Datenpanne: Was kann passieren und was ist zu tun?

Datenpanne Databreach

Allein im Jahr 2022 wurden bei den deutschen Aufsichtsbehörden Meldungen zu rund 21.170 tatsächlichen oder vermuteten Datenpannen registriert. Ohne Datenpannen-Management können solche Vorfälle weitreichende Folgen haben, darunter Reputationsschäden, Schadensersatz- und Auskunftsklagen von betroffenen Personen sowie erhebliche Bußgelder gemäß der DSGVO.

Bußgeldrisiken durch unzureichendes Datenpannen-Management

Schnell kann es geschehen: Ransomware-Angriffe, Hacking und andere Infiltrationen der Unternehmenssysteme können den IT-Betrieb innerhalb kürzester Zeit lahmlegen. Häufig bleiben dabei datenschutzrechtliche Aspekte außer Acht, und der Fokus der IT liegt auf dem Wiederanlauf der ausgefallenen Systeme. Dies ist vor allem auf häufig fehlendes Bewusstsein zurückzuführen, dass ein technischer Sicherheitsvorfall auch gleichzeitig zu einem Datenschutzverstoß führen kann. Vor diesem Hintergrund ist ein professionelles Datenpannen-Management mit gut vorbereiteten Mitarbeitern in der IT und den Fachbereichen von enormer Bedeutung.

Anzeige

Ein grundlegendes Hauptziel des europäischen Datenschutz-Grundverordnung (DSGVO) besteht darin, einzelne Personen vor einer beeinträchtigenden Datenverarbeitung zu schützen. Die DSGVO sieht deshalb konkrete Regelungen vor wie mit Datenpannen (Datenschutzverletzungen) umzugehen ist. Dazu gehört unter anderem die gesetzliche Meldepflicht bei Datenpannen. Wird die zuständige Aufsichtsbehörde nicht oder nicht innerhalb der gesetzlichen 72-Stunden-Frist über den Vorfall informiert, drohen im schlimmsten Fall erhebliche Bußgelder. Zusätzlich besteht ein hohes Risiko für Reputationsschäden und Schadensersatzklagen, insbesondere wenn größere Datenschutzvorfälle mediale Aufmerksamkeit erregen.

Unterscheidung zwischen Datenschutzverletzung/Datenpanne und Informationssicherheitsvorfall

Sind Datenschutzverletzungen und Datenpannen eigentlich das Gleiche? Und was sind dann Informationssicherheitsvorfälle? Im allgemeinen Sprachgebrauch werden diese Begriffe im Regelfall in einen Topf geworfen, obwohl sie eine unterschiedliche Bedeutung haben.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Was ist ein Informationssicherheitsvorfall?

Ein Informationssicherheitsvorfall ist ein Ereignis, das die Informationssicherheit beeinträchtigt. Dabei wird die Vertraulichkeit, Verfügbarkeit oder Integrität von Daten, Anwendungen, Systeme oder IT-Diensten gefährdet mit möglicherweise großem Schaden für das Unternehmen.

Typische Anzeichen eines Sicherheitsvorfalls sind beispielsweise:

  • Die Vertraulichkeit von Daten wie personenbezogenen Daten oder Betriebsgeheimnissen ist nicht mehr gegeben, und Unbefugte haben Kenntnis oder Zugriff erlangt.
  • Die Integrität der Daten ist nicht mehr gegeben, zum Beispiel durch Manipulation oder Löschung.
  • Die Verfügbarkeit von IT-Infrastrukturen, Anwendungen, Services oder Geschäftsprozessen ist beeinträchtigt.

Was ist eine Datenpanne?

Eine Datenpanne – im Gesetz als „Datenschutzverletzung“ definiert – liegt dann vor, wenn es sich um eine „Verletzung des Schutzes personenbezogener Daten“ handelt. Im übertragenen und vereinfachten Sinne liegt eine Datenpanne nur dann vor, wenn:

  • Jemand fremdes Drittes Kenntnis über personenbezogene Daten erlangt ohne Vorliegen einer Rechtsgrundlage
  • Personenbezogene Daten ungewollt verändert  werden oder
  • Personenbezogene Daten nicht mehr zugänglich sind.

Beispiele für Datenpannen sind beispielsweise vergessene Geräte in öffentlichen Verkehrsmitteln, gestohlene Handys, versehentlicher Mail-Versand mit offenem Verteilerkreis, Softwarefehler mit unberechtigten Zugriffen und Diebstahl von Login-Daten infolge von Phishing-Angriffen. Im Gegensatz zur Informationssicherheit geht es bei einer Datenpanne (Datenschutzverletzung) ausschließlich um den Schutz personenbezogener Daten von Einzelpersonen. Der Schutz von betrieblichen Informationen und Geschäftsgeheimnissen ist nicht vom Schutzzweck der DSGVO umfasst.

Wann ist eine Datenpanne an die Aufsichtsbehörde zu melden?

Grundsätzlich sind Unternehmen verpflichtet eine Datenschutzverletzung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden (Art. 33 DSGVO). Es gibt aber auch Ausnahmen von diesem Grundsatz: So kann eine Meldung an die Datenschutz-Aufsichtsbehörde ausnahmsweise unterbleiben, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die von dem Vorfall betroffenen Personen führt. Um über Ja oder Nein einer Meldung entscheiden zu können, ist eine schnellstmögliche Risikobewertung erforderlich.

