JuriDacta

Alle Daten sind verschlüsselt

Was muss ich bei einer DATENPANNE tun?

Michaela Schröers
Michaela Schröers

Bei einer Datenschutzpanne erhalten nicht Berechtigte Zugriff auf Daten. Durch diesen Zugriff werden Betriebsgeheimnisse und/ oder personenbezogene Daten Unberechtigten bekannt. Im weiteren Sinne umfasst eine Datenpanne auch das unerwünschte Löschen von Daten.

Daten können dabei auch physisch abhanden kommen, z.B. durch den Verlust von Datenträgern oder auch Papierakten oder auch die falsche Entsorgung.

Weitere Beispiele für eine Datenpanne sind CEO-Frauds, Ransomeware, Botnetze oder auch Malware.

Bei CEO-Frauds werden die Zugangsdaten von Geschäftsführern gestohlen (meist durch Phishing) um dann einen erheblichen Schaden anzurichten. Ransomware und Botnetze bedeuten oftmals, dass man das Thema IT-Sicherheit in der Vergangenheit nicht ernst genommen hat und Malware schleicht sich oftmals durch Emails ein. Das lässt ggf. darauf schließen, dass Mitarbeitende im Unternehmen nicht die notwendige Awareness (z.B. durch eine Datenschutzschulung) haben und sich falsch verhalten. 85% aller IT-Sicherheitsprobleme gehen auf das Fehlverhalten der agierenden Personen im Unternehmen zurück!

Solche Pannen haben oft negative Folgen für Unternehmen und natürlich auch bei den Betroffenen, wenn es um personenbezogene Daten geht. Es drohen wirtschaftliche Nachteile und Imageschäden für Unternehmen, den Betroffenen können durch Datenschutzverletzungen finanzielle und persönliche Schäden entstehen, z.B. durch Identitätsdiebstahl.

Wann liegt eine Datenpanne vor?

Bei den Datenpannen wird es sicherlich eine hohe Dunkelziffer geben, da es kleine und auch große Lecks gibt, deren Zahl man nicht genau schätzen kann. Zumal die Firmen auch nicht verpflichtet sind, bei jedem Datenleck eine Meldung bei der Aufsichtsbehörde einzureichen, sondern nur, wenn es für die Betroffenen mit Risiken verbunden ist.

Eine Verletzung personenbezogener Daten liegt nach Artikel 4 Nr. 12 DSGVO vor, wenn diese Daten verlorengegangen sind bzw. vernichtet, verändert oder unbefugt offengelegt wurden. Seit Wirksamwerden der DSGVO besteht eine umfassendere Meldepflicht bei Datenpannen als früher nach dem Bundesdatenschutzgesetz. Die Artikel 33 und 34 regeln diese Meldepflicht. Nun ist jede Datenpanne, die voraussichtlich zu einem Risiko für den Betroffenen führt, innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden. Darüber hinaus müssen im Falle eines hohen Risikos für die persönlichen Rechte und Freiheiten von Betroffenen einer Datenschutzverletzung auch diese Personen benachrichtigt werden. Das ist nur unter den Bedingungen des Artikels 34 Absatz 3 DSGVO nicht zwingend nötig. Wenn Sie als Datenverarbeiter fungieren, so unterliegen Sie im Übrigen der Dokumentationspflicht für den Vorfall.

Meldung von Datenpannen

Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem die Firma oder der Verein seinen Sitz hat. Die Meldung an die Behörden muss binnen 72 Stunden erfolgen, zudem müssen die Betroffenen unverzüglich informiert werden. Die DSGVO schreibt für die Benachrichtigung keine bestimmte Form vor, wir empfehlen dies aber aus Beweisgründen und im Zuge der Dokumentationspflicht. Mittlerweile kann man die Meldung einer Datenschutzverletzung auch online durchführen. Hier gibt es vom Bayrischen Landesamt für Datenschutzaufsicht folgenden Link: https://www.lda.bayern.de/de/datenpanne.html. Dem Betroffenen selber muss man keine umfassenden Informationen über die Datenschutzverletzung geben, herausgegebene Informationen sollten aber in klarer und verständlicher Sprache verfasst werden.

Wenn Sie die Panne nicht melden, haben die Datenschutzbehörden bei den Sanktionen einen Ermessensspielraum. Sie können nur eine Verwarnung aussprechen oder aber eine Geldbuße verhängen. Gemäß Artikel 83 Absatz 4a DSGVO sind Bußgelder in Höhe von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres möglich. Wenn man die bisher ausgesprochenen Strafen der Datenschutzbehörde betrachtet, werden solch hohe Bußgelder auch verteilt.

