Datenschutz
Die DSGVO und Datenpannen
Text: Michael Sopart| Foto (Header): © Moon Safari – stock.adobe.com
Einem Außendienstmitarbeiter wird sein Notebook aus seinem Hotelzimmer gestohlen. Ein Mitarbeiter klickt unbedacht auf einen Link in einer E-Mail und veröffentlicht sensible Daten. Hacker greifen Ihr Unternehmen an? Datenpannen und Sicherheitsverstöße sind mittlerweile an der Tagesordnung und stellen den Albtraum eines jeden Informationssicherheits- und Datenschutzbeauftragten dar.
Auszug aus:
Datenschutz für Praktiker
Ausgabe Mai 2020
Jetzt Leser werden
Wenn eine Datenpanne passiert ist oder auch wenn nur Verdachtsmomente auftreten, sollten Sie schnell handeln, denn die DSGVO gibt vor, Datenschutzvorfälle umgehend zu melden. Doch was ist ein Vorfall eigentlich genau und wie reagieren Sie richtig, wenn es zu einem solchen kommt? Ab wann genau besteht eine Meldepflicht? Wer ist alles zu benachrichtigen? Wie ist diese Meldung auszugestalten? Wir fassen die wichtigsten Punkte zu Datenpannen zusammen.
Was ist ein Datenschutzvorfall?
Ein Datenschutzvorfall ist eine Verletzung des Schutzes personenbezogener Daten (gem. Art. 4 Nr. 12 DSGVO),
- die zur Vernichtung, zum Verlust oder zur Veränderung von personenbezogenen Daten führt, ob unbeabsichtigt oder unrechtmäßig, oder
- die zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Ein Datenschutzvorfall liegt z. B. vor, wenn
- eine E-Mail mit personenbezogenen Daten an den falschen Empfänger gesendet wurde.
- ein Computer, auf dem personenbezogene Daten gespeichert wurden, unsachgemäß entsorgt wurde, d. h. die Festplatte wurde vorher nicht ordnungsgemäß gelöscht.
- ein Notebook oder Smartphone mit personenbezogenen Daten verloren geht (ohne Absicherungsmaßnahmen wie Festplattenverschlüsselung oder Einbindung der mobilen Geräte ins Mobile Device Management zum Fernlöschen).
- bei einem Hacking-Angriff personenbezogene Daten gestohlen werden.
- personenbezogene Daten versehentlich geändert oder auch unbeabsichtigt gelöscht werden.
- Schwachstellen auf einem Webserver es ermöglichen, dass Angreifer einen Online-Shop hacken und Kundendaten stehlen.
Welche Meldepflichten und Verantwortlichkeiten liegen vor?
Nach Kenntniserlangung der Datenpanne wird der Vorgang zur Meldung gegenüber der zuständigen Aufsichtsbehörde initiiert. Gemäß Art. 33 DSGVO ist der Verantwortliche dazu verpflichtet, den Vorfall unverzüglich und ohne schuldhaftes Verzögern der zuständigen Aufsichtsbehörde zu melden. Und diese Meldung muss innerhalb von 72 Stunden erfolgen. Der maßgebliche Zeitpunkt für die Bestimmung des Fristbeginns ist die Kenntnisnahme des Verantwortlichen von der Verletzung des Schutzes personenbezogener Daten. Hier schreibt die DSGVO dem verantwortlichen Unternehmen gleich zwei Handlungsmaßnahmen vor.
- Meldung der Verletzung von personenbezogenen Daten an die zuständige Aufsichtsbehörde
- Benachrichtigung der Personen, die von dem Vorfall betroffen sind
Es gelten folgende Regelungen: Die Aufsichtsbehörde ist immer dann zu informieren, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen geführt hat oder führen könnte. Dagegen ist die betroffene Person immer dann zu informieren, wenn der Vorfall ein voraussichtliches hohes Risiko für die persönlichen Rechte und Freiheiten der natürlichen Personen zur Folge hat oder haben könnte.
Ablauf – von der Datenpanne bis zur Meldung
Je nach Unternehmensorganisation und dem Vorhandensein von Managementsystemen (ISO 27001, ISO 27701) kann der Ablauf variieren. Im Wesentlichen sind folgende fünf Schritte zu beachten:
- Alle relevanten Daten zum Vorfall werden zusammengetragen:
- Was ist passiert?
