzuschätzen oder unbekannt.

Sind keine personenbezogenen Daten durch den Vorfall betroffen, ist dieser nicht der Aufsichtsbehörde zu melden. Gleichwohl ist diesem Sicherheitsvorfall nachzugehen und dem Vorgesetzen oder der Geschäftsleitung unverzüglich anzuzeigen.

Wie erfolgt die Risikobeurteilung?

Die Geschäftsführung hat – ggf. in Zusammenarbeit mit den Fachabteilungen – das Risiko des Datenschutzvorfalls objektiv einzuschätzen und zu dokumentieren. Dabei sind folgende Punkte zu beachten:

1. Identifizierung möglicher Risiken (Schäden)

Datenschutzverletzungen können physische, materielle und immaterielle Schäden verursachen. Zu den immateriellen Schäden zählen auch ungerechtfertigte Grundrechtsverletzungen.

Beispiele für solche Schäden sind:

  • Verlust der Kontrolle über personenbezogene Daten,
  • Diskriminierung,
  • Identitätsdiebstahl oder Betrug,
  • finanzielle Verluste
  • unbefugte Aufhebung der Pseudonymisierung,
  • Rufschädigung,
  • körperliche Schäden infolge von Handlungen auf der Grundlage fehlerhafter oder offengelegter Daten.

2. Abschätzung der Eintrittswahrscheinlichkeit und Schwere des Schadens

3. Zuordnung zu Risikoabstufungen
Ein mögliches Risiko kann hierbei den Stufen

  • „geringes Risiko“ – nicht meldepflichtig, nur interne Dokumentation,
  • „Risiko“ – Meldepflicht bei der Aufsichtsbehörde und
  • „hohes Risiko“ – Meldepflicht bei der Aufsichtsbehörde und Information der betroffenen Personen

zugeordnet werden.

Wie auch in vielen anderen Bereichen, in den Risikobeurteilungen vorgenommen werden müssen, bietet sich hierfür eine Risikomatrix an, die folgendermaßen aussehen kann:


Quelle: DSK Kurzpapier Nr. 18 – Risiko für die Rechte und Freiheiten natürlicher Personen, Stand 26.04.2018

Dabei sind ggf. bereits eingeleitete Schutzmaßnahmen zu berücksichtigen, die die Eintrittswahrscheinlichkeit oder die Schwere des Schadens effektiv reduziert haben.

Beispielfall:

Die Server des Unternehmens wurden durch Ransomware-Angriff verschlüsselt. Ein Zugriff auf die Systeme ist nicht mehr oder nur sehr eingeschränkt möglich. Auf den verschlüsselten Servern befinden sich personenbezogene Daten von Kunden und Mitarbeitern (keine besonders sensiblen Daten). Der Angriff wurde frühzeitig bemerkt. Die Analyse der Protokolle ergab eindeutig, dass keine Daten abgeflossen sind. Der Angreifer hatte nur Zugriff auf verschlüsselte personenbezogene Daten. Der Entschlüsselungsschlüssel wurde nicht beeinträchtigt. Durch vorhandene Sicherungskopie konnten die Daten einige Stunden nach dem Angriff wiederhergestellt werden. 

Mögliche Folgen (Schäden) dieser Datenschutzverletzung sind die mangelnde Verfügbarkeit der Daten oder auch der Verlust der Kontrolle über die personenbezogenen Daten der betroffenen Personen. 

Durch bereits vorher vorhandene technische Maßnahmen und der schnellen Reaktion konnten die Auswirkungen des Angriffs deutlich gemindert werden. Die Wahrscheinlichkeit des Eintritts von Schäden für betroffene Personen ist also als gering einzustufen. Auch die Schwere der Folgen könnte hier als überschaubar eingestuft werden, sodass man insgesamt zu dem Schluss kommen könnte, dass nur ein geringes Risiko für die Rechte und Freiheiten betroffener Personen durch die Datenschutzverletzung vorlag. In diesem Fall wäre lediglich eine interne Dokumentation, aber nicht auch eine Meldung an die Aufsichtsbehörde oder die Information der betroffenen Personen notwendig.

