Datenpanne, Datenschutzvorfall, IT-Sicherheitsvorfall

Was ist das und was ist im Falle einer Datenpanne zu tun?

Worum geht‘s?

Eine Verletzung des Schutzes personenbezogener Daten kann einen Schaden für die betroffene Person nach sich ziehen. Bereits kleinste und unscheinbare Vorfälle können – müssen aber nicht – einen Schaden nach sich ziehen. Daher sollten Sie sicherstellen, dass Ihre Beschäftigten Vorfälle überhaupt erkennen und diese auch intern weitergeben. So können Sie auf Datenschutzvorfälle schnell reagieren und Schaden abwenden.

Nachfolgend erhalten Sie Informationen darüber:

  • wie Sie ein Risiko bei einem Datenschutzvorfall bewerten können,
  • wie eine interne Dokumentation erfolgen kann und
  • was eine Meldung an die Aufsichtsbehörde beinhalten muss.

Auch ein Verlust Ihrer vertraulichen geschäftlichen Informationen kann einen Schaden für Ihr Unternehmen nach sich ziehen. Es lohnt sich also, den Schutz Ihrer Geschäftsgeheimnisse mitzudenken. IT-Sicherheitsvorfälle jeglicher Art sollten intern erkannt und gemeldet werden.

Muss das denn sein?

Ja, das muss sein. Die Verletzung des Schutzes personenbezogener Daten zu melden, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, ist eine Pflicht des Verantwortlichen, die sich aus dem Art. 33 DSGVO ergibt.

Unter Umständen besteht die Pflicht zur Benachrichtigung der betroffenen Person. Dies ist dann der Fall, wenn ein hohes Risiko für die betroffenen Person besteht. Dieser Umstand ist ebenfalls zu prüfen und zu dokumentieren und ergibt sich aus Art. 34 Abs. 1 DSGVO.

Die Pflicht zur Dokumentation eines Datenschutzvorfalls und aller relevanten Fakten ergibt sich aus Art. 33 Abs. 5 DSGVO. Auch wenn Sie einen Datenschutzvorfall nach einer internen Bewertung nicht an die Aufsichtsbehörde melden, sollten Sie diesen dokumentieren und zur Prüfung vorhalten.

  • Art. 4 Nr. 12 DSGVO
  • Art. 33 DSGVO – Meldung an die Aufsichtsbehörde
  • Art. 34 DSGVO – Benachrichtigung betroffener Personen
  • Erwägungsgründe 85 bis 88

Sie wollen mehr wissen?

Das Wichtigste auf einen Blick

  • Ein bekannt werdender Datenschutzvorfall wird zuerst intern bewertet.
  • Stellen Sie dabei einen Schaden oder ein voraussichtliches Risiko für die Rechte und Freiheiten natürlicher Personen fest, müssen Sie dies binnen 72 Stunden an die Aufsichtsbehörde melden – auch dann, wenn der Schaden noch nicht eingetreten ist.
  • Stellen Sie ein voraussichtliches hohes Risiko fest, müssen Sie grundsätzlich auch die Betroffenen selbst unverzüglich benachrichtigen.
  • Wenn der Vorfall voraussichtlich zu keinem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt, brauchen Sie keine Meldung an die Aufsichtsbehörde zu machen.

Was ist eine meldepflichtige Datenschutzverletzung eigentlich?

Eine meldepflichter Datenschutzverletzung ist 

  • eine Verletzung der Sicherheit, die
    • zur Vernichtung, zum Verlust 
    • zur Veränderung, (Verletzung der Verfügbarkeit)
    • oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt
  • Es besteht ein Risiko für die Rechte und Freiheiten natürlicher Personen.
  • Es ist nicht ausschlaggebend, ob die Verletzung unbeabsichtigt oder unrechtmäßig erfolgt ist. Ein Verschulden ist nicht erforderlich. Auch unverschuldete Datenschutzverletzungen sind zu melden.

Keine meldepflichtige Datenschutzverletzung liegt daher vor, wenn ein Sicherheitsvorfall lediglich die Verletzungen der IT-Infrastruktur ohne Auswirkung auf personenbezogene Daten betrifft. Gleichwohl sollten Sie natürlich diesem Sicherheitsvorfall nachgehen.

Sofern ein Auftragsverarbeiter eine Datenschutzverletzung feststellt, hat er diese gegenüber dem Verantwortlichen unverzüglich anzuzeigen.

Die EDSA hat Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten veröffentlicht, die einen Blick wert sind. Einen Link auf die deutsche Fassung finden sie unter Arbeitshilfen.

Beispiele für Datenschutzvorfälle im Allgemeinen

  • Ein Mitarbeiter eines Unternehmens verliert einen Laptop, auf dem personenbezogene Daten gespeichert sind.

  • Ein Kunde erhält versehentlich Zugriff auf sensible Informationen über einen anderen Kunden, da eine E-Mail falsch adressiert wurde.

