Bei einer Datenschutzpanne erhalten nicht Berechtigte Zugriff auf Daten. Durch diesen Zugriff werden Betriebsgeheimnisse und/ oder personenbezogene Daten Unberechtigten bekannt. Im weiteren Sinne umfasst eine Datenpanne auch das unerwünschte Löschen von Daten.
Daten können dabei auch physisch abhanden kommen, z.B. durch den Verlust von Datenträgern oder auch Papierakten oder auch die falsche Entsorgung.
Weitere Beispiele für eine Datenpanne sind CEO-Frauds, Ransomeware, Botnetze oder auch Malware.
Bei CEO-Frauds werden die Zugangsdaten von Geschäftsführern gestohlen (meist durch Phishing) um dann einen erheblichen Schaden anzurichten. Ransomware und Botnetze bedeuten oftmals, dass man das Thema IT-Sicherheit in der Vergangenheit nicht ernst genommen hat und Malware schleicht sich oftmals durch Emails ein. Das lässt ggf. darauf schließen, dass Mitarbeitende im Unternehmen nicht die notwendige Awareness (z.B. durch eine Datenschutzschulung) haben und sich falsch verhalten. 85% aller IT-Sicherheitsprobleme gehen auf das Fehlverhalten der agierenden Personen im Unternehmen zurück!
Solche Pannen haben oft negative Folgen für Unternehmen und natürlich auch bei den Betroffenen, wenn es um personenbezogene Daten geht. Es drohen wirtschaftliche Nachteile und Imageschäden für Unternehmen, den Betroffenen können durch Datenschutzverletzungen finanzielle und persönliche Schäden entstehen, z.B. durch Identitätsdiebstahl.
Wann liegt eine Datenpanne vor?
Bei den Datenpannen wird es sicherlich eine hohe Dunkelziffer geben, da es kleine und auch große Lecks gibt, deren Zahl man nicht genau schätzen kann. Zumal die Firmen auch nicht verpflichtet sind, bei jedem Datenleck eine Meldung bei der Aufsichtsbehörde einzureichen, sondern nur, wenn es für die Betroffenen mit Risiken verbunden ist.
Eine Verletzung personenbezogener Daten liegt nach Artikel 4 Nr. 12 DSGVO vor, wenn diese Daten verlorengegangen sind bzw. vernichtet, verändert oder unbefugt offengelegt wurden. Seit Wirksamwerden der DSGVO besteht eine umfassendere Meldepflicht bei Datenpannen als früher nach dem Bundesdatenschutzgesetz. Die Artikel 33 und 34 regeln diese Meldepflicht. Nun ist jede Datenpanne, die voraussichtlich zu einem Risiko für den Betroffenen führt, innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden. Darüber hinaus müssen im Falle eines hohen Risikos für die persönlichen Rechte und Freiheiten von Betroffenen einer Datenschutzverletzung auch diese Personen benachrichtigt werden. Das ist nur unter den Bedingungen des Artikels 34 Absatz 3 DSGVO nicht zwingend nötig. Wenn Sie als Datenverarbeiter fungieren, so unterliegen Sie im Übrigen der Dokumentationspflicht für den Vorfall.
Meldung von Datenpannen
Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem die Firma oder der Verein seinen Sitz hat. Die Meldung an die Behörden muss binnen 72 Stunden erfolgen, zudem müssen die Betroffenen unverzüglich informiert werden. Die DSGVO schreibt für die Benachrichtigung keine bestimmte Form vor, wir empfehlen dies aber aus Beweisgründen und im Zuge der Dokumentationspflicht. Mittlerweile kann man die Meldung einer Datenschutzverletzung auch online durchführen. Hier gibt es vom Bayrischen Landesamt für Datenschutzaufsicht folgenden Link: https://www.lda.bayern.de/de/datenpanne.html. Dem Betroffenen selber muss man keine umfassenden Informationen über die Datenschutzverletzung geben, herausgegebene Informationen sollten aber in klarer und verständlicher Sprache verfasst werden.
Wenn Sie die Panne nicht melden, haben die Datenschutzbehörden bei den Sanktionen einen Ermessensspielraum. Sie können nur eine Verwarnung aussprechen oder aber eine Geldbuße verhängen. Gemäß Artikel 83 Absatz 4a DSGVO sind Bußgelder in Höhe von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres möglich. Wenn man die bisher ausgesprochenen Strafen der Datenschutzbehörde betrachtet, werden solch hohe Bußgelder auch verteilt.
Was noch zu tun ist.
Der wichtigste Tipp ist: DOKUMENTIEREN SIE!!! Alles, was mit der Datenpanne zu tun hat. Kontaktieren Sie uns, wenn Sie nicht konkret weiterwissen! Wir sind digitale Ersthelfer und können Ihnen Hilfen und Lösungen vermitteln. Beauftragen Sie Ihre/n Datenschutzbeauftragte/n eine Risikoabschätzung über den Vorfall zu erstellen. Erstellen Sie auch eine Erstmeldung der Datenpanne. Wir haben sämtliche Formulare, die wir Ihnen hierbei zur Verfügung stellen können. Wir beraten Sie im Einzelfall auch gerne, wie das weitere Vorgehen in Ihrem Fall aussehen sollte. Gerne übernehmen wir in diesem Fall auch den gesamten Vorgang. Das setzt aber Ihre Bereitschaft voraus, die nach dem Datenschutzvorfall gewonnenen Erkenntnisse durch Veränderungen der technischen und organisatorischen Maßnahmen umzusetzen. Wir wollen aus den gemachten Fehlern ja lernen und dafür sorgen, dass das zukünftig nicht noch einmal passiert.
Kontaktieren Sie Ihren IT-Dienstleister oder den internen IT-Administrator und lassen Sie Beweise sichern. Sollten Sie zu den glücklichen gehören, die eine Cyberversicherung abgeschlossen haben, kontaktieren Sie den Anbieter der Versicherung umgehend und melden Sie den Schadensfall. Die meistern Cyberversicherungen haben auch einen Forensik integriert, die komplett – ohne Ihren Selbstbehalt – die Kosten für die Recherche (Was, wann, wie passiert ist und wie man aus der Nummer wieder rauskommt) beinhaltet. Checken Sie möglichst schnell, ob geeignete Datensicherungen vorliegen und ermitteln sie die Anzahl der Datensätze, die durch den Vorfall betroffen sind. In vielen Fällen muss man die Personen über die Datenpanne informieren. Auch hier haben wir schon fast alles für Sie vorbereitet.
Dokumentieren Sie alle Ergebnisse, Erkenntnisse, Telefonate, Emails, etc.! Gehen Sie zur nächsten Polizeidienststelle und erstatten Sie Anzeige gegen Unbekannt. Lassen Sie sich die Tagebuchnummer (Aktenzeichen) geben und wirken Sie im Verlauf aktiv bei der Auflösung und Ermittlung durch die Polizei, ggf. durch ein Landes- oder auch in besonderen Fälle durch das Bundeskriminalamt mit. NOCHMAL: DOKUMENTIEREN SIE ALLES!.. man kann es leider nicht oft genug sagen.