Folgende Faktoren sprechen in der Regel für ein (hohes) Risiko für betroffene Personen und damit für eine Meldepflicht bei der Aufsichtsbehörde und ggf. Information der betroffenen Personen:

  • Daten können nicht wiederhergestellt werden (z. B. aufgrund von fehlender Sicherungskopie),
  • besondere Datenkategorien (z. B. Gesundheitsdaten, biometrische Daten) oder höchst vertrauliche Daten (z. B. Kontodaten, Sozialversicherungsnummern, Ausweisnummern) sind betroffen,
  • personenbezogene Daten sind einem nicht vertrauenswürdigen Dritten unverschlüsselt zugänglich geworden (z. B. durch Diebstahl eines Laptops,
  • betroffen ist eine hohe Menge an Datensätzen oder eine große Anzahl von Personen,
  • Daten von besonders schützenswerten Personengruppen (Kinder, Mitarbeiter) sind betroffen.

Welche Frist ist zu beachten?

Ein Datenschutzvorfall ist unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden durch das verantwortliche Unternehmen (nicht durch den Datenschutzbeauftragten) zu melden. Kann diese Frist nicht eingehalten werden, ist der Meldung eine Begründung hierfür beizufügen.

Wie kann bei Aufsichtsbehörde gemeldet werden?

Die Meldung ist an die zustände Aufsichtsbehörde des Bundeslandes zu senden, in dem sich der Unternehmenssitz befindet.

Die Behörden stellen entsprechende Online-Meldeformulare bereit. Für ausgewählte Bundesländer finden Sie nachfolgend die entsprechenden Meldeformulare:

Bundesland URL
Mecklenburg-Vorpommern: https://www.datenschutz-mv.de/kontakt/meldung-einer-datenpanne/
Berlin: https://www.datenschutz-berlin.de/datenschutz/datenpanne/datenpannenformular/
Hamburg: https://datenschutz-hamburg.de/service-information/datenpanne-melden
Bremen: https://www.datenschutz.bremen.de/wir-ueber-uns/online-meldungen/datenschutzverletzung-melden-15665
Niedersachsen https://www.navo.niedersachsen.de/navo2/portal/csend/8916/fileget/artikel_33.html
Nordrhein-Westfalen https://ldi-fms.nrw.de/lip/form/display.do?%24context=995741EF8BF9886774B0

Alternative Form der Meldung:

Eine bestimmte Form der Meldung ist nicht vorgesehen. Neben dem Online-Formular bieten die Behörden auch Kontaktadressen auf deren Webseiten an.

Was muss gemeldet werden?

Der Inhalt der Meldung kann den Online-Meldeformularen entnommen werden. Wenn diese nicht genutzt werden, so sind folgende Inhalte anzugeben:

  • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten,
  • soweit möglich die Angabe der Kategorien betroffener Personen (z. B. Beschäftigte, Kunden, Gäste, Patienten, Websitebesucher, etc.)
  • ungefähren Zahl der betroffenen Personen,
  • der betroffenen Kategorien betroffener Datensätze (z.B. Namen, Adressdaten, Bankverbindungen, Gesundheitsdaten, etc.)
  • ungefähren Zahl der betroffenen personenbezogenen Datensätze
  • Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
  • Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Abschließende Hinweise zur Meldung bei der Aufsichtsbehörde

