Was sind Datenpannen und wann sind diese zu melden?
Wichtige Information für Ihre Geschäftsführung!
Niemand ist davor gefeit: ein Hackerangriff, eine falsch versendete Mail, der Verlust oder Diebstahl des Firmenlaptops. Damit einher geht in der Regel auch ein Kontrollverlust über wertvolle, oft sensible Informationen über Kunden, Geschäftspartner oder Beschäftigte. Man spricht in einem solchen Fall von einer Datenpanne, einem Datenschutzvorfall oder auch einer Datenschutzverletzung.
Ein Datenschutzvorfall ist ein Ereignis, durch das die Sicherheit von Informationen beeinträchtigt wird. Dieses Ereignis führt zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. dem unbefugten Zugang zu personenbezogenen Daten. Die Vertraulichkeit, Integrität oder Verfügbarkeit werden verletzt. Einfach gesagt handelt es sich um einen Vorfall, bei dem eines der folgenden drei Ereignisse eingetreten ist:
- Jemand erlangt Kenntnis über Informationen, die er nicht wissen sollte,
- Informationen werden unberechtigt verändert oder
- Informationen sind nicht mehr zugänglich.
Beispiele für Datenpannen
Das Spektrum von Datenpannen ist breit gefächert. Sie sind keineswegs auf den Bereich der Informationstechnologie beschränkt. Datenschutzverletzungen können passieren durch:
- Nicht vollständig durchdachte Veröffentlichung der Daten
Daten sind auf einer Website oder per Aushang an einem schwarzen Brett öffentlich einsehbar. - Bedienfehler
Durch Fehlbedienung einer Software werden Daten ungewollt zugänglich gemacht. - Verlust von Zugangsmedien
Durch Verlust von Schlüsseln, Transpondern, Magnetkarten etc. können Finder unbefugt Zutritt erhalten. - Übermittlung an falsche Empfänger
Durch (irrtümlich) falsche Mailadresse oder bei Nutzung eines offenen Mailverteilers können unzulässig Daten übermittelt werden. - Verlust unverschlüsselter Datenträger
Finder können Festplatten, USB-Sticks sowie andere Datenträger in Betrieb nehmen und auslesen. - Fehlerhafte Entsorgung von Datenträgern
Unterlagen mit Personenbezug landen im regulären Papiermüll anstatt in dafür vorgesehenen Datenvernichtern. - Preisgabe von Daten an Außenstehende
Anrufer geben sich als Betroffene aus und das Unternehmen prüft nicht ausreichend, ob die Personen zum Erhalt der Information legitimiert sind. - Angriff auf IT-Systeme
Angreifer verschaffen sich Zugriff auf die IT, um Daten zu stehlen. - Social Engineering
Angreifer erschleichen sich Zugangsdaten zum Beispiel durch Phishing-Mails und nutzen die Daten für böswillige Zwecke. - Datenverlust
Daten werden durch Einbruch, Brand etc. zerstört oder gestohlen.
Handeln im Ernstfall
Im Fall der Fälle sind etablierte interne Prozesse ratsam, sodass ein vermuteter oder auch festgestellter Datenschutzvorfall möglichst schnell dem Vorgesetzten, Abteilungsleiter und der Geschäftsführung gemeldet werden kann und frühzeitig Gegenmaßnahmen ergriffen werden können. Am besten erstellen Sie für dieses Vorgehen eine Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten.
Liegt eine Datenpanne vor, heißt es nun für das verantwortliche Unternehmen, zu entscheiden, ob eine Meldepflicht bei der Aufsichtsbehörde besteht. Insbesondere bei einem persönlichen Risiko für die von dem Vorfall betroffenen Personen und auch bei sehr umfangreichen und sensiblen Datensätzen ist eine Meldung meist unumgänglich. Letztendlich muss der Verantwortliche (Vorstand, Geschäftsführung) die Meldung bei der zuständigen Aufsichtsbehörde vornehmen. Die zuständigen Aufsichtsbehörden stellen hierfür entsprechende Online-Formulare bereit.
Der Datenschutzbeauftragte kann unterstützend hinzugezogen werden.
Achtung: Die Frist bis zur Meldung beträgt 72 Stunden ab Kenntnisnahme des Vorfalls! Die Frist wird nicht durch Wochenende oder Feiertage unterbrochen. Unberücksichtigt bleiben bei der Fristberechnung auch Urlaub und Krankheit. Eine Verletzung der Meldefrist kann zu einem Bußgeld führen.
Die mögliche Meldepflicht besteht unabhängig davon, ob der Vorfall beabsichtigt herbeigeführt wurde oder nicht.
Sollten hinsichtlich einer Meldepflicht Zweifel bestehen, stimmen Sie sich bestenfalls schnellstmöglich mit uns ab. In unserer Beratungspraxis hat sich außerdem bewährt, auch im Zweifelsfall eine Meldung bei der Aufsichtsbehörde vorzunehmen – die Behörde gibt mitunter wichtige Ansatzpunkte für die Aufarbeitung des Vorfalls und der Implementierung von Maßnahmen, um einen Vorfall in der Zukunft möglichst zu verhindern. Außerdem ist in einem solchen Fall das Risiko eines Bußgelds für eine unterlassene Meldung ausgeschlossen.
Die Konsequenzen einer verspäteten Meldung oder eines unterschätzten Risikos trägt allein das verantwortliche Unternehmen.
Wir haben Ihnen hier eine ausführliche Hilfestellung für den Umgang mit Datenschutzvorfällen vorbereitet. Außerdem finden Sie hier eine kurze Notfall-Checkliste für den Ernstfall. Bestenfalls drucken Sie sich diese Informationen aus und legen diese so bereit, dass sie auch bei einem IT-Systemausfall erreichbar ist.
Fazit: Schnelles Handeln ist gefragt
Ohne Zweifel ist ein Datenschutzvorfall ärgerlich und mit Aufwand und Stress verbunden. Dennoch kann er jederzeit unerwartet auftreten. Mit einem etablierten Prozess für den Umgang mit Datenschutzvorfällen, dem entsprechenden Know-how zum Thema und der Unterstützung des Datenschutzbeauftragten sind Sie jedoch auch in schwierigen Fällen gut gewappnet.
Am besten ist es natürlich, wenn die Wahrscheinlichkeit eines Vorfalls in größtmöglichem Maß reduziert wird – Stichwort: Prävention. Hier gilt es Richtlinien für Beschäftigte zu etablieren, strukturierte interne Abläufe zu definieren und Mitarbeiterschulungen durchzuführen.
Sprechen Sie uns jederzeit gern an, so dass wir gemeinsam Maßnahmen zur Vorbeugung abstimmen können.
