Schritt für Schritt: Datenpanne - DS Kleinunternehmen

Datenpannen passieren. Wie reagieren Sie? Muss immer gemeldet werden?

Worum geht‘s?

Dieser Schritt gibt Hinweise darauf, was Sie vor, während und nach einer Datenpanne umsetzen sollten.

Eine Datenpanne kann jedes Unternehmen treffen und jederzeit passieren. Davon ist auszugehen – im digitalen Zeitalter auch gerne außerhalb der Geschäftszeiten zum Wochenende. Das kann durch einen Angriff von außen geschehen oder auch durch ein internes Versehen. Tritt eine Datenschutzverletzung auf, geht es zunächst vor allem darum, dass die Aufklärung möglichst sachlich und effizient erfolgen kann. Eine Datenpanne allein sagt noch nichts darüber aus, ob daraus ein Schaden entstehen wird und wie groß dieser Schaden sein könnte. Und weil diese Dinge unklar sind, sollte sich ein Verantwortlicher schnell einen Überblick über einen Datenschutzvorfall verschaffen, um Schlimmeres verhindern zu können.

Neben den sofort zu treffenden Abhilfemaßnahmen müssen Sie bei einer Datenpanne prüfen, ob eine Meldung an die Aufsichtsbehörde erforderlich ist und ob Sie auch betroffene Personen benachrichtigen müssen. Hierzu gehört eine Risikoeinschätzung. Achtung, die Meldefrist beträgt 72 Stunden. Den Fall einer Datenpanne auf die lange Bank zu schieben, empfiehlt sich nicht.

Betreffende Artikel der DSGVO und Erwägungsgründe

Art. 33 DSGVO – Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Art. 34 DSGVO – Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
Erwägungsgründe 85 bis 88

Basiswissen

Datenschutzvorfall

Was ist zu tun?

Maßnahmen sind sowohl VOR und WÄHREND als auch NACH einem Datenschutzvorfall zu treffen. Eine Datenpanne muss nicht immer ein Hackerangriff und die anschließende Verschlüsselung all Ihrer IT-Systeme bedeuten. Zu Datenpannen werden auch kleine Datenschutzvorfälle gezählt. Als Klassiker unter den Datenschutzvorfällen gilt zum Beispiel der versehentliche Versand mit einem offenen E-Mail-Verteiler (CC statt BCC). Ein Datenschutzvorfall kann auch die Folge eines scheinbar harmlosen IT-Sicherheitsvorfalles sein. Daher solltes Sie bei jedem IT-Sicherheitsvorfall auch den Datenschutz mit abklopfen.

Auf die Schnelle

Einen internen Ablauf bestimmen und Dokumente vorbereiten, um für den Fall einer Datenpanne gewappnet zu sein.
Den internen Ablauf im Fall der Datenpanne durch Arbeitsanweisung oder Richtlinien gegenüber den Beschäftigten festlegen.
Schulen – schulen – schulen, damit Ihren Beschäftigen klar ist, welche Relevanz eine Datenpanne hat und wie sie auf schnellsten Weg reagieren müssen.
Meldefrist 72 Stunden gegenüber der Aufsichtsbehörde unbedingt einhalten.
Benachrichtigungspflicht gegenüber Betroffenen beachten.
Den Vorfall dokumentieren.

VOR einer Datenpanne

Noch bevor eine Datenpanne überhaupt auftritt, können Sie schon präventiv tätig werden.

Vorbereitungsmaßnahmen für den Fall der Fälle treffen

Betrachten Sie Ihre interne Organisation und richten Sie einen passenden Ablauf ein, wie man in Ihrem Unternehmen im Fall einer Datenschutzverletzung reagieren soll. Hierfür können Sie insbesonderes Folgendes tun:

Bestimmen Sie die Zuständigkeiten. An wen ist eine Datenpanne intern zu melden und wer soll die nötigen Schritte durchführen?
Legen Sie Muster und Checklisten bereit, die Sie dabei unterstützen, einen Datenschutzvorfall zu prüfen.
Stellen Sie sicher, dass die Meldefrist von 72 Stunden bekannt ist und eingehalten wird.
Legen Sie den internen Ablauf sodann durch Arbeitsanweisung oder Richtlinien gegenüber den Beschäftigten verbindlich fest.
Schulen Sie die Beschäftigten entsprechend.