Müssen auch die vom Vorfall betroffenen Personen benachrichtigt werden?

Betroffene Personen sind nicht über jede Datenschutzverletzung zu benachrichtigen. Nur wenn die Datenschutzverletzung voraussichtlich ein „hohes Risiko“ mit sich bringt, müssen die von dem Vorfall betroffenen Personen unverzüglich in klarer und einfacher Sprache benachrichtigt werden.

Abbildung : Risikolevel und Vergleich der Meldepflicht ggü. Aufsichtsbehörde und der Benachrichtigungspflicht ggü. Betroffenen
Abbildung : Risikolevel und Vergleich der Meldepflicht ggü. Aufsichtsbehörde und der Benachrichtigungspflicht ggü. Betroffenen

Risiken in Bezug auf die Meldung von Datenpannen

  • Fehlendes Bewusstsein für Datenpannen
    Werden Mitarbeiter nicht geschult und mit Beispielen auf Datenschutz-Vorfälle vorbereitet, fehlt das Bewusstsein für Datenpannen. Folglich werden Vorfälle nicht erkannt und demzufolge auch nicht behandelt.
  • Vergrößerung des Schadens
    Wird eine Datenpanne nicht sofort intern weitergeleitet, kann sich deren Ausmaß noch vergrößern, weil ein Datenleck bestehen bleibt.
  • Verspätete Meldung von Datenpannen
    Wird eine meldepflichtige Datenpanne erst nach Ablauf der Meldefrist an die Aufsichtsbehörde übermittelt, deutet dies auf ein unzureichendes Datenpannen-Management hin. Dies kann Nachfragen zum Vorfall oder behördliche Prüfungen provozieren.
  • Fahrlässiges oder vorsätzliches Fehlverhalten
    Werden meldepflichtige Vorfälle bewusst verschwiegen, drohen ernsthafte rechtliche Konsequenzen. Bei Verstößen gegen Meldepflichten drohen Bußgelder von bis zu 10 Mio. Euro oder 2 % des Umsatzes.
  • Mangelhafte Dokumentation
    Gerade wenn keine Meldung an die Aufsichtsbehörde erfolgt – weil man sich infolge der Risikobeurteilung dagegen entschieden hat – sind Datenpannen umso ausführlicher zu dokumentieren. Schließlich kommt es in der Praxis nicht selten vor, dass von einem Vorfall betroffene Nutzer, Kunden, (ehemalige) Mitarbeiter Kenntnis (von unterlassenen Meldungen) sich bei der Aufsichtsbehörde beschweren. Eine umfängliche Datenpannen-Dokumentation hilft bei der rechtlichen Verteidigung.

6 Best Practices für ein DSGVO-konformes Datenpannen-Management

  1. Schulung der Mitarbeiter
    1. Eine wirksame Schulung mit vielen Praxistipps ist unerlässlich, um die Mitarbeiter in die Lage zu versetzen, die unterschiedlich gearteten Datenschutzverletzungen zu erkennen und angemessen darauf zu reagieren.
  1. Klare Verantwortlichkeiten und Meldeprozesse etablieren:
    1. Für den Fall einer Datenpanne sollten bestimmte Personen innerhalb des Unternehmens bestimmte Aufgaben und Verantwortlichkeiten haben. Nur so lassen sich schnelle Entscheidungen treffen und die Situation entsprechend bewältigen.
  1. Vorfall-Reaktionsplan:
    1. Es empfiehlt sich im Vorfall-Reaktionsplan die Verantwortlichkeiten, die Kommunikationswege und die Dokumentationsstruktur zu dokumentieren. Bestimmte Rollen sollten einzelnen Mitarbeitern zugeordnet sein, damit bei einer Datenschutzverletzung eine effektive Arbeitsteilung besteht.
  1. Richtlinie zum Umgang mit Datenpannen:
    Aufgrund der kurzen Handlungsfrist von 72 Stunden sollte jedes Unternehmen klare Regelungen zu den maßgeblichen Verhaltensweisen im Falle einer potenziellen Datenpanne treffen.
  1. Dokumentation
    Es ist empfehlenswert, die Datenschutzverletzung, ihre Auswirkungen und die ergriffenen Maßnahmen nach dem Vorfall zu dokumentieren, um eine Überprüfung durch die Aufsichtsbehörde zu ermöglichen.
  1. Integration des Datenpannen-Managements in das Security Incident Management
    Die Mitarbeiter des Service Desks sollten speziell geschult sein, um eigenständig erkennen zu können, ob von einem Informationssicherheitsvorfall auch personenbezogene Daten betroffen sind.

Yanick Röhricht ist Geschäftsführer und Berater für Datenschutz und IT-Sicherheit bei der ALPHATECH Consulting GmbH

Yanick

Röhricht 

Geschäftsführer und Berater für Datenschutz und IT-Sicherheit

ALPHATECH Consulting GmbH

Yanick Röhricht ist Geschäftsführer und Berater für Datenschutz und IT-Sicherheit bei der ALPHATECH Consulting GmbH. Als externer Datenschutzbeauftragter unterstützt er sowohl Start-ups, kleine und mittlere Unternehmen als auch Unternehmensgruppen bei der Umsetzung der DSGVO-Vorgaben. Hierbei verfolgt er stets einen praxisorientierten Ansatz unter Vermeidung eines unangemessenen bürokratischen Aufwands.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.