Datenschutz Verstehen – Datenschutzvorfälle und Datenpannen.
Kurze Einleitung:
Kommt es zu einer Datenpanne, so ist umsichtiges und schnelles Handeln von größter Wichtigkeit. Datenpannen bzw. Unfälle im Umgang mit der Verarbeitung von personenbezogenen Daten passieren schnell und können unangenehme Konsequenzen nach sich ziehen. Dieser Blogbeitrag beschäftigt sich damit, was genau ein Datenschutzvorfall ist und wie Sie sich im Falle dessen bestmöglich verhalten können, um negative Konsequenzen für Ihr Unternehmen zu vermeiden, wie beispielsweise Imageschäden oder hohe Bußgelder.
Bei vielen Unternehmen ist ein großer Handlungsbedarf in Hinblick auf die Umsetzung zu verzeichnen und die Berücksichtigung dieser datenschutzrechtlichen Konzepte stellt eine herausfordernde Tätigkeit dar. In diesem Beitrag beschäftigen wir uns mit der datenschutzkonformen Umsetzung von Privacy by Design und Privacy by Default und stellen die Vorteile dar, welche mit diesen Maßnahmen für die Nutzer:innen und Unternehmen einhergehen.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.
Was ist ein Datenschutzvorfall?
Was genau bezeichnet man als einen Datenschutzvorfall? Grundsätzlich wird eine Datenpanne definiert als eine Verletzung des Schutzes von personenbezogenen Daten. Art. 4 Nr. 12 DSGVO konkretisiert diese Definition als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Darüber hinaus kann auch die Löschung von Daten eine solche Verletzung darstellen. Mithin wird also die Vertraulichkeit personenbezogener Daten verletzt. Gemäß der Definition erfolgt keine Unterscheidung zwischen einer vorsätzlichen oder einer unbeabsichtigten Datenpanne. Daher können Datenschutzvorfälle schnell passieren, ohne dass der jeweils Verantwortliche dies überhaupt bemerkt oder sich dessen bewusst ist. Als Beispiele für alltägliche Datenpannen lassen sich das Verlieren eines Laptops mit Kundendaten, das Vergessen eines USB-Sticks im PC, das Versenden von E-Mails an falsche Empfänger sowie das Öffnen sogenannter Phishing-Mails – bei welchen es sich um kriminelle E-Mails handeln, durch die Hacker oft an sensible Daten gelangen können – nennen. Was daraufhin zu tun ist und welche rechtlichen Anforderungen an den Umgang mit einem Datenschutzvorfall gestellt werden, lässt sich aus Art. 33 DSGVO und Art. 34 DSGVO entnehmen.
Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!
Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.
Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.
Datenpanne Meldepflicht
Sollte es zu einer Datenpanne kommen, so ist ein reibungsloser Ablauf im Umgang mit dem Vorfall von äußerster Wichtigkeit. Die nachfolgenden Schritte und Mechanismen sollten stets befolgt und in Ihrem Unternehmen etabliert werden:
Schritt 1: Die Sensibilisierung der Mitarbeiter, einen Datenschutzvorfall möglichst schnell zu erkennen, ist enorm wichtig. Darüber hinaus sollte stets ein Notfallplan für den Fall einer Datenpanne erstellt werden, welcher z. B. eine Liste mit Kontaktdaten für Ansprechpartner beinhaltet.
Schritt 2: Im zweiten Schritt sollten unverzüglich der Verantwortlichen der Panne sowie der Datenschutzberater informiert werden.
Schritt 3: Im nächsten Schritt sollte der Verantwortliche mithilfe des Datenschutzberaters eine Risikoabschätzung durchführen und geeignete Maßnahmen einleiten, wie zum Beispiel das sofortige Ändern von Passwörtern. Sollte nach dieser Einschätzung kein Risiko durch die Datenpanne bestehen, so reicht die bloße Dokumentation des Vorfalls. Art. 34 Abs. 3 DSGVO nennt einige Szenarien, bei welchem eine Dokumentation ausreichend ist und keine weiteren Schritte gegangen werden müssen. Unter anderem ist dies der Fall, wenn der Verantwortliche durch Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht oder der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden.