Beispiele

Sensibilisieren durch Schulung

Schulen und informieren! Die größte Schwachstelle in der IT-Sicherheit ist der Mensch, weil dieser immer wieder auf gefälschte E-Mails hereinfällt oder persönliche Zugangsdaten auf gefälschten Webseiten eingibt oder betrügerische Links in einer E-Mail angeklickt. Sorgen Sie also mit gezielten Schulungen dafür, dass Ihre Beschäftigten solche Fälschungen und Betrugsmaschen erkennen!
Aufgrund der Schulungen sollten die Beschäftigten nicht nur Gefahren abwenden, sondern auch mögliche Datenschutzvorfälle oder Ereignisse besser erkennen und weitergeben können.

Auch kleine Ereignisse intern melden

Ermutigen und motivieren Sie Ihre Beschäftigten dazu, auch kleinere Datenschutzvorfälle intern zu melden und nicht einfach „unter den Teppich zu kehren“.
Auch kleine, unscheinbare Datenschutzvorfälle können zu späteren, gravierenden Problemen führen.
Angst, Schuldgefühle oder Nachlässigkeit sind hier fehl am Platz. Gleiches gilt übrigens für IT-Sicherheitsvorfälle.

Die richtige Person bzw. Stelle benachrichtigen

Stellen Sie sicher, dass Ihre Beschäftigten und auch Ihre Auftragsverarbeiter jeden kleinen und größeren Datenschutzvorfall umgehend an Sie bzw. die richtige Person oder mindestens an die Geschäftsführung melden und auch melden können.
Der Verantwortliche selbst, in der Regel also die Geschäftführung, sollte darüber entscheiden, ob ein Datenschutzvorfall an die Aufsichtsbehörde gemeldet wird, und meldet diesen auch.

Nicht nach außen weitergeben

Stellen Sie sicher, dass Ihre Beschäftigten und auch Ihre Auftragsverarbeiter jede Information zu einem Datenschutzvorfall ausschließlich an die richtige Person weitergeben und Datenschutzvorfälle nicht nach außen tragen oder gar auf Social-Media-Kanälen posten. Das könnte Ihrem guten Ruf schaden und zu (noch) größerem Schaden für Betroffene führen.

Treffen Sie technische Schutzmaßnahmen

Aber auch die IT trägt zum Vorbeugen bei. Technische Sicherheitsmaßnahmen sind das Standardmittel, um Datenschutzverletzungen durch Angriffe von außen als auch durch Fehlbedienungen und Unachtsamkeiten wirksam zu begegnen.
Zum Beispiel können entsprechende technische Einrichtungen gefälschte E-Mails und unsichere Websites erkennen und blockieren. Das sind technische Maßnahmen, die standardmäßig vorhanden sein sollten.

Basiswissen

Organisation und Umfeld

Schritt für Schritt

Organisieren

Schaubild

Zusätzlich haben Sie die Möglichkeit, Ihren Beschäftigten eine bildliche Orientierung zu geben, indem Sie ein Prozess-Schaubild zur Verfügung stellen.

WÄHREND einer Datenpanne

Sie haben entweder selbst einen Datenschutzvorfall entdeckt oder Sie wurden durch einen Dritten darüber informiert.

Vielleicht wurde eine Datenbank verschlüsselt und Sie kommen nicht mehr an Ihre Daten heran? Oder ein Laptop wurde gestohlen? Nach einer ersten Einschätzung wissen Sie bereits, dass es sich um einen gravierenden Datenchutzvorfall handelt, welcher unabsehbare Folgen haben könnte.

Wir zeigen Ihnen einen 6-Punkte-Plan für eine erste Orientierung auf. Beachten Sie dabei bitte, dass es sich hier um eine beispielhafte Darstellung aus unserem Erfahrungsschatz handelt, die nur zur Orientierung dient.

1. Sofort-Maßnahmen

Tief Luft holen. Behalten Sie einen kühlen Kopf und ergreifen Sie angemessene Sofort-Maßnahmen. Diese sollten Sie mit Ihrem IT-Ansprechpartner abstimmen. Das kann folgende Handlungen beinhalten:

Gerät ausschalten, Server herunterfahren
Stecker ziehen
ein verlorenes Endgerät ausfindig machen
Zugriffe remote sperren
Passwörter ändern
Alarm-Codes ändern

Notieren Sie die gesetzliche Meldefrist von 72 Stunden nach Kenntnis!

2. Unterstützung anfragen

Bitten Sie Ihrerseits die relevanten Personen nach Unterstützung, die Ihnen zur Verfügung stehen, um den Vorfall abzuwehren, einzudämmen, einzuschätzen, zu kommunizieren und zu dokumentieren (IT-ler, Berater Datenschutz, Anwältin, Notfall-Team einer Cyber-Versicherung).

