Manchmal geht es schneller als gedacht und man begeht unabsichtlich eine Datenschutzverletzung. Sei es ein verlorener USB-Stick mit Kundendaten, versehentlicher Versand einer Mail mit allen Kontaktdaten in cc anstatt in bcc oder auch durch einen externen Hackerangriff. All dies sind Datenschutzverletzungen bzw. Datenpannen, die jedem passieren können. Doch was ist jetzt zu tun?
Nach Art. 33 DSGVO sind sogenannte Data Breaches unter Umständen der Aufsichtsbehörde und ggf. auch den Betroffenen anzuzeigen. Ich habe Ihnen die wichtigsten Schritte und Kriterien für die Meldung einer Datenpanne zusammengefasst.
Wem müssen Sie eine Datenpanne melden?
• der Aufsichtsbehörde
• ggfs. den Betroffenen
Eine Meldung hat immer an die zuständige Aufsichtsbehörde des Verantwortlichen zu geschehen. In manchen Fällen, vor allem, wenn voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen vorliegt, muss eine Meldung ebenfalls an den/die Betroffenen geschehen. Ein hohes Risiko liegt dann vor, wenn die Schwere und die Eintrittswahrscheinlichkeit eines Schadens als sehr groß bewertet werden.
Auftragsverarbeiter (z. B. Mitarbeiter, Freelancer, freie Mitarbeiter) müssen Datenpannen stets an den verantwortlichen Datenschutzbeauftragten melden. Dieser leitet dann die weiteren Schritte ein.
Welche Frist müssen Sie für die Meldung einhalten?
Die Meldung muss unverzüglich, spätestens 72 Stunden nach Kenntnisnahme, erfolgen.
Sollte die 72-Stunden-Frist nicht eingehalten werden, hat der Verantwortliche dies zu begründen. Hierbei müssen außergewöhnliche Umstände dargestellt werden. (z. B. wenn viele Hacker-Attacken in kurzer Zeit auftreten.) Wiederum besteht kein außergewöhnlicher Umstand, falls noch nicht alle geforderten Inhalte bekannt sind. Hier ist der Verantwortliche weiterhin in der Pflicht, die Meldung rechtzeitig zu vollziehen und fehlende Informationen später nachzureichen.
Was genau ist meldepflichtig?
Die Meldepflicht besteht im „Falle einer Verletzung des Schutzes personenbezogener Daten“, „es sei denn, dass die Verletzung (…) voraussichtlich nicht zu einem Risiko führt.“ (Vgl. Art. 33 DSGVO)
Prüfen Sie dementsprechend den vorliegen Fall nach 2 Faktoren:
1. Wurde der Schutz von personenbezogenen Daten verletzt?
2. Welche Art eines Risikos liegt vor?
1. Verletzung des Schutzes personenbezogener Daten
Jede Art personenbezogener Daten ist in dieser Definition umfasst (z. B. Namen, Anschriften, E-Mailadressen). Ein Data Breach beschreibt einen Sicherheitsbruch, bei dem personenbezogene Daten unrechtmäßig Dritten offenbart werden oder infolge eines Sicherheitsbruches gelöscht oder zeitweise unzugänglich gemacht werden.
Beispiele für Data Breaches:
• Hacking
• Datendiebstahl
• SQL-Lücken
• Bugs im Webserver
• Verlorengegangene USB-Sticks oder Laptops
• Unrechtmäßige Übermittlung
• Einbruch in Serverräumen (Verlust oder Zerstörung von Hardware, Auslesen von Datenträgern)
• Versehentliche Falschadressierung von Briefen und E-Mails
• Versenden von Massen-E-Mails unter Verwendung des cc- statt bcc-Feldes
• Vorübergehende Unerreichbarkeit der Daten (Stromausfall, Denial-of-Service-Attacke)
• Dauerhafte Löschung von Daten infolge eines Sicherheitsbruches
2. Risikobeurteilung
Die Risikobeurteilung misst die Verbindung zwischen der Schwere des Schadens und dessen Eintrittswahrscheinlichkeit. Um das Risiko möglichst genau beurteilen zu können, benötigt die Aufsichtsbehörde eine genaue Beschreibung des zugrundeliegenden Sachverhalts. Hierbei ist es ratsam folgendes Vorgehen zur Dokumentation zu verwenden:
1. Was genau ist passiert?
• Art des Data Breach (Unauthorisierter Zugriff ist oft gravierender als Datenverlust)
• Zeitraum/Zeitpunkt des Vorfalls
2. Art der betroffenen Daten
• Art und Umfang der Daten
3. Anzahl der Betroffenen und betroffenen personenbezogenen Datensätze
4. Kategorien der Betroffenen und damit verbundene spezielle Umstände (z. B. Kinder, Behinderungen)
5. Folgen der Datenschutzverletzung
6. Mögliche Folgen für betroffene Personen
• z. B. Verlust der Kontrolle über die eigenen Daten
• Einschränkung von Rechten
• Diskriminierung
• Identitätsdiebstahl oder -betrug
• Finanzielle Verluste
• Aufhebung der Pseudonymisierung
• Rufschädigung
• Verletzung des Berufsgeheimnisses
• Andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile
Anschließend werden für die Risikobeurteilung die bereits eingeleiteten Maßnahmen dokumentiert und gerne auch mit Screenshots etc. hinterlegt.
Besteht kein Risiko nach einer Datenpanne, genügt eine vollständige Dokumentation des Sachverhalttest inkl. der Prognoseentscheidung, um für spätere Fälle eine Nachvollziehbarkeit der Entscheidung bieten zu können.
Haben Sie noch Fragen zu einer Meldung eines Data Breaches bzw. Vorgehen? Brauchen Sie Hilfe bei der Umsetzung dieses Themas in Ihrem Unternehmen? Ich berate ich Sie gerne und übernehme auch die Vorbereitung einer Meldung inkl. der Erstellung der Dokumentation. Schreiben Sie mir einfach eine E-Mail.