Notfallplan: Was ist bei einer Datenschutzpanne zu tun?

Was ist eine Datenschutzpanne?

Wenn Unternehmen oder Verbraucher von einer Datenschutzpanne sprechen, meinen sie damit in der Regel eine Datenschutzverletzung, bei der personenbezogene Daten zum Beispiel in falsche Hände geraten.  

Die Datenschutzgrundverordnung (DSGVO) definiert in Art. 4 Nr. 12, dass eine Datenschutzverletzung eine Verletzung der Datensicherheit darstellt. Die Sicherheit von Daten ist immer dann in Gefahr, wenn sie gelöscht oder verändert werden oder verlorengehen.  

Auch der Zugriff durch Unbefugte wie Hacker oder die bloße Offenlegung gegenüber Unbefugten stellt eine Datenschutzverletzung dar. Unerheblich ist dabei, ob die Datenschutzpanne unbeabsichtigt passiert ist oder Absicht dahintersteckt.  

Verletzung oder Verstoß? Mehr über die Begriffsabgrenzung und allgemeine Verstöße gegen die DSGVO erfahren Sie in unserem Übersichtsartikel zum Thema Datenschutzverstoß.

Beispiele und Ursachen für Datenschutzpannen

Verletzungen der Datensicherheit können in vielen Bereichen eines Unternehmens auftreten. Ein typisches Beispiel ist der Versand einer E-Mail mit personenbezogenen Daten an den falschen Empfängerkreis oder ein vergessener Geschäftslaptop in der Bahn. Auch der Klick auf einen Link in einer Phishing-E-Mail, über den Hacker sich Zugriff auf vertrauliche Kundendaten verschaffen, stellt eine Datenschutzverletzung dar.

Oft sind solche Datenschutzpannen auf mangelnde oder fehlende Datenschutzkonzepte, technische Fehler oder Angriffe auf IT-Systeme zurückzuführen. Und in vielen Fällen stecken menschliche Fehler dahinter.  

Die folgende Liste zeigt, welche Fehler das sein können:  

• Offenlegen sensibler Daten durch Bedienfehler bei der Softwarenutzung

• Verlust unverschlüsselter Datenträger wie Festplatten oder USB-Sticks, die von Dritten ausgelesen werden können

• Entsorgen von Papierdokumenten oder Datenträgern im normalen Abfall

• Weitergabe von vertraulichen Daten an externe Personen, die zuvor nicht überprüft wurden

• Missbrauch von Zugriffsrechten durch Mitarbeiter

• Unbeabsichtigtes Löschen von Daten durch Unachtsamkeit oder Fehler in der Softwarekonfiguration  

• Versehentliches Veröffentlichen von Daten auf der Unternehmenswebsite

Datenschutzpanne passiert? So verhalten Unternehmen sich richtig

Auch wenn Unternehmen datenschutzkonform handeln, lassen sich Datenschutzpannen nicht vollständig vermeiden. Allerdings können Verantwortliche dafür sorgen, dass ihr Team im Falle eines Datenvorfalls zügig und korrekt handelt, um größere Schäden zu vermeiden.

Unternehmen sollten dafür frühzeitig Protokolle und Routinen installieren und ausreichend dokumentieren. Zum Notfallplan im Falle einer Datenschutzpanne gehört auch, den Vorfall möglichst schnell melden zu können.

{{infobox}}

So können Unternehmen eine Datenschutzpanne melden

Die Meldepflicht für Datenschutzverletzungen in Unternehmen ist in Art. 33 DSGVO geregelt. Grundsätzlich ist jede Datenschutzpanne zu melden, es sei denn, der Datenverlust führt voraussichtlich nicht zu einem Risiko für die Rechte oder Freiheiten natürlicher Personen führt.  

In der Regel nimmt der Datenschutzbeauftragte eine Risikobewertung vor und gibt nach Prüfung des Sachverhaltes eine Empfehlung ab. Die Entscheidung liegt am Ende aber beim Verantwortlichen für den Datenschutz.

