Datenpanne und Datenschutzverletzung nach DSGVO

Sicherheitsverstöße und Angriffe von Cyberkriminellen auf vermeintlich geschützte Systeme nehmen rasant zu. Datenpannen lassen sich immer häufiger auch auf gehackte Webseiten und Content Management Systeme sowie Onlineshops zurückverfolgen.

Die Datenpanne und die DSGVO

Angriffe von Hackern werden nicht nur häufiger, sie werden auch gefährlicher und treffen Unternehmen immer umfassender. Zunehmend sind auch kleine und mittelständische Unternehmen in Deutschland betroffen, Verwaltung, Kommunen, Vereine und Verbände. Cyberangriffe bleiben weiterhin der Albtraum eines jeden Datenschutzbeauftragten.

Simple Web-Solutions darf natürlich keine Rechtsberatung vornehmen. Wir empfehlen immer, nicht erst im Schadensfall, den Rechtsberater Ihres Vertrauens hinzu zu ziehen. Lassen Sie sich, wenn Sie von einem Hackerangriff betroffen sind, frühzeitig beraten. Bestenfalls schon, bevor der Ernstfall eintritt.

Entsprechend können wir natürlich auch keine Gewähr für die rechtliche Sicherheit und absolute Aktualität der bereitgestellten Informationen übernehmen. Informieren und vor allem sensibilisieren möchten wir Sie dennoch für das Problem Cybercrime. „In guten Zeiten“ beschreiben wir die notwendigen Schritte, die Sie einleiten müssen, wenn es für Ihr Unternehmen mal ernst wird.

Hacker haben Ihre Webseite oder den Onlineshop angegriffen? Ein Computer, USB-Stick oder eine Festplatte mit gesicherten Daten wurde aus Ihrem Unternehmen entwendet? Ihrem Außendienst-Mitarbeiter wurde der Laptop aus dem Auto gestohlen oder er hat sein Smartphone verloren? Ein Kollege hat versehentlich Daten veröffentlicht? Dann haben Sie ein Problem.

Handeln Sie jetzt schnell und mit einer durchdachten Strategie, denn Sie sind von einer mutmaßlichen Datenschutzverletzung betroffen. Die DSGVO schreibt vor, eine Datenpanne umgehend, das heißt innerhalb von 72 Stunden zu melden.

Wenn Sie mutmaßlich von einer Datenschutzverletzung betroffen sind, müssen Sie direkt prüfen, ob es sich um eine Datenpanne handelt. Aus Gründen der Datensicherheit müssen Sie sofort reagieren.

Sie sind nicht verpflichtet, bei jedem Datenleck eine Meldung bei der Aufsichtsbehörde einzureichen. Sie müssen dies aber tun, wenn für die von der Datenpanne Betroffenen ein Risiko entstanden ist.

Als datenverarbeitendes Unternehmen unterliegen Sie immer auch einer Dokumentationspflicht. Sie müssen den Vorfall also sichern und dokumentieren. Bewerten Sie dann umgehend, ob Sie die Datenpannen melden müssen oder nicht.

  •  Hacker greifen Ihre Webseite, den Onlineshop oder Ihre Datenbank an und stehlen personenbezogene Daten.
  • Cyberkriminelle dringen auf Computer in Ihrem Unternehmen ein und es gelingt den Angreifern beispielsweise, Kundendaten zu verändern.
  • Ein Mitarbeiter verliert einen Laptop oder sein Mobiltelefon mit darauf gespeicherten personenbezogenen Daten wie z.B. Kundenadressen.
  • In Ihr Unternehmen wird eingebrochen, diesmal nicht in der IT sondern in die Immobilie oder einfach in Büroräume. Dokumente, Festplatten, Computer werden dabei entwendet.
  • Unbefugte sichern beim Einbruch oder Besuch in Ihrem Büroräumen personenbezogene Daten Ihres Unternehmens auf einen USB-Stick oder brennen beispielsweise kundenbezogene Daten auf eine DVD.
  • Durch einen Systemfehler oder eine Manipulation sind Kundendaten in Ihrem Onlineshop öffentlich einsehbar. Dies könnten auch Bankverbindungen oder Kreditkartennummern der Betroffenen sein!
  • Ein Brand vernichtet die Server und damit die darauf gespeicherten Daten. Diese waren nicht gesichert.

