Es liegt ein Verstoß gegen Datenschutz vor? Was kann passieren und was ist zu tun? Wenn Sie eine Datenpanne in Ihrem Unternehmen befürchten und schnelle Unterstützung benötigen, beraten wir Sie in einem unverbindlichen Erstgespräch. Als externe Datenschutzbeauftragte helfen wir Ihnen bei der Beurteilung Ihres Vorfalls und sind Ihnen bei allen weiteren Schritten behilflich.
Inhaltsverzeichnis
- Unterscheidung zwischen Datenschutzverstoß und Datenschutzverletzung oder Datenpanne
- Was ist ein Datenschutzverstoß?
- Wie kann ein Datenschutzverstoß gemeldet werden?
- Was ist eine Datenschutzverletzung?
- Beispiele für eine Verletzung des Datenschutzes:
- Wann ist eine Datenschutzverletzung an die Aufsichtsbehörde zu melden?
- Wo und wie wird die Datenschutzverletzung gemeldet?
- Müssen auch die vom Vorfall betroffenen Personen informiert werden?
- Was kann passieren, wenn die Aufsichtsbehörde nicht über Datenschutzverletzungen informiert wird?
- Vorbereitende Maßnahmen: Datenpannen-Management etablieren
Unterscheidung zwischen Datenschutzverstoß und Datenschutzverletzung oder Datenpanne
Bei dem Thema Datenpannen und Meldepflichten bei den Datenschutzaufsichtsbehörden sind unterschiedliche Begrifflichkeiten im Umlauf. So werden Begriffe wie Datenschutzverstoß, Datenpanne, Datenschutzverletzung und Datenschutzvorfall als Synonym verwendet, obwohl diese teilweise eine unterschiedliche Bedeutung haben.
Was ist ein Datenschutzverstoß?
Der Begriff des Datenschutzverstoßes kann als Oberbegriff für jede Verletzung gegen die gesetzlichen Bestimmungen aus der Europäischen Datenschutz-Grundverordnung (DSGVO) oder dem Bundesdatenschutzgesetz (BDSG) verstanden werden. Je nach Schwere des Verstoßes wird zwischen einer Ordnungswidrigkeit und einer Straftat unterschieden. Ein klassisches Beispiel für einen Verstoß gegen die DSGVO ist die Nichtbeachtung der gesetzlichen Verpflichtung zur Benennung eines Datenschutzbeauftragten oder das Versäumnis, die Kontaktdaten des Datenschutzbeauftragten bei der zuständigen Datenschutz-Aufsichtsbehörde gemäß Artikel 37 DSGVO zu melden. Das Nichtbeantworten von Anfragen betroffener Personen (Artikel 15 – Artikel 22 DSGVO) oder das Abweichen von den Datenschutzgrundsätzen gemäß Artikel 5 Absatz 1 DSGVO sind ebenfalls typische Beispiele für Datenschutzverstöße. Im Falle der meisten, typischen Verstöße gegen die DSGVO drohen dem betroffenen Unternehmen (als verantwortlicher Stelle) die Verhängung von Bußgeldern. Zur Abgrenzung: Ein Datenschutzverstoß kann, muss aber nicht gleichzeitig auch eine Datenschutzverletzung bedeuten.
Wie kann ein Datenschutzverstoß gemeldet werden?
Jede betroffene Person kann formlos, d. h. mündlich oder per E-Mail, einen Datenschutzverstoß melden. Die Beschwerde kann bei der Datenschutz-Aufsichtsbehörde im Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, des Orts des mutmaßlichen Verstoßes oder ihres Arbeitsplatzes erfolgen, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.
Was ist eine Datenschutzverletzung?
Eine Datenschutzverletzung – umgangssprachlich oft als Datenpanne oder Datenleck bezeichnet – liegt dann vor, wenn es sich um eine „Verletzung des Schutzes personenbezogener Daten“ handelt (Art. 33 DSGVO und Art. 4 Nr. 12 DSGVO).
Eine Datenschutzverletzung liegt sinngemäß und vereinfacht ausgedrückt nur dann vor, wenn:
- Jemand fremdes Drittes Kenntnis über personenbezogene Daten erlangt ohne Vorliegen einer Rechtsgrundlage
- Personenbezogene Daten ungewollt verändert werden oder
- Personenbezogene Daten nicht mehr zugänglich sind.