Wichtig: Es ist unerheblich, ob das Unternehmen den Datenverlust nur versehentlich oder unwissentlich verschuldet hat oder nicht.  

Wie läuft die Meldung von Datenschutzpannen bei den Behörden ab?

Ist eine Datenschutzpanne meldepflichtig, zählt jede Sekunde: Die DSGVO verlangt von Unternehmen, die Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden.  

Wo melde ich eine Datenschutzverletzung gegen die DSGVO?

Die Meldung muss gegenüber der jeweils für den Verantwortlichen zuständigen Aufsichtsbehörde erfolgen, also in der Regel die Datenschutzbehörde des Bundeslandes, in dem der Verantwortliche seinen Sitz hat. Die meisten Datenschutzbehörden stellen auf ihren Websites Online-Formulare für die Meldung bereit.

Was muss in der Meldung enthalten sein?

Die Meldung an die Aufsichtsbehörde muss mindestens folgende Informationen enthalten (Art. 33 Abs. 3 DSGVO):

• Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten

• Kategorien der Betroffenen und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze

• Namen und die Kontaktdaten des Datenschutzbeauftragten, der vom Unternehmen bestellt wurde, oder einer sonstigen Anlaufstelle für weitere Informationen

• Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten

• Beschreibung ergriffener und vorgeschlagener Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und zur Abmilderung ihrer Folgen

Die DSGVO enthält keine Formvorschriften für die Meldung. Es bietet sich jedoch schon aus Beweiszwecken an, die Meldung in Textform zu verfassen. Angaben zu den Dokumentationspflichten finden sich in Art. 33 Abs. 5 DSGVO: Unternehmen müssen demnach nicht nur die Datenschutzpanne selbst dokumentieren, sondern auch deren Auswirkungen sowie die entsprechenden Maßnahmen zur Verhütung von Folgeschäden.  

Wann muss ein Unternehmen Betroffene über eine Datenschutzpanne informieren?

Besteht durch die Datenschutzverletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen, müssen Verantwortliche nach Art. 34 Abs. 1 DSGVO auch die betroffenen Personen unverzüglich benachrichtigen.

Ein solches Risiko kann vor allem vorliegen bei besonderen Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1, Art. 10 DSGVO vor, zum Beispiel bei  

• Daten über den Gesundheitszustand oder die ethnische Herkunft einer Person

• personenbezogenen Daten über strafrechtliche Verurteilungen

• biometrische Daten zu Identifizierung einer Person

Die Betroffenen müssen zum einen über die Datenschutzpanne und zum anderen über mögliche Folgen informiert werden. Die Information muss in einer klaren und einfach strukturierten Sprache erfolgen, damit Betroffene sie leicht erfassen können. Außerdem sind die von der Datenschutzverletzung betroffenen Personen individuell zu informieren. Nur, wenn dieser Schritt mit unverhältnismäßigem Aufwand verbunden ist, darf eine öffentliche Bekanntmachung erfolgen.

Was passiert, wenn ein Unternehmen eine Datenschutzpanne nicht meldet?

Unterlässt der Verantwortliche eine gebotene Meldung an die Aufsichtsbehörde, kann dies als Verstoß nach Art. 83 Abs. 4 lit. a DSGVO mit einer Geldbuße bis zu 10 Millionen Euro oder aber bis zu 2 Prozent des weltweiten Jahresumsatzes geahndet werden.  

Als Verstoß des Verantwortlichen ist auch die unvollständige Meldung, eine unterlassene Teilmeldung und die fehlende oder unvollständige Dokumentation der Datenschutzverletzung zu werten. Unterlässt der Verantwortliche die Benachrichtigung des Betroffenen, kann die Aufsichtsbehörde den Verstoß ebenfalls mit einer Geldbuße ahnden.

Warum sind Datenschutzvorfälle so brisant?

Die DSGVO stellt nicht ohne Grund hohe Anforderungen an den Schutz von personenbezogenen Daten. Denn wenn durch eine Datenschutzpanne Passwörter oder PINs bekannt werden, ist nicht nur die Privatsphäre betroffener Kunden gefährdet – es handelt sich um einen regelrechten Datenschutz-GAU.