Eine Meldepflicht für Datenpannen besteht, wenn die Datenpanne zu einem Risiko für Betroffene wird. Für die Meldung an die zuständige Aufsichtsbehörde besteht eine Meldepflicht schon bei einem „normalen Risiko“. Wenn die Datenschutzverletzung ein „gesteigertes Risiko“ für die Rechte und Freiheiten der Betroffenen auslöst, sind auch die Betroffenen unmittelbar zu informieren.

Ein Beispiel für eine Datenpanne nach der DSGVO ist die Entsorgung einer nicht gelöschten, aber funktionstüchtigen Festplatte, die weiter ausgelesen werden kann. Gleiches gilt natürlich auch für den Diebstahl einer solchen Platte. Ist es möglich, dass ein Dritter ein gefundenes oder entwendetes Speichermedium ausliest und die dort gesicherten Daten nutzt, ist dies Betriebsspionage und somit ein gesteigertes Risiko. Sind die personenbezogenen Daten auf dem Speichermedium verschlüsselt, können sie gegebenenfalls nur mit erheblichem Aufwand verwendet werden. Das Risiko, dass diese Sicherheitslücke zum Schaden der Betroffenen ausgenutzt wird, ist also entsprechend geringer zu bewerten.

Sie sind in dieser Situation, je nach Bewertung des Risikos für Betroffene, gegebenenfalls also verpflichtet, den Vorgang der Aufsichtsbehörde zu melden. Dies ist abhängig davon, ob das Risiko für Betroffene, deren personenbezogene Daten auf den betroffenen Medien gespeichert sind, als „gesteigert“ zu bewerten ist.

Keine Meldepflicht für Datenpannen besteht, wenn

  • Sie durch nachgelagerte Maßnahmen umgehend sicherstellen, dass höchstwahrscheinlich kein Risiko für Betroffene mehr besteht.
  • Sie bereits technische und organisatorische Sicherheitsvorkehrungen getroffen haben, wie beispielsweise eine Verschlüsselung von Daten und Speichermedien
  • die Meldung einen großen, aber schwer zu ermittelnden Personenkreis betrifft. In diesem Fall müssen Sie umgehend geeignete alternative Maßnahmen ergreifen. Dies kann beispielsweise bis hin zu einer öffentlichen Bekanntmachung reichen.

Ob Sie den Vorfall also melden müssen oder nicht, hängt sehr stark von der konkreten Situation ab.

Eine Datenpanne müssen Sie innerhalb 72 Stunden bei der für Sie zuständigen Datenschutzbehörde anzeigen. Die von der Datenpanne betroffenen Unternehmen und Personen müssen Sie unverzüglich, also schnellstmöglich, informieren. Je höher das Risiko für die Datenschutzverletzung zu bewerten ist, desto schneller sollte diese Meldung erfolgen.

Eine Meldepflicht entfällt, wenn Sie technische und organisatorische Sicherheitsvorkehrungen getroffen haben. Wenn die betroffenen Daten oder Datenträger beispielsweise ausreichend verschlüsselt waren, unterliegen sie gegebenenfalls keiner Meldepflicht, wenn Sie durch nachgelagerte geeignete Maßnahmen das Risiko der Folgen für die Betroffenen erheblich reduzieren.

Der Umfang und der Inhalt einer Meldung zu einer Datenpanne gestalten sich unterschiedlich, je nachdem ob die Meldung der Datenpanne an die Aufsichtsbehörde oder an die Betroffenen erfolgt.

Die Meldung gegenüber der Aufsichtsbehörde muss folgende Punkte beinhalten:

  • Welche Art Der Datenschutzverletzung liegt vor? (Datenverlust, Diebstahl etc.)
  • In welche Kategorie fallen die Betroffenen? (Kunden, Mitarbeiter)
  • Wie viele Betroffene gibt es?
  • Welche Kategorien von Datensätzen sind betroffen?
  • Name und Anschrift des Datenschutzbeauftragten.
  • Welche Folgen zieht die Schutzverletzung nach sich? (z.B. finanzielle Nachteile)
  • Welche Schutzmaßnahmen haben Sie ergriffen oder möchten Sie ergreifen?
  • Welche Gegenmaßnahmen sind noch denkbar?

Sie müssen die Meldung innerhalb 72 Stunden einreichen. Aus Dokumentations- und Beweiszwecken ist zu empfehlen, der Datenschutzbehörde den Verstoß zunächst telefonisch zu melden und dann schriftlich per Fax zu senden. Es drohen hier bei Verzug erhebliche Bußgelder.