Sollten der Verantwortliche und der Datenschutzberater im Zuge der Einstufung des Risikos zu dem Ergebnis kommen, dass ein Risiko besteht, so ist eine unverzügliche Meldung des Vorfalls bei der zuständigen Behörde vorzunehmen. Die Meldung an die Behörde muss dabei innerhalb von 72 Stunden erfolgen und kann durch ein Online-Formular, Telefonat oder Schreiben getätigt werden. Der Inhalt dessen ergibt sich aus Art. 33 Abs. 3 DSGVO, die Zuständigkeit der Behörde ist hingegen in Art. 55 DSGVO geregelt. In Art. 33 DSGVO heißt es, dass die Meldung mindestens folgende Informationen enthalten muss: eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und personenbezogenen Datensätze. Ferner den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten sowie eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Sollten die Informationen nicht gleichzeitig vorliegen, so ist gem. Art. 33 Abs. 4 auch ein stufenweises Vorgehen für die Bereitstellung möglich.
Schritt 4: Sofern ein hohes Risiko vorliegt, so sind in einem nächsten Schritt gem. Art. 34 Abs. 2 DSGVO die Betroffenen in klarer und einfacher Sprache über die Datenpanne zu informieren.
Schritt 5: Nachdem alle notwendigen Schritte vollzogen wurden, sollten in einem letzten Schritt Maßnahmen zur Prävention weiterer Vorfälle eruiert werden.
Hier erhalten Sie exemplarisch für ein Meldeformular Zugriff auf das Meldeformular des LDI NRW.
Risikobewertung
Auch der Risikoidentifikation lässt sich ein genauer Ablauf zuordnen. Grundsätzlich sollte diese immer unter Hinzuziehung des Datenschutzberaters erfolgen, da dieser mit Erfahrung und fundierten Kenntnissen bei der Einschätzung des Schadens behilflich sein kann. Zunächst sollte eine Abschätzung der Eintrittswahrscheinlichkeit sowie der Schwere möglicher Schäden erfolgen. In einem nächsten Schritt wird eine Zuordnung zur Risikoabstufung vorgenommen. Anhand der Abstufungen werden die Risiken für personenbezogene Daten eingeordnet und unterteilt. Dabei sollte sich an den folgenden Fragen orientiert werden: Welche Art von Daten sind hier betroffen? Handelt es sich beispielsweise um Kundendaten oder Mitarbeiterdaten? Welches Ausmaß liegt vor und wie viele Personen sind davon betroffen? Sollten zum Beispiel besondere Kategorien von personenbezogenen Daten von dem Datenschutzvorfall betroffen sein, so ist von einem hohen Schadensausmaß auszugehen. War die Panne absehbar und wurden im Vorfeld angemessene Maßnahmen zum Schutz getroffen? Hier stellt sich z.B. die Frage, ob ausreichend technische und organisatorische Maßnahmen zum Schutz von Daten getroffen wurden.
+ über 200 Vorlagen
+ Maßnahmen- & Aufgabensteuerung
+ Export in Word- & PDF-Format
+ Mandantenfähig
+ Automatisierte Prozesse
Informieren Sie sich über den Einsatz eines Datenschutz-Management-Systems (DSMS), damit Sie das Thema Datenschutz noch effizienter gestalten können.
Konsequenzen Datenschutzverstoß
Mit welchen Folgen hat man nun bei einem Datenschutzverstoß zu rechnen? Zunächst ist wichtig, dass sich das Ausmaß der Konsequenzen danach beurteilt, ob es sich um vorsätzliches und bewusstes oder fahrlässiges Verhalten in Hinblick auf den Verstoß gehandelt hat. Darüber hinaus findet bei der Verhängung einer Strafe auch das Folgeverhalten nach dem Datenschutzverstoß Beachtung. Wie hat der Verantwortlich nach dem Verstoß agiert? Wie gut war die Kooperation des Unternehmens mit der zuständigen Behörde? Wurden sofort die erforderlichen Maßnahmen eingeleitet? An all diesen Fragen orientiert sich die Sanktionierung der Behörde. Wichtig in diesem Zusammenhang ist auch die Festlegung der Höhen möglicher Bußgelder. Diese befinden sich meist im vier- bis fünfstelligen Bereich. Darüber hinaus ist mit weiteren Folgen wie Vertrauensverlust von Kunden, Rufschädigung sowie Reputationsschäden zu rechnen.
