Inhaltsverzeichnis
- Wie entsteht eine Datenpanne?
- Was tun bei einer meldepflichtigen Datenpanne?
- Verstoß gegen die Meldepflicht
- Schutz vor Datenschutzverletzungen
- Fazit: Sind Datenpannen ein vermeidbares Risiko?
Wie entsteht eine Datenpanne?
Eine Datenpanne liegt laut DSGVO dann vor, wenn personenbezogene Daten verloren (Datenverlust), vernichtet, verändert oder unbefugt veröffentlicht wurden. Alternativ zur Bezeichnung „Datenpanne“ kann hierbei auch von einem „Datenschutzvorfall“ gesprochen werden.
Der Verantwortliche einer Datenverarbeitung ist verpflichtet, der Datenschutzaufsichtsbehörde zu melden und zu berichten (Melde- und Benachrichtigungspflicht), wenn personenbezogene Daten von einer Datenpanne betroffen sind. Eine Datenpanne liegt aber nicht nur dann vor, wenn das System von einem Virus befallen wurde oder Hacker (Cyberattacken) sich Zugang verschafft haben.
Ein sicherheitsrelevanter Vorfall ist auch dann gegeben, wenn personenbezogene Daten unbefugt herausgegeben wurden. Dies ist z. B. dann der Fall, wenn eine E-Mail mit sensiblen Daten aus Versehen an den falschen Empfänger versendet wurde, Daten unbewusst im Internet veröffentlicht wurden oder ein USB-Stick oder ein Geschäftshandy mit sensiblen Daten verloren gegangen sind.
Grundsätzlich können aber auch auf folgende Art und Weise Datenschutzverletzungen erfolgen:
- Störung oder Fremdzugriff auf Prozesse der Datenverarbeitung
- Umgehung der IT-Sicherheitsvorkehrungen bezüglich der Datenerhebung
- Cyber-Angriffe auf die IT-Infrastruktur und deren Sicherheitssysteme
Bei Eintritt einer Datenschutzverletzung, schnellstmöglich den Datenschutzbeauftragten benachrichtigen und geplante Sicherheitsmaßnahmen umsetzen. © NicoElNino – stock.adobe.com |
Welche Datenpannen sind meldepflichtig?
Die Meldepflicht setzt voraus, dass die Verletzung des Schutzes der personenbezogenen Daten mit einem Risiko für den Betroffenen verbunden ist (Art. 4 Nr. 1 DSGVO). Ist dieses Risiko nicht gegeben, zählt der Vorfall nicht zu den meldepflichtigen Datenpannen.
Das Bundesdatenschutzgesetzt (BDSG) legt in § 42a genau vor, wann im Rahmen der Informationspflicht von einer Datenpanne gesprochen werden muss. Die unrechtmäßige Übermittlung personenbezogener Daten stellt immer eine Datenpanne dar.
Datenleck und Datenpanne
Bei dem Begriff des Datenlecks lohnt es sich etwas genauer hinzusehen: genaugenommen wäre auch ein einmaliges Datenleck denkbar, gemeint ist damit aber meistens der unkontrollierte Datenabfluss über einen bestimmten Zeitraum.
Was ist keine Datenpanne?
Nehmen wir zur Veranschaulichung erneut das Beispiel des verlorenen USB-Sticks (auch in Cloud-Zeiten keine Seltenheit): Enthält der beschriebene Datenträger keine personenbezogenen Daten, sondern ausschließlich Softwareprogramme o. Ä., liegt keine Datenpanne vor.
Produktempfehlung
Damit Mitarbeiter, die personenbezogene Daten verarbeiten, bei Datenpannen gleich angemessen reagieren, können Unternehmen und Shopbetreiber auf ein ausführliches Merkblatt zur Melde- und Benachrichtigungspflicht gemäß DSGVO zurückgreifen, das in der „Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop“ enthalten ist.
Was tun bei einer meldepflichtigen Datenpanne?
Ereignet sich eine Datenschutzverletzung, sind nach § 43 Absatz 2 BDSG alle Privatunternehmen sowie die Öffentlich-Rechtlichen verpflichtet, das Ereignis der behördlichen Meldestelle weiterzugeben. Für staatliche Behörden hingegen existiert bislang keine derartige Informationspflicht.
Europaweit gelten seit dem 25. Mai 2018 die Meldepflicht für Datenpannen gemäß Art. 33 der DSGVO.
6 Schritte zur Meldung einer Datenpanne
Nach dem Datenschutzrecht greifen die Meldepflichten einer Datenpanne v. a. gegenüber der Aufsichtsbehörde innerhalb von 3 Tagen nach Eintritt des Schadensfalls.
Liegt eine Datenschutzverletzung in Form einer Datenpanne vor, ist nun Folgendes zu tun:
- Der Mitarbeiter bzw. Auftragsverarbeiter muss sofort nach Kenntnisnahme der Schutzverletzung den Verantwortlichen (i. d. R. den Datenschutzbeauftragten) darüber informieren, damit dieser seiner Meldepflicht in der vorgeschriebenen Frist nachkommen kann.
- Binnen 72 Stunden nach Bekanntwerden der Datenschutzverletzung muss der Datenschutzbeauftragte den Vorfall an die jeweils zuständige Datenschutzaufsichtsbehörde melden.
- Ist innerhalb dieser 72 Stunden das Ausmaß der Datenpanne noch nicht klar, sollte dennoch eine Meldung mit der Information erfolgen, dass weitere Untersuchungen durchgeführt werden. Sind die Untersuchungen abgeschlossen, muss eine Nachmeldung folgen.