3. Erstmeldung (intern) aufnehmen

Stellen Sie der zuerst meldenden Person das Formblatt zur internen Meldung zur Verfügung und bitten Sie sie, das Formblatt umgehend auszufüllen. Nutzen Sie dafür gern unsere Arbeitshilfe „Datenpanne: Interne Erstmeldung“.

4. Dokumentieren

Dokumentieren Sie den Vorfall. Wenn Sie kein eigenes Formular haben, nutzen Sie unsere Arbeitshilfe zur Dokumentation eines Datenschutzvorfalls. Gehen Sie Schritt für Schritt die Fragen im Dokument durch und schaffen Sie sich somit eine Entscheidungsgrundlage.

Versuchen Sie das Risiko für die betroffene Person zu ermitteln. Wenn die Situation heikel ist, sollten Sie hier genau arbeiten. Sie sollten danach besser abschätzen können, inwiefern ein Vorfall ein hohes Risiko beinhaltet und ob der Vorfall meldepflichtig ist.

Nutzen Sie für eine erste Orientierung das „Kurzpapier Nr. 18 Risiko für die Rechte und Freiheiten natürlicher Personen“ der DSK. Die Orientierungshilfe zeigt, wie ein Risiko im Kontext der DSGVO zu definieren ist und wie Risiken für die Rechte und Freiheiten natürlicherPersonen bestimmt und in Bezug auf ihre Rechtsfolgen bewertet werden können.

5. Benachrichtigen

Legen Sie fest, WER, WEN, WIE bis WANN benachrichtigen wird.

Benachrichtigung Betroffener: Halten Sie die Frist zur Benachrichtigung von betroffenen Personen ein. Die Benachrichtigung sollte so bald wie möglich erfolgen und nicht unnötig hinausgezögert werden. Gemäß der DSGVO soll die Benachrichtigung „unverzüglich“ erfolgen, d. h. ohne schuldhaftes Verzögern.
Überlegen und entscheiden Sie, wen Sie umgehend benachrichtigen müssen, um größeren Schaden abzuwenden oder Angreifer strafrechtlich zu verfolgen (z. B. Versicherung, Auftraggeber, IT-Dienstleister, Auftragsverarbeiter, Finanzabteilung, Bank, Markenting-Agentur, Personalabteilung, Polizei).

6. Prüfen & Melden

Prüfen Sie, ob eine meldepflichtige Datenschutzverletzung vorliegt.

Es liegt eine Verletzung der Sicherheit vor, die
- zur Vernichtung, zum Verlust
- zur Veränderung, (Verletzung der Verfügbarkeit) oder
- zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt.
Es besteht ein Risiko für die Rechte und Freiheiten natürlicher Personen.

72-Stunden-Frist einhalten

Halten Sie dabei die gesetzliche Frist zur Meldung an die Aufsichtsbehörde ein. Diese beträgt in der Regel 72 Stunden nach Kenntnis.

Inhalt der Meldung

Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
Namen und Kontaktdaten des bzw. der Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen, um die Verletzung des Schutzes personenbezogener Daten zu beheben und gegebenenfalls Maßnahmen, um mögliche nachteilige Auswirkungen abzumildern.

In unserer Arbeitshilfe „Datenschutzvorfall an Aufsichtsbehörde melden“ sind die Pflichtangaben nach Artikel 33 DSGVO aufgeführt. Außerdem enthält die Vorlage einige Beispiele, um zu verdeutlichen, was gemeint sein könnte. Die Aufsichtsbehörden halten eigene Meldeformulare bereit und Fragen die Pflichtangaben ab. Siehe hierzu unsere Arbeitshilfe „Linksammlung - Datenpanne bei Aufsichtsbehörde melden“.

NACH einer Datenpanne

Nach einem Datenschutzvorfall sollten Sie darauf achten, dass Sie alle Notizen, den Schriftverkehr, die Dokumentation des Vorfalls und ggf. der Meldung an die Aufsichtsbehörde gesammelt und vor unbefugtem Zugriff geschützt aufbewahren.

Bedenken Sie bitte, dass es gerade in unserer digitalisierten Welt dazu kommen kann, dass Datenschutzvorfälle erst zu einem viel späteren Zeitpunkt aktiviert und sichtbar werden. Wenn die Spur dann auf Ihren Datenschutzvorfall zurückführt, ist es eventuell sehr hilfreich, wenn Sie mit Ihren Unterlagen nachweisen können, dass alles Notwendige unternommen wurde, um ein mögliches Risiko zu verringern oder zu verhindern.