Die Meldung an Personen oder Unternehmen, die von der Datenpanne betroffen sind, muss keine umfassenden Informationen über die Datenschutzverletzung beinhalten
Die folgenden Informationen müssen Sie auf jeden Fall übermitteln:

  • Name und Anschrift des Datenschutzbeauftragten
  • Art der Schutzverletzung
  • absehbare Folgen der Datenschutzverletzung
  • ergriffene und empfehlenswerte Gegenmaßnahmen

Beide Meldungen müssen Sie in einer klaren und verständlichen Sprache verfassen. Der Inhalt muss mit einem beiläufigen Blick erkennbar sein. Es dürfen keine sachfremden Bezüge und werbenden Maßnahmen enthalten sein. Nutzen Sie hier am besten eine Mustervorlage, die Sie im Internet laden oder auch mit Ihrem Rechtsanwalt erstellen können.

Für Ihr Unternehmen ist die Aufsichtsbehörde des Bundeslandes zuständig, in dem Ihr Unternehmen seinem Stammsitz hat. Filialen sind nicht relevant.

Datenschutzbehörden haben hier einen Ermessensspielraum. Sie dürfen unter mehreren Optionen wie einer Verwarnung und einer Geldbuße im Einzelfall auswählen und sind häufig recht kulant. Dies hängt allerdings immer vom Verhalten der Gegenseite und der individuellen Situation ab.

Die DSGVO stellt das Nichterfüllen von Meldepflichten unter erhebliche Strafen. Die Datenschutzbehörden setzen diese teilweise horrenden Strafen auch tatsächlich durch, was Vorfälle in der jüngeren Vergangenheit bewiesen.

Liegt bei einem Auftragsverarbeiter eine Datenpanne vor, unterliegt dieser nicht der Meldepflicht, ist. Der Auftragsverarbeiter ist allerdings dazu verpflichtet, diejenigen zu unterstützen, die meldepflichtig sind.

Die DSGVO macht hier keine exakten Vorgaben, was der Auftragsverarbeiter unterstützend zu leisten hat. Es ist also zu empfehlen, bereits bei der Vertragsgestaltung zur Auftragsverarbeitung entsprechende Regelungen aufzunehmen und beispielsweise einen Umfang der Unterstützung, bereitzustellende Informationen und damit verbunden auch entsprechende Fristen zu vereinbaren.

Bedenken Sie immer, dass Sie zur Dokumentation verpflichtet sind. Empfehlen können wir daher auch, immer die „Historie der Datenpanne“ möglichst exakt zu dokumentieren, ganz unabhängig von einer möglichen Meldepflicht.

Handeln Sie sofort, wenn Sie von einer Datenpanne betroffen sind:

  • Verschaffen Sie sich, soweit möglich, einen ersten Überblick über das Ausmaß des Vorfalls
  • Handeln Sie mit Bedacht, vorsichtig und zielorientiert
  • Planen Sie dann zunächst konkret den weiteren Ablauf
  • Dokumentieren Sie von Anfang an den Vorfall und Ihr Vorgehen
  • Erstellen Sie einen Tätigkeitsbericht und
  • koordinieren Sie die interne Aufbereitung
  • Schalten Sie einen Datenschutzexperten und Ihren Rechtsanwalt ein
  • Bewerten Sie, ob Sie der Meldeplicht unterliegen
  • Rufen Sie direkt bei der für Ihren Unternehmenssitz zuständigen Datenschutzbehörde an und melden Sie den Vorfall telefonisch.
  • Melden Sie den Vorfall schriftlich per Fax
  • Werten Sie den Vorfall intern aus
  • Schulen Sie Ihre Mitarbeiter zu dem konkreten Vorfall
  • Schulen und sensibilisieren Sie Ihre Mitarbeiter regelmäßig für das Thema Datenschutz und Datenverlust.

Sprechen Sie mit den Datenschutz-Spezialisten von Simple Web-Solutions. Wir sorgen für mehr Sicherheit für Ihre Webseiten und Ihren Onlineshop. Wir empfehlen und unterstützen Sie mit regelmäßigen Aktualisierungen Ihrer Systeme, mit sicherem Hosting sowie sicheren Servern. Und wir schulen und sensibilisieren Ihre Mitarbeiter im datensicheren Umgang mit den verwendeten Systemen.