Denn ein Datenschutzverstoß kann auch einen immateriellen Schaden bedeuten. Ein nachhaltiger Vertrauensverlust und immense Imageschäden gegenüber Kunden, Mitarbeitern und Geschäftspartnern können die Folge sein.

Imageschaden: Schon kleine Datenschutzpannen schaden dem Ruf

Bei den Endkunden wächst das Bewusstsein für datenschutzrechtliche Anforderungen. Auch kleinere Nachlässigkeiten und das Fehlen ausgearbeiteter Datenschutzkonzepte können den unternehmerischen Ruf deshalb langfristig beschädigen.

Datenschutzpannen als Kostenfaktor

Datenschutzpannen kosten Unternehmen jedes Jahr Milliarden. Zum einen sieht die DSGVO bei Datenschutzpannen Strafen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes vor. Wie hoch das Bußgeld im Einzelfall ausfällt, hängt von den Landesbeauftragten der jeweiligen Datenschutzbehörden ab.

Zum anderen müssen Unternehmen nach einer Datenschutzpanne viel Geld investieren, um den Schaden zu beheben. Besser ist es deshalb, wenn eine Datenschutzverletzung gar nicht erst vorkommt.  

Prävention von Datenschutzpannen im Unternehmen

Selbst bei größten Anstrengungen lässt sich manche Datenpanne nicht vollständig verhindern. Trotzdem können Unternehmen größere finanzielle und Imageschäden vermeiden, indem sie ihre Datenschutzmaßnahmen kontinuierlich kontrollieren und optimieren.

Folgende Punkte sind dabei wichtig:

• Datenpannen haben ein breites Feld – vom Fehlversenden einer E-Mail über den in der U-Bahn vergessenen Firmenlaptop bis hin zu Hackerangriffen. Haben Sie einen Überblick über die Bandbreite von Datenschutzverletzungen?

• Wissen alle Mitarbeiter über Datenpannen und deren Vermeidung Bescheid?

• Gibt es einen Reaktionsplan für den Ernstfall, sollte eine Datenpanne eintreten?

• Wissen Sie, bei welcher Stelle über einen Datenschutz-Vorfall Meldung gemacht werden muss?

Die Überprüfung der unternehmensinternen Routinen bietet eine gute Gelegenheit, die bisherige Organisationsstruktur in diesem Bereich auf den Prüfstand zu stellen und zu verbessern. Dabei können externe Experten helfen.

Mitarbeiterschulungen als wichtiger Hebel beim Pannenschutz

Der Datenschutz in Unternehmen steht und fällt mit den Mitarbeitern. Denn um Datenschutzpannen rechtzeitig melden zu können, müssen diese überhaupt erkannt und das Risiko richtig eingeschätzt werden.  

Deshalb ist es wichtig, die Mitarbeiter für die entsprechenden Anforderungen aus dem Datenschutz zu sensibilisieren. Damit leisten Unternehmen gleichzeitig einen wichtigen Beitrag zum Reduzieren menschlicher Fehler, die Ursache vieler Datenschutzverletzungen sind.

In diesem Zusammenhang sollten die Angestellten die Möglichkeit haben, den Sinn und Zweck datenschutzrechtlicher Regelungen genau verstehen zu können und nicht als komplizierte oder hinderliche Maßnahmen im betrieblichen Alltag zu begreifen. Verantwortliche können mit gutem Beispiel vorangehen und Datenschutz positiv an die Belegschaft herantragen. Zudem sollten die Mitarbeiter einen Reaktionsplan erhalten, der zeigt, was im Falle einer Datenschutzpanne zu tun ist.

Beim Erstellen eines Notfallplans für eine Datenschutzpanne, bei der Schulung Ihrer Mitarbeiter und beim Erarbeiten eines starken Datenschutzkonzepts sind Ihnen unsere Experten gerne behilflich. Jetzt Beratungstermin vereinbaren!