  • Auch die betroffenen Personen können sich bei der zuständigen Aufsichtsbehörde oder Polizei melden oder einen Schadenersatz bei Gericht beantragen. Wenn der Aufsichtsbehörde in diesen Fällen noch keine Meldung des Unternehmens vorliegt, kann dies nachteilige Auswirkungen (ggf. in Form eines Bußgeldes) haben. Es ist daher ratsam, auch bei Unsicherheit, ob der Datenschutzvorfall meldepflichtig ist oder nicht, vorsorglich eine Meldung abzugeben,
  • Wenn Ihnen binnen 72 Stunden nach Kenntnisnahme des Vorfalls nicht alle in den Meldeformularen geforderten Informationen vorliegen, melden Sie trotzdem soweit Ihnen Informationen vorliegen. Neue Erkenntnisse können problemlos nachgemeldet werden. Bei einem gemeldeten Datenschutzvorfall ist die Aufsichtsbehörde ohnehin auf dem Laufenden zu halten.
  • Scheuen Sie sich nicht aus Sorge vor einem möglichen Bußgeld vor einer Meldung an die Aufsichtsbehörde. Eine offene Kommunikation und proaktive Zusammenarbeit mit den Aufsichtsbehörden wirken sich erfahrungsgemäß günstiger aus als die Zurückhaltung von Informationen.


5. Information der Betroffenen (Art. 34 DSGVO)

Müssen die Betroffenen informiert werden?

Hat die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so sind diese Personen über die Verletzung unverzüglich zu informieren. Ob ein derartiges hohes Risiko besteht (roter Bereich in der oben dargestellten Matrix), wird ebenfalls anhand einer Risikobeurteilung festgestellt.

Eine Information ist nicht erforderlich, wenn:

  • technische oder organisatorische Maßnahmen ergriffen wurden, sodass Nachteile für die Betroffenen ausgeschlossen oder erheblich (auf ein normales Risiko) reduziert werden können;
  • die Information der Betroffenen mit einem unverhältnismäßig hohen Aufwand verbunden ist. In dem Fall haben öffentliche Bekanntmachungen zu erfolgen!

Wer informiert die Betroffenen?

Das verantwortliche Unternehmen!

Was muss die Information für die Betroffenen enthalten?

  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
  • Beschreibung der Art der Datenschutzverletzung
  • wahrscheinliche Folgen des Vorfalls
  • Information über bereits ergriffene oder vorgeschlagenen Maßnahmen

Wie können oder müssen die Betroffenen informiert werden?

Die Information hat in einfacher und klarer Sprache zu erfolgen!

In Abhängigkeit des Ausmaßes des Vorfalls sind folgende Informationskanäle denkbar:

  • Presseartikel (Zeitung, TV, Social Media)
  • Information auf der unternehmenseigenen Website
  • individuelles Anschreiben per Post oder Mail
  • Mitarbeiterinformation bei Beschäftigten

Wer muss noch eventuell ebenfalls informiert werden?

  • Auftraggeber
  • Geschäftspartner


6. Was muss dokumentiert werden?

Dokumentieren Sie zeitnah, gewissenhaft und fortlaufend (bei neuen Erkenntnissen) den Vorfall! Nutzen Sie zur Orientierung die obige Checkliste sowie Tabelle.

Dokumentieren Sie auch die kleinen und unscheinbaren Vorfälle, auch wenn diese nicht bei der Aufsichtsbehörde gemeldet werden müssen/sollen.

Legen Sie sich die Meldung an die Aufsichtsbehörde zu Nachweiszwecken ab!

Sofern Sie nicht melden, dokumentieren Sie den Grund, weshalb Sie keine Meldung bei der Aufsichtsbehörde erstattet haben. Auch hier trifft das Unternehmen die Pflicht zur Dokumentation der Gründe, wenn die Aufsichtsbehörde das Unternehmen wegen der Beschwerde eines Betroffenen prüft.


7. Mein Unternehmen ist als Dienstleister tätig und verarbeitet Daten im Auftrag

Sofern ein Auftragsverarbeiter eine Datenschutzverletzung feststellt, hat er diese gegenüber dem Verantwortlichen (Auftraggeber) unverzüglich anzuzeigen. Zu beachten sind ggf. auch weitere Pflichten aus dem Auftragsverarbeitungsvertrag.

Befolgen Sie ebenfalls die Schritte der Checkliste (Punkt 3)!

Axel Keller
Axel Keller
Rechtsanwalt in Rostock
Tel.: +49 381 12 88 49 0