Beispiele für eine Verletzung des Datenschutzes:
Vorfälle, bei denen persönliche Daten unbeabsichtigt offengelegt, manipuliert oder vernichtet werden, sind häufig mit erheblichen Risiken, z. B. Identitätsdiebstahl oder Rufschädigung verbunden. Typische Beispiele für Datenschutzverletzungen sind:
- Endgeräte (Handys, Laptops) oder mobile Datenträger (USB-Sticks, Speicherkarten) werden gestohlen oder werden in den öffentlichen Verkehrsmitteln vergessen
- Werblicher E-Mail-Versand mit offenem Mailverteiler (cc statt bcc)
- Fremder Zugriff auf Datenbestände infolge einer Cyber-Attacke
- Programmierfehler in der eigenen Plattform, wodurch Nutzer fälschlicherweise Daten anderer Nutzer einsehen können
- Verschlüsselte Daten infolge einer Ransomware-Attacke
- Diebstahl persönlicher Daten mithilfe von gefälschten Webseiten, E-Mails oder Kurznachrichten (Phishing-Attacken)
- Kein Zugriff auf Systeme infolge eines Stromausfalls
Wann ist eine Datenschutzverletzung an die Aufsichtsbehörde zu melden?
Grundsätzlich sind Unternehmen verpflichtet eine Datenschutzverletzung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden (Art. 33 DSGVO). Es gibt aber auch Ausnahmen von diesem Grundsatz: So kann eine Meldung an die Datenschutz-Aufsichtsbehörde ausnahmsweise unterbleiben, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die von dem Vorfall betroffenen natürlichen Personen führt. Um über Ja oder Nein einer Meldung entscheiden zu können, ist eine schnellstmögliche Risikobewertung erforderlich. Bei der Ermittlung des Risikos müssen Art, Umfang und Umstände der eingetretenen Verletzung in die Risikoprognose einbezogen werden. Demnach gilt: Je höher der anzunehmende Schaden ist, desto geringer sind die Anforderungen an die Wahrscheinlichkeit seines Eintritts.
Wo und wie wird die Datenschutzverletzung gemeldet?
Die Datenpannenmeldung erfolgt bei der zuständigen Datenschutz-Aufsichtsbehörde im Bundesland der eigenen (Haupt-)Niederlassung. Die meisten Datenschutz-Aufsichtsbehörden bieten Online-Formulare für eine Abgabe der Meldung an.
| Liste der Datenschutz-Aufsichtsbehörden | Hinweis |
| Baden-Württemberg | |
| Bayern | |
| Berlin | Das Meldeformular ist auszufüllen und per Mail an die Berliner Beauftragte für Datenschutz und Informationsfreiheit zu adressieren. |
| Brandenburg | |
| Bremen | |
| Hamburg | |
| Hessen | Das Meldeformular ist auszufüllen und über einen Upload-Link an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit zu übermitteln. |
| Mecklenburg-Vorpommern | |
| Niedersachsen | |
| Nordrhein-Westfalen | |
| Rheinland-Pfalz | |
| Saarland | |
| Sachsen | |
| Sachsen-Anhalt | |
| Schleswig-Holstein | Das Meldeformular ist auszufüllen und per Mail an die Behörde zu adressieren. |
| Thüringen |
Müssen auch die vom Vorfall betroffenen Personen informiert werden?
Die Meldepflicht bei der Datenschutz-Behörde ist eng mit der Benachrichtigung der vom Vorfall betroffenen Personen verknüpft. Nicht jede Datenschutzverletzung erfordert eine Benachrichtigung der betroffenen Personen. Nur wenn die Datenschutzverletzung voraussichtlich ein „hohes Risiko“ mit sich bringt, müssen die von dem Vorfall betroffenen natürlichen Personen unverzüglich und in klarer, einfacher Sprache benachrichtigt werden. Von dieser Verpflichtung kann nur abgewichen werden, wenn das Unternehmen beispielsweise in der Lage war, das hohe Risiko zu begrenzen oder eine Benachrichtigung nur mit einem unverhältnismäßigen Aufwand möglich wäre.
Was kann passieren, wenn die Aufsichtsbehörde nicht über Datenschutzverletzungen informiert wird?
Im Zusammenhang mit Datenschutzverletzungen droht die Verhängung von Bußgeldern. Unterlässt ein datenschutzrechtlich Verantwortlicher eine Meldung an die Aufsichtsbehörde oder die Benachrichtigung der von einer Datenschutzverletzung betroffenen Personen, so kann es zu Bußgeldern in Höhe von bis zu 10 Millionen Euro oder 2 % des Umsatzes kommen. Dieses Risiko besteht bei sämtlichen Verstößen gegen Art. 33 und 34 DS-GVO.