- Der Inhalt der Meldung sollte gemäß Art. 33 Abs. 3 DSGVO folgende Daten enthalten:
- Beschreibung der Art der Verletzung, welche Daten und Datenarten, wie viele Personen und Datensätze betroffen sind.
- Name und Kontaktdaten des zuständigen Datenschutzbeauftragten
- Beschreibung der Folgen, die wahrscheinlich sind
- Beschreibung der Maßnahmen, die zur Abwendung bzw. Abmilderung der Folgen bereits ergriffen wurden oder geplant sind
- Die Datenpanne ist im Rahmen der Dokumentationspflicht dokumentieren, um der Aufsichtsbehörde damit eine Kontrolle zu ermöglichen.
- Die von der Datenpanne betroffene Person muss ebenfalls unverzüglich (so schnell wie möglich) und in klarer und einfacher Sprache darüber informiert werden, dass der Schutz ihrer Daten verletzt wurde (s. Benachrichtigungspflicht gegenüber dem Betroffenen nach Art. 34 DSGVO).
Verstoß gegen die Meldepflicht
Ein Verstoß gegen die Melde- und Berichtspflicht gemäß DSGVO stellt eine Ordnungswidrigkeit dar und kann mit einem Bußgeld von bis zu 300.000 Euro geahndet werden. Im Extremfall kann ein derartiger Verstoß sogar zur Verhängung einer Freiheitsstrafe und höheren Geldstrafen führen –möglich ist in diesen Fällen ein Bußgeld von bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens oder bis zu 20 Millionen Euro.
Mögliche Folgen für Mitarbeiter
Falls Beschäftigte wissentlich oder fahrlässig gegen die Datenschutzvorschriften verstoßen, kann es zu disziplinarischen Maßnahmen wie Ermahnungen und Abmahnungen kommen. Auch eine außerordentliche Kündigung kann Folge einer gravierenden Datenpanne sein.
Wiederherstellung nach einer Datenschutzverletzung
Bevor mit einer Wiederherstellungsmaßnahme nach Datenverlust oder –beschädigung begonnen werden kann, sollte eine umfassende Sicherung der Datenbestände stattfinden. Ziel der anschließenden Wiederherstellung ist es, den sicheren Zustand vor der Datenpanne wiederherzustellen.
Durch Back-ups können Verluste bzw. ungewollt veränderte oder beschädigte Daten wieder in den laufenden Betrieb eingespielt und der vorherige Status wiederhergestellt werden.
Besteht die Datenpanne aus fehlgeleiteten Informationen, müssen die unberechtigten Empfänger zur unverzüglichen Löschung der Daten aufgefordert werden.
Eine Schlüsselrolle zur Vermeidung von Datenpannen durch Beschäftigte nimmt der DSB ein und wird durch eine gute Mitarbeiterkommunikation unterstützt.
Schutz vor Datenschutzverstößen
Idealerweise wurde in betroffenen Unternehmen bereits vor der ersten Datenpanne eine Datenschutz-Folgenabschätzung (DSFA) vorgenommen. Diese beinhaltet konkrete Handlungsanweisungen im Schadensfall und ermöglicht es, zeitnah und professionell zu reagieren.
Zusätzlich sollte in nahezu jedem Betrieb ein Datenschutzmanagementsystem etabliert worden sein, das Hand in Hand mit dem Informationssicherheitsmanagementsystem geht. Dadurch ist eine schnelle und gründliche Fehlerfindung möglich, weitere Schäden und Haftungsansprüche können dadurch minimiert werden.
Zu weiteren Schutzmaßnahmen gegen Datenpannen gehören:
- Technische und organisatorische Maßnahmen (TOMs), die dem Stand der Technik entsprechen und regelmäßig aktualisiert werden
- Regelmäßige Prüfung durch externe Spezialisten
- Wiederkehrende Schulungen der Belegschaft
Einen aktiven Schutz vor Datenschutzverstößen gibt es folglich nicht. Erst durch eine Kombination aus geschulten Mitarbeitern, Technik und Verwaltungsstruktur lässt sich ein hohes Maß an Sicherheit gewinnen.
Fazit: Sind Datenpannen ein vermeidbares Risiko?
Mit zunehmender Digitalisierung und Globalisierung sowie dem fortschreitenden Informationszeitalter erhöht sich das firmeneigene Risiko einer Datenpanne. Deswegen ist es wichtig, durch die Organisation einer IT-Sicherheitsstruktur präventiv zu handeln und den Schutz personenbezogener Daten zu erhöhen. Nichtsdestotrotz kann das Auftreten von Datenpannen nicht gänzlich verhindert oder vermieden werden.
Durch die gezielte Prüfung aller Prozesse, die mit der Erhebung, Speicherung und Verarbeitung personenbezogener Daten zusammenhängen, kann aber bereits im Vorfeld umfassender Schutz erreicht werden. Zusätzlich werden Datenpannen bei kontinuierlichen Systemprüfungen bereits zum Entstehungszeitpunkt erkannt und somit kann ein größerer Schäden verhindert werden.
Falls es zu einer Datenpanne kam, sollten nach Wiederherstellung konkrete Maßnahmen zur nachhaltigen Vermeidung erneuter Pannen eingeführt und kontinuierlich geprüft werden. Das lässt sich am besten anhand eines Maßnahmenplans bewerkstelligen. Somit sollte das eigene Unternehmen nach einer Datenschutzverletzung besser geschützt sein als davor.
Quelle: „Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop“, „Formularmappe Datenschutz in öffentlichen und kirchlichen Einrichtungen“, „Datenschutz 2022"