- Wann ist es passiert?
- Wie ist es passiert?
- Wer ist betroffen?
- Welche personenbezogenen Daten sind betroffen?
- Welche Abteilung ist betroffen?
- usw.
- Die Datenpanne wird an den Datenschutzkoordinator bzw. Datenschutzbeauftragten gemeldet.
- Der Datenschutzkoordinator bzw. Datenschutzbeauftragte identifiziert den Zeitpunkt der Datenpanne und informiert umgehend die Geschäftsführung und den Informationssicherheitsbeauftragten.
- Der Informationssicherheitsbeauftragte leitet umgehende Sicherheitsmaßnahmen ein.
- Der Datenschutzbeauftragte bewertet die Meldepflicht des Vorfalls. Nach Bekanntwerden einer Datenpanne hat eine Risikobewertung bzgl. Risiken für die Verletzung von Rechten bzw. Grundfreiheiten betroffener Personen zu erfolgen.
Der Begriff Risiko wird in der DSGVO nicht detailliert spezifiziert; Anhaltspunkte ergeben sich jedoch aus den Erwägungsgründen. Für eine Risikobewertung sind folgende Fragen zu stellen:
✔ Wie ist der Vorfall aufgetreten?
✔ Welche Schäden können für die betroffene Person eintreten?
✔ Warum konnte das Ereignis überhaupt eintreten?
Es muss bei einem Datenschutzvorfall detailliert dargelegt werden, ob ein Risiko besteht oder nicht. Führt die Verletzung voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen, muss die Benachrichtigung unverzüglich erfolgen. Diese Benachrichtigung der betroffenen Person sollte mindestens folgende Informationen enthalten:
- Kontaktdaten des Datenschutzbeauftragten
- Beschreibung der zu erwartenden Folgen der Verletzung des Schutzes personenbezogener Daten
- Beschreibung der von dem Verantwortlichen eingeleiteten Maßnahmen zur Behebung oder Abmilderung der Verletzung des Schutzes personenbezogener Daten
Schnelles, strukturiertes Handeln ist wichtig bei Datenpannen!
Es gilt, die zuvor beschriebenen Vorschriften einzuhalten. Denn die Aufsichtsbehörde kann bei einem Verstoß gegen Art. 34 DSGVO gegen den Verantwortlichen eine Geldbuße verhängen. So kann ein Verstoß gegen die Meldepflicht für den Verantwortlichen auch einen Schadensersatzanspruch für materielle und immaterielle Schäden gem. Art. 82 DSGVO bedeuten.
Ergreifen Sie Maßnahmen, die es Ihnen erleichtern, die oben genannten Vorgaben innerhalb der vorgeschriebenen Zeit einzuhalten. Seien Sie gewappnet und bereiten sie sich vor:
- Sensibilisieren Sie Ihre Mitarbeiter regelmäßig bezüglich Risiken und Gefahren.
Hierbei ist es sinnvoll, die Sensibilisierungsmaßnahmen mit dem Verantwortlichen für Informationssicherheit abzustimmen und gemeinsam durchzuführen. Die Erfahrung hat deutlich gezeigt, dass Schulungsinhalte, die auch den Mitarbeiter privat interessieren, wie z. B. Passwortmerkregeln, Schutz beim Online-Banking, Schutz in sozialen Netzwerken, Schutz der Kinder im Internet usw., sich einer sehr viel höheren Akzeptanz und Nachhaltigkeit erfreuen.
- Zeigen Sie auf, was Datenpannen sind und an wen Mitarbeiter die Vorfälle melden müssen.
- Spielen Sie fiktive Vorfälle in Ihrem Unternehmen mit den beteiligten Personen durch, um zu sehen, ob die etablierten Prozesse funktionieren.
Leider stellt sich nicht die Frage, ob etwas passiert, sondern nur, wann es zu einem Datenschutzvorfall kommt. Bereiten Sie sich daher schon heute vor.
Zur Person
Michael Sopart ist seit September 2008 als Berater für Informationssicherheit und Datenschutz tätig. Sein Tätigkeitsschwerpunkt liegt in der Einführung von Datenschutz- und Informationssicherheitsmanagementsystemen (ISO 27001). Darüber hinaus ist er als freier Auditor (ISO 27001 und IT-Sicherheitskatalog § 11 (Abs. 1a) EnWG) für eine Zertifizierungsstelle tätig.