Datenschutz-Akademie » Datenschutz-Wiki » Datenschutzpannen
Datenschutzpannen nach DSGVO
Bei einer Daten(schutz)panne erhalten Unberechtigte Zugriff auf Daten. Durch diese Verstöße gegen Datenschutz und -sicherheit werden Betriebsgeheimnisse und/oder personenbezogene Daten Unberechtigten bekannt. Im weiteren Sinne umfasst eine Datenpanne auch das unerwünschte Löschen von Daten, also ihren Verlust.
Die Daten können dabei im Original abhanden kommen, zum Beispiel weil Datenträger oder Akten verloren, gestohlen oder falsch entsorgt wurden, oder in Form einer Kopie. Solche Pannen können beispielsweise durch Eindringen in einen Server oder die Verbreitung versehentlich veröffentlichter Daten passieren.
Diese Lecks haben oft negative Folgen für Unternehmen und bei personenbezogenen Daten für die Betroffenen. Den Unternehmen drohen wirtschaftliche Nachteile und Imageschäden, den Betroffenen können durch Datenschutzverletzungen bis hin zum Identitätsdiebstahl große finanzielle und persönliche Schäden entstehen.
→ Beispiele für Datenpanne im Datenschutz
Hohe Dunkelziffer bei Datenpannen
Da es kleine und große Lecks gibt, kann man ihre Zahl nicht genau einschätzen. Die Dunkelziffer dürfte hoch sein, da viele Unternehmen vermeiden wollen, dass solche Vorfälle bekannt werden. Zudem sind Firmen nicht dazu verpflichtet, bei jedem Datenleck eine Meldung bei der Aufsichtsbehörde einzureichen, sondern nur, wenn es für den Betroffenen mit Risiken verbunden ist.
Eine Verletzung personenbezogener Daten liegt nach Artikel 4 Nr. 12 DSGVO vor, wenn diese Daten verlorengegangen sind bzw. vernichtet, verändert oder unbefugt offengelegt wurden. Seit Wirksamwerden der DSGVO besteht eine umfassendere Meldepflicht bei Datenpannen als früher nach dem Bundesdatenschutzgesetz. Die Artikel 33 und 34 regeln diese Meldepflicht. Nun ist jede Datenpanne, die voraussichtlich zu einem Risiko für den Betroffenen führt, innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden. Darüber hinaus müssen im Falle eines hohen Risikos für die persönlichen Rechte und Freiheiten von Betroffenen einer Datenschutzverletzung auch diese Personen benachrichtigt werden. Das ist nur unter den Bedingungen des Artikels 34 Absatz 3 DSGVO nicht zwingend nötig. Wenn Sie als Datenverarbeiter fungieren, so unterliegen Sie im Übrigen der Dokumentationspflicht für den Vorfall.
So meldet man Datenpannen
Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem die Firma ihren Sitz hat. Während die Meldung an die Behörde binnen 72 Stunden zu erfolgen hat, müssen die Betroffenen unverzüglich informiert werden. Als Faustregel gilt: Je riskanter die Datenschutzverletzung ist, desto schneller sollte die Meldung geschehen. Ihr Umfang hängt davon ab, ob sie an Behörden oder Betroffene gerichtet ist. Die DSGVO schreibt für die Benachrichtigung keine bestimmte Form vor wie Fax oder Brief. Das ist aber schon aus Beweisgründen zu empfehlen. Zuvor sollten Sie die Aufsichtsbehörde telefonisch kontaktieren, um die 72-Stunden-Frist einzuhalten. Dem Betroffenen muss man keine umfassenden Informationen über die Datenschutzverletzung geben. Achten Sie aber darauf, die Infos in einer klaren und verständlichen Sprache zu verfassen!
Wenn Sie die Panne nicht melden, haben die Datenschutzbehörden bei den Sanktionen ein Ermessen. Sie können es bei einer Verwarnung belassen oder auch eine Geldbuße verhängen. Gemäß Artikel 83 Absatz 4a DSGVO sind Bußgelder in Höhe von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahrs möglich. Wie die jüngere Vergangenheit gezeigt hat, setzen die Behörden diese Strafen auch tatsächlich durch.
Externer Datenschutzbeauftragter
Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.
So kann man die Risiken verringern
Um die Gefahren von Datenlecks zu reduzieren, empfiehlt es sich, „klassische“ Sicherheitsmaßnahmen zu ergreifen: komplexe Passwörter wählen, Software-Updates regelmäßig installieren und, soweit möglich, die Zwei-Faktor-Authentifizierung einrichten.
Bei einem offensichtlichen Datenabfluss sollte man sofort prüfen, ob die Verbindungen unterbrochen werden sollten. Steht ein Mitarbeiter in Verdacht, sollte man überlegen, ob er zumindest vorübergehend suspendiert wird. Das gilt ebenso für Externe.
Mit Blick auf mögliche rechtliche Konsequenzen wie zum Beispiel die Strafverfolgung kann es wichtig sein, Beweismittel durch IT-Forensiker sichern zu lassen. Besteht überdies der Verdacht auf Ausspähung oder Wirtschaftsspionage, kann man den Verfassungsschutz einbinden. Werden die Ermittlungsbehörden eingeschaltet, hat man möglicherweise nur noch eine begrenzte Kontrolle über die weitere Entwicklung.
- Datenschutzbeauftragte berichten aus der Praxis - 26. März 2020
- Datenschutz und Datensicherheit im Homeoffice - 26. März 2020
- Nutzung sozialer Netzwerke durch Behörden - 9. März 2020