  • Ein Unternehmen wird Ziel eines Phishing-Angriffs, bei dem Betrüger an vertrauliche Daten gelangen.

  • Ein Hacker erlangt Zugang zu einem Datenbank-System und stiehlt personenbezogene Daten wie Namen und Adressen von Kunden.

  • Eine Organisation verwendet personenbezogene Daten für einen anderen Zweck als den, für den sie ursprünglich gesammelt wurden, ohne die Zustimmung der betroffenen Personen.

  • Ein Unternehmen teilt versehentlich personenbezogene Daten mit einem Dritten, der nicht befugt ist, diese Informationen zu empfangen.

Beispiele für IT-Sicherheitsvorfälle
  • Ein Ransomware-Angriff verschlüsselt die Daten auf den Computern eines Unternehmens und verlangt Lösegeldzahlungen, um sie wiederherzustellen.
  • Ein Hacker nutzt eine Schwachstelle in einem Webserver aus, um Malware auf einem Netzwerk zu installieren und Daten zu stehlen.
  • Eine Distributed-Denial-of-Service (DDoS)-Attacke überlastet die Website eines Unternehmens und verhindert, dass legitime Nutzende auf die Website zugreifen können.

Datenpanne, Datenschutzverstoß & Co. näher betrachtet

Datenpanne, Datenschutzverletzung, Datenschutzverstoß, Datenschutzvorfall, IT-Vorfall, IT-Sicherheitsvorfall... Ist doch alles das gleiche!

Umgangssprachlich wird federführend der Begriff „Datenpanne“ anscheinend für alles genutzt, was irgendwie mit personenbezogenen Daten zusammenhängt und scheinbar nicht erlaubt ist. Doch es gibt feine Unterschiede. Wir starten den Versuch einer Differenzierung, denn auch Ihre Beschäftigten sollten den Unterschied zwischen einem Vorfall und einem Verstoß kennen.

Datenschutzvorfall

Ein Datenschutzvorfall umfasst den breiten Bereich von Vorfällen, die die Vertraulichkeit, Integrität oder Verfügbarkeit von personenbezogenen Daten beeinträchtigen, einschließlich Verlust, Diebstahl oder unbefugtem Zugriff. Ein Datenschutzvorfall kann versehentlich, absichtlich oder durch böswillige Handlungen verursacht werden, wie z. B. durch Hacking oder Phishing.

Datenschutzverletzung

Datenschutzverletzung kann eher dem Begriff Datenschutzvorfall zugeordnet werden, sofern es sich bei dem Vorfall um eine Verletzung des Schutzes personenbezogener Daten handelt.

Datenschutzverstoß

Ein Datenschutzverstoß ist ein konkreter Verstoß gegen die Vorgaben der DSGVO. Ein Verstoß weist auf Fehler oder Pannen hin, deren Ursache im Daten-Management oder bei der Datenverarbeitung selbst zu suchen sind. Liegt ein Datenschutzverstoß vor, kann es sich sowohl um eine Straftat als auch um eine Ordnungswidrigkeit handeln. Erst eine juristische Instanz entscheidet darüber, ob ein Verstoß gegen die DSGVO tatsächlich vorliegt.

Datenpanne

Dieser Begriff wird umgangssprachlich für alles genutzt, was irgendwie mit personenbezogenen Daten zusammenhängt und scheinbar nicht erlaubt ist. Wenn man von einer „handfesten Datenpanne“ spricht, ist der Schaden in der Regel schon eingetreten.

IT-Sicherheitsvorfall

Ein IT-Sicherheitsvorfall bezieht sich auf einen Vorfall, bei dem es zu einem Angriff auf IT-Systeme oder Netzwerke kommt, einschließlich unbefugtem Zugriff, Malware-Angriffen oder DDoS-Angriffen. Ein IT-Sicherheitsvorfall kann auch zu einem Datenschutzvorfall führen, wenn während des Angriffs personenbezogene Daten kompromittiert werden.

Melden binnen 72 Stunden

Meldefrist

Ein Datenschutzvorfall ist unverzüglich und möglichst binnen 72 nach Bekanntwerden zu melden.

Wem melden?

Die Meldung ist an die für Sie zustände Aufsichtsbehörde zu senden.

Inhalt der Meldung

  • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  • Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
  • Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Form der Meldung

Eine bestimmte Form der Meldung ist nicht vorgesehen. Viele Landesaufsichtsbehörden bieten jedoch Meldeformulare an.

Dokumentieren

Dokumentieren Sie auch die kleinen und unscheinbaren Vorfälle

Ungefährliche, kleine Datenschutzvorfälle haben den Vorteil, dass Sie Maßnahmen ergreifen können, bevor ein größeres Unglück passiert. Außerdem zeigen Sie durch die Dokumentation, dass Sie sich um den Schutz der personenbezogenen Daten und der Verarbeitung kümmern und Ihre Beschäftigten Vorfälle weitergeben.