Vorbereitende Maßnahmen: Datenpannen-Management etablieren
Bei einer Datenschutzverletzung ist schnellstmögliches Handeln erforderlich. Deshalb ist von vornherein ein geeignetes Vorgehen zu entwickeln, wie im Hinblick auf Datenschutzvorfälle zu verfahren ist. Ein Datenpannen-Management sollte insbesondere folgende Punkte umfassen, um die Datenschutz-Compliance sicherzustellen:
- Effektive interne Meldeprozesse etablieren:
Ein gut durchdachter Meldeprozess mit klaren Verantwortlichkeiten stellt sicher, dass Datenpannen den richtigen Weg nehmen und der Sachverhalt schnellstmöglich aufgeklärt werden kann. Die Kontaktdaten aller wichtigen Personen sollten im Unternehmen kommuniziert werden, damit alle Mitarbeiter wissen, an wen sie sich im Falle eines Vorfalls wenden können.
- Richtlinie zum Umgang mit Datenpannen:
Eine Richtlinie mit klaren Handlungsschritten kann helfen, ein dauerhaftes gemeinsames Verständnis und ein für alle Mitarbeiter verbindliches Vorgehen zu etablieren.
- Vorfall-Reaktionsplan:
Im Vorfall-Reaktionsplan sollten konkrete Aktivitäten einzelnen Mitarbeitern zugeordnet sein, damit bei einer Datenschutzverletzung eine effektive Arbeitsteilung besteht. Dabei sollte auch die Kontaktaufnahme an Wochenenden, Feiertagen und während der Urlaubszeiten berücksichtigt werden.
- Sensibilisierung aller Mitarbeiter:
Eine wirksame Schulung mit Praxistipps ist essenziell, um die Mitarbeiter in die Lage zu versetzen, die unterschiedlichen Datenschutzverletzungen zu erkennen und angemessen darauf zu reagieren.
- Integration des Data Breach Managements in das ISMS:
Die Mitarbeiter des Service Desks sollten speziell geschult sein, um eigenständig erkennen zu können, ob von einem Informationssicherheitsvorfall auch personenbezogene Daten betroffen sind. Die Sensibilisierung kann sowohl durch einen Workshop als auch durch eine eLearning-Schulung erreicht werden.
- Probelauf und Dokumentation:
Es sind regelmäßig Probeläufe durchzuführen, um Schwächen im Reaktionsplan auszumerzen. Werden Probleme im Datenpannen-Management erst im Ernstfall aufgedeckt, kann dies teuer werden.
- Lessons learned:
Abseits vom Risiko jeder Datenpanne bietet jeder Vorfall immer auch die Chance, das eigene Vorgehen zu überdenken, Prozesse zu optimieren und die eigene Sicherheit nachhaltig zu erhöhen.
Sie benötigen schnelle Unterstützung bei einer Datenpanne?
Wir sind ein Team aus externen Datenschutzbeauftragten und unterstützen Sie bei der Analyse und Bewertung des Vorfalls und stehen Ihnen bei allen weiteren Schritten mit Rat und Tat zur Seite.
Jede betroffene Person hat das Recht, einen Datenschutzverstoß bei der Datenschutzaufsichtsbehörde im Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, des Orts des mutmaßlichen Verstoßes oder ihres Arbeitsplatzes zu melden (Art. 77 DSGVO). Die Beschwerde ist formfrei möglich, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Ob tatsächlich ein Verstoß vorliegt, wird im Rahmen der behördlichen Untersuchung ermittelt
Ein Datenschutzverstoß oder DSGVO-Verstoß kann zugleich auch eine Datenschutzverletzung darstellen. Voraussetzung hierfür ist, dass sich infolge der unbefugten Vernichtung, Veränderung, Offenlegung oder Verlust der Daten ein Risiko für die betroffene Person nicht ausschließen lässt (gem. Art. 33 DSGVO).
Grundsätzlich ist eine Datenschutzverletzung innerhalb von 72 Stunden durch das Unternehmer (“Verantwortlicher” oder ehemals “verantwortliche Stelle”) an die zuständige Aufsichtsbehörde zu melden (Art. 33 DSGVO). Es gibt aber auch Ausnahmen von diesem Grundsatz: So kann eine Meldung an die Datenschutz-Aufsichtsbehörde unterbleiben, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die Betroffene/n führt. Für die Entscheidung, ob ein Vorfall oberhalb oder unterhalb der Meldeschwelle liegt, ist eine schnellstmögliche Risikobewertung erforderlich.
Eine Datenschutzverletzung muss unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls an die zuständige Datenschutz-Aufsichtsbehörde gemeldet werden (Art. 33 DSGVO).