Was noch zu tun ist.

Der wichtigste Tipp ist: DOKUMENTIEREN SIE!!! Alles, was mit der Datenpanne zu tun hat. Kontaktieren Sie uns, wenn Sie nicht konkret weiterwissen! Wir sind digitale Ersthelfer und können Ihnen Hilfen und Lösungen vermitteln. Beauftragen Sie Ihre/n Datenschutzbeauftragte/n eine Risikoabschätzung über den Vorfall zu erstellen. Erstellen Sie auch eine Erstmeldung der Datenpanne. Wir haben sämtliche Formulare, die wir Ihnen hierbei zur Verfügung stellen können. Wir beraten Sie im Einzelfall auch gerne, wie das weitere Vorgehen in Ihrem Fall aussehen sollte. Gerne übernehmen wir in diesem Fall auch den gesamten Vorgang. Das setzt aber Ihre Bereitschaft voraus, die nach dem Datenschutzvorfall gewonnenen Erkenntnisse durch Veränderungen der technischen und organisatorischen Maßnahmen umzusetzen. Wir wollen aus den gemachten Fehlern ja lernen und dafür sorgen, dass das zukünftig nicht noch einmal passiert.

Kontaktieren Sie Ihren IT-Dienstleister oder den internen IT-Administrator und lassen Sie Beweise sichern. Sollten Sie zu den glücklichen gehören, die eine Cyberversicherung abgeschlossen haben, kontaktieren Sie den Anbieter der Versicherung umgehend und melden Sie den Schadensfall. Die meistern Cyberversicherungen haben auch einen Forensik integriert, die komplett – ohne Ihren Selbstbehalt – die Kosten für die Recherche (Was, wann, wie passiert ist und wie man aus der Nummer wieder rauskommt) beinhaltet. Checken Sie möglichst schnell, ob geeignete Datensicherungen vorliegen und ermitteln sie die Anzahl der Datensätze, die durch den Vorfall betroffen sind. In vielen Fällen muss man die Personen über die Datenpanne informieren. Auch hier haben wir schon fast alles für Sie vorbereitet.

Dokumentieren Sie alle Ergebnisse, Erkenntnisse, Telefonate, Emails, etc.! Gehen Sie zur nächsten Polizeidienststelle und erstatten Sie Anzeige gegen Unbekannt. Lassen Sie sich die Tagebuchnummer (Aktenzeichen) geben und wirken Sie im Verlauf aktiv bei der Auflösung und Ermittlung durch die Polizei, ggf. durch ein Landes- oder auch in besonderen Fälle durch das Bundeskriminalamt mit. NOCHMAL: DOKUMENTIEREN SIE ALLES!.. man kann es leider nicht oft genug sagen.

IT-Sicherheit
Michaela Schröers

IT-Sicherheit

IT-Sicherheit, denn auch das Unternehmen muss sich schützen Mittlerweile wird mit Internetkriminalität mehr Umsatz generiert als mit Drogengeschäften. Eine beachtliche Zahl von Cyberangriffen, jedoch noch

Weiterlesen »
Datenschutz-Schulungen
Michaela Schröers

Datenschutzschulungen

Eine wesentliche Aufgabe einer Datenschutzbeauftragten ist die Schulung von Geschäftsführung und Mitarbeitern (m/w/d).   Bei mir haben Sie die Wahl zwischen Onlineschulungen oder aber auch Präsensschulungen.

Weiterlesen »
Datenschutzdienste
Michaela Schröers

Datenschutzdienste

Schön, das Sie sich für mich und meine Dienstleistungen interessieren.  Seit 1995 bin ich im Bereich des Datenschutzes (medizinischer und juristischer Bereich) aktiv und seit

Weiterlesen »
Aktuelle Themen
Michaela Schröers

Albtraum Cyberangriff

Albtraum Cyberangriff Oft passiert es im  Hintergrund und die Wurzeln des Übels wurden vor Monaten platziert Die Kunst in einem solchen Fall ist es, so

Weiterlesen »
IT-Dienstleister
Allgemein
Michaela Schröers

Warum Datenschutz?

Datenschutz wird im Unternehmen nicht für die Aufsichtsbehörden umgesetzt sondern für die betroffenen Personen, deren Daten man verarbeitet. Datenschutz ist das Recht eines Jeden. Das

Weiterlesen »
Allgemein
Michaela Schröers

Webseitencheck

Haben Sie schon gehört, gelesen oder es hat Ihnen jemand erzählt?  Seit dem 20.01.2022 hat jeder, der Ihre Webseite besucht, oftmals einen Anspruch auf Schadensersatz.