Folgen bei Nichtmeldung einer Datenpanne
Grundsätzlich stellt die Nichtmeldung eines Datenschutzvorfalls einen eigenen Datenschutzvorfall dar. Datenschutzvorfälle können mit sehr empfindlichen Bußgeldern geahndet werden. Gem. Art. 83 Abs. 6 DSGVO können Bußgelder in Höhe von bis zu 20 Millionen Euro bzw. 4 % des weltweiten Vorjahresumsatzes eines Unternehmens verhängt werden. Allerdings haben es die Unternehmen selbst in die Hand, wie hoch die jeweilige Sanktion ausfällt. Bei der Bestimmung der Höhe des Bußgeldes wird stets das Verhalten des Unternehmens mit einbezogen. Dabei werden z.B. Fragen nach der Reaktion im Anschluss an den Vorfall oder die Kommunikation und Zusammenarbeit mit der zuständigen Behörde gestellt. Je kooperativer und einsichtiger sich ein Unternehmen im Zuge dessen zeigt, desto milder kann die entsprechende Sanktion ausfallen.
Datenschutzvorfälle vermeiden
Um Datenschutzvorfällen und den damit einhergehenden Konsequenzen frühzeitig vorzubeugen, empfiehlt es sich, jährliche Schulungen zum Thema Datenschutz mit allen Mitarbeitenden durchzuführen. Hier entsteht eine Sensibilisierung im Umgang mit dem Schutz von personenbezogenen Daten. Die Schulung der Mitarbeiter können sowohl durch einen Datenschutz-Experten im Unternehmen vor Ort als auch durch die Mitarbeitenden selbst per Online-Schulung durchgeführt werden. Darüber hinaus lassen sich Datenschutzverfälle durch die genaue Beachtung der Datenschutzgrundsätze sowie der TOMs eines Unternehmens vermeiden.
Bekannte Datenpannen
Im Folgenden werden einige bekannte Datenpannen großer Unternehmen zusammengefasst:
Facebook: Informationen und Kundendaten von 540 Millionen Nutzern waren öffentlich zugänglich und unverschlüsselt auf einem von Amazon gemieteten Server aufgetaucht.
Yahoo: Hier wurden 2013 durch einen Hackerangriff 3 Milliarden Nutzerkonten offengelegt. Bis heute konnte nicht komplett aufgeklärt werden, wie die Hacker eingedrungen sind bzw. wie es ihnen gelungen ist, an die Daten zu kommen. Über eine mögliche Mitwirkung des russischen Geheimdienstes wird spekuliert.
Deutsche Post: Auch das Portal “umziehen.de” der Deutschen Post erlitt eine Datenpanne. Hierbei war im Juli 2019 eine Datenbank mit 200.000 Umzugsmitteilungen ins Internet geraten. Der Datenschutzvorfall ist auf menschliches Versagen zurückführen.
Herr Sebastian Feldmann ist als Datenschutzbeauftragter und Datenschutzauditor (zert. DSB & Auditor beim TÜV®), sowie als Consultant für Datenschutz bei der Keyed GmbH tätig. Als externer DSB, Auditor und Consultant für Datenschutz unterstützt er europaweit Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. In seiner ständigen Betreuung stehen Konzerne, kleine und mittelgroße Unternehmen, sowie Start-ups. Herr Feldmann zeichnet sich als Wirtschaftsjurist sowohl durch seine ökonomische als auch juristische Expertise im Datenschutzrecht aus.
„Um die Anforderungen von DSGVO, BDSG und weitere Rechtsvorschriften für unsere Kunden bestmöglich umzusetzen, ist eine stetige Fortbildung und ein ständiger Austausch mit den Landesdatenschutzbehörden – so wie wir es praktizieren – enorm wichtig.“