Bei einer Datenpanne muss grundsätzlich eine Meldung an die Datenschutz-Aufsichtsbehörde erfolgen. Bei einer Datenpanne mit hohem Risiko müssen zusätzlich die Betroffenen informiert werden
Typische Beispiele für Datenschutzverletzungen sind:
– Endgeräte (Handys, Laptops) oder mobile Datenträger (USB-Sticks, Speicherkarten) werden gestohlen oder werden in den öffentlichen Verkehrsmitteln vergessen
– Werblicher E-Mail-Versand mit offenem Mailverteiler (cc statt bcc)
– Fremder Zugriff auf Datenbestände infolge einer Cyber-Attacke
– Programmierfehler in der eigenen Plattform, wodurch Nutzer fälschlicherweise Daten anderer Nutzer einsehen können
– Verschlüsselte Daten infolge einer Ransomware-Attacke
– Diebstahl persönlicher Daten mithilfe von gefälschten Webseiten, E-Mails oder Kurznachrichten (Phishing-Attacken)
– Kein Zugriff auf Systeme infolge eines Stromausfalls
Die Datenschutz-Grundverordnung (DSGVO) findet im ausschließlich privaten Bereich keine Anwendung. Daher tragen Privatpersonen grundsätzlich keine Haftung für Verstöße gegen den Datenschutz im privaten oder familiären Umfeld. Wenn es um Mitarbeiter als Privatpersonen geht, haften sie für Datenschutzverstöße im Rahmen ihres Beschäftigungsverhältnisses nur eingeschränkt nach den im Arbeitsrecht geltenden Grundsätzen der Arbeitnehmerhaftung. Gemäß dieser von der Rechtsprechung entwickelten Prinzipien haften Arbeitnehmer lediglich für grob fahrlässige oder vorsätzliche Verstöße. Eine Haftung bei leichter Fahrlässigkeit ist nicht gegeben.
Die Unterscheidung zwischen Datenschutz und Informationssicherheit gestaltet sich oft schwierig, da sich diese beiden Bereiche häufig überschneiden. Ein bedeutender Unterschied besteht darin, dass der Datenschutz strengen gesetzlichen Anforderungen der DSGVO und des BDSG unterliegt. Demgegenüber können Unternehmen bei der Informationssicherheit verschiedene Konzepte einführen und durchsetzen. Praktische Umsetzungsvorschläge bieten beispielsweise die Normen ISO 27001 und ISO 27002 oder der BSI-Grundschutz. Die Kenntnisnahme von Vorfällen und die schnelle Reaktion sind sowohl im Rahmen des Datenschutzes als auch in der Informationssicherheit ein wichtiger Bestandteil, um die Vertraulichkeit, Integrität und Verfügbarkeit von (personenbezogenen) Daten zu gewährleisten.
Ein Informationssicherheitsvorfall ist ein Ereignis, das die Informationssicherheit beeinträchtigt. Dabei wird die Vertraulichkeit, Verfügbarkeit oder Integrität von Daten, Anwendungen, Systeme oder IT-Diensten gefährdet, mit möglicherweise großem materiellen oder immateriellen Schaden für das Unternehmen.
Beispiele für Sicherheitsvorfälle sind :
– der Verlust oder Diebstahl von Geräten wie Laptops mit vertraulichen Informationen
– die versehentliche Offenlegung vertraulicher Informationen durch Fehlkonfigurationen
– Denial-of-Service-Angriffe
– die Infizierung von IT-Systemen durch Malware oder Ransomware
– erfolgreiche Phishing-Angriffe
– der Diebstahl von Zugangsdaten und der unbefugte Zugriff auf IT-Systeme
Um größtmögliche Schäden zu verhindern, ist es ratsam, Sicherheitsvorfälle nach vordefinierten Regeln zu behandeln, um Risiken zu minimieren und Schäden zu begrenzen. Der Fokus bei der Bearbeitung von Vorfällen in der Informationssicherheit liegt auf der sofortigen Behebung des erlittenen Schadens und der Einleitung von organisatorischen oder technischen Maßnahmen zur Korrektur, um ein erneutes Auftreten zu verhindern. Dieser Prozess wird als Security Incident Management bezeichnet und ist ein entscheidender Bestandteil des Informationssicherheits-Managementsystems (ISMS).
Sollten von dem Informationssicherheitsvorfall auch personenbezogene Daten betroffen sein, müssen die vom europäischen Gesetzgeber aufgestellten Regeln für den Umgang mit einer (potenziellen) Datenschutzverletzung befolgt werden. Ein Informationssicherheitsvorfall kann, muss aber nicht gleichzeitig auch eine Datenschutzverletzung bedeuten. Das Datenpannen-Management und das Security Incident Management werden häufig von zwei unterschiedlichen Teams bearbeitet, die jedoch selbstverständlich eng zusammenarbeiten müssen.