Weiterlesen »
Betroffenenrechte
Michaela Schröers

Recht auf Berichtigung

Wenn nicht richtige Daten zu einer Person verarbeitet werden, so kann deren Berichtigung verlangt werden. Unvollständige Daten müssen unter Berücksichtigung des Zwecks der Verarbeitung vervollständigt

Weiterlesen »
Betroffenenrechte
Michaela Schröers

Recht auf Löschung

Wenn bestimmte Löschgründe vorliegen, so hat der Betroffene einen Anspruch auf die Löschung (Recht auf Löschung) der personenbezogenen Daten. Dies ist insbesondere der Fall, wenn

Weiterlesen »
Betroffenenrechte
Michaela Schröers

Recht auf Datenübertragbarkeit

Betroffene haben das Recht, die eigenen Daten von einem Verantwortlichen zu einem anderen Verantwortlichen zu übertragen. Zu diesem Zweck muss der Verantwortliche dem Nutzer eine

Weiterlesen »
Allgemein
Michaela Schröers

Recht auf Widerspruch

Betroffene haben ein Recht auf Widerspruch auch gegen rechtmäßige Datenverarbeitungen, die im öffentlichen Interesse liegen, in Ausübung öffentlicher Gewalt oder aufgrund des berechtigten Interesses einer

Weiterlesen »
Betroffenenrechte
Michaela Schröers

Betroffenenrechte Allgemein

Die Verarbeitung von personenbezogenen Daten kann Menschen in vielerlei Weise betreffen. Diese Rechte “Betroffenenrechte” sind ein Kernbestandteil der DSGVO. Um diese Rechte wahrnehmen zu können,

Weiterlesen »
Datenschutz allgemein
Michaela Schröers

Was ist ein Datenschutzaudit?

…und was nutzt mir dieses Audit? Beim Datenschutzaudit handelt es sich um eine Prüfung, inwieweit die Umsetzung der Datenschutzbestimmungen in einem Unternehmen bereits erfolgreich ist

Weiterlesen »
Datenschutz allgemein
Michaela Schröers

Was sind Personenbezogene Daten?

Was sind denn überhaupt personenbezogene Daten und für wen gelten diese? “Personenbezogene Daten” sind alle Informationen, die sich auf eine identifizierbare oder identifizierbare natürliche Person

Weiterlesen »
Datenschutz allgemein
Michaela Schröers

Verantwortlich im Unternehmen

Die Rolle des Verantwortlichen in der DSGVO! Wer ist für den Datenschutz im Unternehmen verantwortlich? Die Regelungen der Datenschutzgrundverordnung (DSGVO) richten sich in vielfacher Hinsicht

Weiterlesen »
Datenschutz allgemein
Michaela Schröers

Datenschutz im wahren Leben

Datenschutz im wahren Leben “Dürfen Sie beim Bäcker oder Metzger oder gar beim Arzt mit Ihrem Namen angesprochen werden?” Das Inkrafttreten der DSGVO am 25.

Weiterlesen »
Datenschutz allgemein
Michaela Schröers

Schützen Sie Ihr Unternehmen

Der Datenschutz gilt ausschließlich für Daten natürlicher Personen. Diese personenbezogenen Daten verarbeiten Sie auf Grundlage eines “Erlaubnisvorbehaltes”. Das heißt auf Deutsch, dass Sie einen Grund haben, diese Daten zu verarbeiten. Haben Sie keinen Grund, keinen Zweck definiert, der es Ihnen erlaubt, diese Daten von Menschen zu verarbeiten, ist die Verarbeitung unzulässig und damit verboten!

Weiterlesen »
Datenschutz allgemein
Michaela Schröers

Das Google Analytics Dilemma

Die österreichische Aufsichtsbehörde DSB nennt den Einsatz von Google Analytics rechtswidrig – Was bedeutet das für Unternehmen in Europa und im Speziellen in Deutschland. Es ist

Weiterlesen »

WIR FREUEN UNS AUF IHRE NACHRICHT!

Für jede Anfrage können Sie uns gerne eine Nachricht senden und wir werden so schnell wie möglich antworten.

Hinweis:
Diese Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie eine Nachricht an uns senden.
Spamschutz:
Bitte geben Sie das Ergebnis der Rechnung im nachfolgenden Feld numerisch ein. Danke für ihr Verständnis.