Form einer Dokumentation

Die Art und Weise der Dokumentation gibt die DSGVO nicht vor, so dass wir Ihnen hierzu eine Checkliste mit den mindestens zu dokumentierenden Fakten zur Verfügung stellen.

Vorteile einer Dokumentation

Mit der Dokumentation einer Datenpanne erfüllen Sie Ihre Rechenschaftspflicht und haben Sie glücklicherweise in folgenden Fällen zur Hand:

  1. Sie haben eine Datenpanne bei der Aufsichtsbehörde gemeldet und diese fragt weitere Dokumentationen zum Umgang mit der Datenpanne ab.
  2. Sie haben eine Datenpanne nicht gemeldet. Dieser Datenschutzvorfall hat jedoch – entgegen Ihrer Einschätzung – nach einiger Zeit Auswirkungen auf eine betroffene Person, und die Aufsichtsbehörde wurde eingeschaltet. Nun werden Sie möglicherweise aufgefordert, Ihre Darstellung des Vorfalls darzulegen.
  3. Ein externer Auditor prüft den Umgang mit Datenschutzvorfällen oder IT-Sicherheitsvorfällen. Sind gar keine Vorfälle dokumentiert, wird ein Auditor dies in einem Bericht möglicherweise festhalten. In diesem Fall drängt sich natürlich die Frage auf, ob überhaupt bekannt ist, was ein Datenschutzvorfall oder eine handfeste Datenpanne oder ein IT-Sicherheitsvorfall ist. Eine Firma mit Datenverarbeitungen und IT-Anwendungen ohne datenschutzrelevante Vorfälle ist einfach sehr selten.

Sind Sie auf einen möglichen Datenschutzvorfall vorbereitet?

Eine offene und angstbefreite Kommunikation zu Datenschutzthemen unterstützt die Beschäftigten dabei, Vorfälle zu erkennen und intern zu melden. Schaffen Sie Aufmerksamkeit bei Ihren Mitarbeitenden. Was ist überhaupt ein Datenschutzvorfall und warum können E-Mail-Anhänge oder Links gefährlich sein?

Eindeutige Meldewege und Fristen unterstützen die Beschäftigten darin, die Datenschutzvorfälle an die richtige Person oder zuständige interne Stelle zu melden. Handelt es sich um einen IT-Sicherheitsvorfall, ist man geneigt, seinen IT-ler anzurufen. Prüfen Sie hierbei stets, ob es sich auch um einen Datenschutzvorfall handelt und eine Reaktion nach DSGVO-Pflichten erfolgen muss.

So können Sie Datenschutzvorfällen vorbeugen

  • Datenschutz-Schulungen zeigen Ihren Beschäftigten, dass Sie sich mit dem Thema auseinandersetzen müssen. Sie können so einen Datenschutzvorfall (besser) erkennen oder vorbeugen.
  • Eine schriftliche Richtlinie klärt über den generellen Umgang mit Datenschutzvorfällen auf.
  • Eine bildliche Prozessvorgabe oder ein Reaktionsplan machen klare Vorgaben zu Fristen und Meldewegen.
  • Eine gut auffindbare Mustervorlage unterstützt bei der Dokumentation von Datenschutzvorfällen.

Wie kann so eine Schulung aussehen und wo sind die Vorlagen?

Schulungen zum Thema IT-Sicherheit und Datenschutzvorfall

Neben den generellen Schulungen zum Datenschutz kann es sinnvoll sein, wenn Sie Ihren Beschäftigten Schulungen über Cyber-Sicherheit oder zur IT-Sicherheit anbieten. Eine Person, die aufgabenbezogen viel mit E-Mails arbeitet, sollte sich der Gefahren von E-Mail-Anhängen, Links in E-Mails oder gefälschten Websites eher bewusst sein als Beschäftigte im Lager oder in der Produktion, die nur auf interne Systeme zugreifen und nur intern kommunizieren.

Die Schulungen sollten zudem alle Mitarbeitenden darüber aufklären, was Datenschutzvorfälle sind oder sein können und was aus Ihnen resultieren könnte.

Aktuelles Wissen der Mitarbeitenden fördern

Die Technik und die Betrugsmethoden entwickeln sich rasant. Halten Sie das Wissen Ihrer Mitarbeitenden neben dem Datenschutz auch über die Datensicherheit aktuell. Regelmäßige Schulungen bzw. ein Schulungskonzept zu den Themen Datenschutz und Datensicherheit sind eine geeignete Umsetzung. Achten Sie darauf, dass Sie diese Schulungen später auch nachweisen können.

Nach wie vor sind Betrugsversuche über E-Mails das Einfallstor Nummer 1 für Cyberkriminelle. Damit ist der Mensch, der auf eine präparierte E-Mail reagiert, im Fokus und sollte darüber unterrichtet werden, was Phishing-Attacken sind und welche Folgen diese haben können.

BSI - Spam, Phishing & Co.
Gefälschte und schadhafte E-Mails erkennen

Wie geht‘s weiter?

Schritt 10
Datenpanne
EU-Behörde
EDSA Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten