Datenpanne oder Datenschutzvorfall - verärgerter Geschäftsmann

Datenpanne oder Datenschutzvorfall

Jetzt ist es doch passiert. Daten, für die Sie verantwortlich sind, wurden gestohlen, verloren, verändert oder vernichtet. Was ist jetzt zu tun? Müssen Sie die Aufsichtsbehörde oder die betroffenen Personen informieren? Gibt es ein Bußgeld-Risiko? Jetzt benötigen Sie neben einem professionellen Rat aber vor allem eine LÖSUNG passend zu Ihrer Datenpanne oder Ihrem Datenschutzvorfall.

Was ist passiert?

Nur zu leicht kann es passieren, dass Daten in falsche Hände geraten, gelöscht oder unbeabsichtigt verändert werden. Hier einige typische Fälle aus unserer Beratungspraxis:

  • Bei einem Einbruch wurden Computer, Handys oder andere Datenträger gestohlen – wer auch immer demnächst das Equipment in Händen hält, kann auch auf die gespeicherten Daten zugreifen.
  • Mitarbeiter haben Akten verloren oder versehentlich im Restmüll/Altpapier entsorgt – es kann nicht ausgeschlossen werden, dass diese von unbefugten Dritten gefunden und genutzt werden. … und wenn sie nur bei der großen Tageszeitung mit dem roten Logo abgegeben werden, denn der Finder erkennt, zu welchem Unternehmen diese gehören.
  • Ein Server wurde aufgrund von Sicherheitslücken gehackt – Unternehmensdaten werden in großer Menge heruntergeladen und im Internet zum Kauf angeboten.
  • Unternehmensdaten wurden durch Schadsoftware verschlüsselt und konnten nicht wieder hergestellt werden. Erst gegen Zahlung einer hohen Geldsumme wird Ihnen eine Entschlüsselung versprochen.
  • Persönliche Zugangsdaten von Mitarbeitern wurden “geklaut” und missbräuchlich verwendet, um im Namen des Unternehmens die Personen aus dem Unternehmensadressbuch anzuschreiben.
  • Durch eine E-Mail mit vielen Kunden-Adressen im An-Feld kennen alle Kunden eines Unternehmens ihre Mitkunden.
  • Daten von Kunden wurden durch einen menschlichen oder technischen Fehler vernichtet oder gelöscht und können nicht wieder beschafft oder wiederhergestellt werden. Die Backups wurden nie getestet und haben in diesem Ernstfall nicht funktioniert.

Als Unternehmen verwenden Sie personenbezogene Daten für eigene Zwecke – also beispielsweise Daten von Kunden, Geschäftspartnern oder Mitarbeitern – oder Sie verarbeiten Daten im Auftrag eines Kunden (Auftragsverarbeitung). In beiden Fällen ist Ihr Unternehmen für einen sicheren, gesetzes- und ggf. vertragskonformen Umgang mit diesen Daten verantwortlich. Der Schutz der Daten sollte für Sie an erster Stelle stehen.

Was ist eine Datenpanne (Datenschutzvorfall)?

Ob Datenpanne, Datenschutzvorfall oder Datenschutz-Verletzung – gemeint ist in der Regel das Gleiche. Daten, für die ein Unternehmen verantwortlich ist, wurden derart beeinträchtigt, dass ein Risiko für die Eigentümer dieser Daten (der Datenschützer spricht von „betroffenen Personen“ oder „Betroffenen“) bestehen könnte.

Aus Sicht der gesetzlichen Vorgaben ist entscheidend, dass es sich um personenbezogene Daten handelt.

„Verletzung des Schutzes personenbezogener Daten“ [ist] eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

Artikel 4 Nr. 12 DS-GVO

Meldepflicht: Sie haben 72 Stunden Zeit

Sobald ein Unternehmen von einem Datenschutzvorfall in seiner Verantwortlichkeit Kenntnis erlangt, stehen 72 Stunden Zeit zur Verfügung. Innerhalb dieser Zeit muss der Vorfall untersucht und bewertet werden, um in bestimmten Fällen noch vor Fristablauf die zuständige Aufsichtsbehörde zu informieren.

Besteht durch den Vorfall voraussichtlich ein Risiko für die betroffenen Personen, muss die zuständige Aufsichtsbehörde informiert werden.

Wie die Risiken für die betroffenen Personen bewertet werden, wenn eine Verletzung des Datenschutzes vorliegt, haben die Aufsichtsbehörden in diesem Kurzpapier beschrieben.

Wie eine Meldung an die Aufsichtsbehörde erfolgt, erklären wir in diesem Beitrag.

Oder: Rufen Sie uns an. Wir unterstützen Sie schnell und unkompliziert und übernehmen auf Wunsch die Meldung und die weitere Kommunikation mit der Aufsichtsbehörde.

Weniger als 72 Stunden bei Auftragsverarbeitern

Ist das betroffene Unternehmen ein Auftragsverarbeiter und sind die Daten der Auftraggeber betroffen, dann gilt eine andere Regelung (Art. 33 Abs. 2 DS-GVO).

Auftragsverarbeiter melden Datenpannen oder Datenschutzvorfälle unverzüglich an ihren Auftraggeber. Viele Verträge verlangen bereits eine Meldung nur bei dem Verdacht einer Schutz-Verletzung. Genauere Regelung zu den Fristen und zu den W-Fragen (wer, was, wann, wo usw.) sollten im Auftragsverarbeitungsvertrag (AVV) beschrieben sein, die Auftragsverarbeiter und Auftraggeber miteinander abgeschlossen haben.

Der Auftraggeber als „Verantwortlicher“ unterliegt dann der Meldepflicht gegenüber der Aufsichtsbehörde. Allerdings ist es nicht nur von Vorteil, sich hinter dem Auftraggeber vor der Aufsichtsbehörde verstecken zu können. Da der Auftraggeber selbst nur 72 Stunden Zeit hat, wird er dem Auftragsverarbeiter üblicherweise eine wesentlich kürzere Meldefrist in den Vertrag geschrieben haben. Dazu kommt, dass Aufsichtsbehörden sich sehr dafür interessieren, ob eine Datenpanne beim Verantwortlichen oder doch bei einem Auftragsverarbeiter entstanden ist. Bei letzteren besteht natürlich die Gefahr, dass mehr als nur ein Auftraggeber von der Panne betroffen ist.

Viel weniger als 72 Stunden für die ersten Maßnahmen

Ist die Pflicht zur Meldung einer Datenschutz-Verletzung das größte Problem? Das kommt darauf an.

Es wird vom betroffenen Unternehmen erwartet, dass neben der Untersuchung und Bewertung des Vorfalls unverzüglich angemessene Maßnahmen getroffen werden, um die Datenpanne zu beheben. Gegebenenfalls sind weitere Schritte zu veranlassen, um den Schaden für die betroffenen Personen abzumildern (Art. 33 Abs. 3 lit. d) DS-GVO).

Im konkreten Einzelfall ist häufig nicht klar, wie weitreichend die Maßnahmen sein müssen und welchen Aufwand ein Unternehmen zu investieren hat, um den Datenschutzvorfall zu beheben und Schäden abzumildern. Manche Datenpannen, wie der unwiederbringliche Verlust von Daten, können möglicherweise gar nicht mehr geheilt werden.

Bei zu großer Unsicherheit kann auch über einen Anruf bei der zuständigen Aufsichtsbehörde nachgedacht werden. Vielleicht mehr nach dem Motto „ich habe da einen guten Freund und dem ist ein Missgeschick passiert …“. Tatsächlich, das funktioniert und es ist sicherlich besser als die Datenpanne als Leiche im Keller zu vergraben.

Benachrichtigung der betroffenen Personen

Neben der Aufsichtsbehörde muss der Verantwortliche auch die betroffenen Personen informieren, wenn voraussichtlich ein hohes Risiko (Risikobewertung) für die Betroffenen besteht. Aber es gibt auch Ausnahmen. Der gesetzliche Rahmen ist in Art. 34 DS-GVO beschrieben.

Besondere Herausforderungen entstehen, wenn nicht genau geklärt werden kann, welche Personen überhaupt von einer Datenpanne oder Datenschutzvorfall betroffen sind. Oder die Menge der Betroffenen ist sehr groß und diese sind nicht ohne Weiteres zu erreichen.

Sollte sich eine Person bereits bei einer Behörde beschwert haben, empfehlen wir in jedem Fall externen fachlichen Rat einzuholen.

Wer kann weiterhelfen?

Schon bei dem Verdacht einer Datenpanne oder einem Datenschutzvorfall sollte der eigene Datenschutzbeauftragte schnellstmöglich eingebunden werden. Dieser hilft bei der ersten Einschätzung und Risikobewertung, unterstützt bei der Festlegung von Maßnahmen und ruft ggf. bei der Aufsichtsbehörde an.

Gibt es keinen Datenschutzbeauftragten oder sind Sie selbst Datenschutzbeauftragter und haben noch nicht so viel Erfahrung bei der Aufarbeitung von Datenschutzvorfällen und deren Folgen, dann finden Sie in den hier genannten Beiträgen und externen Quellen weiterführende Informationen.

Oder Sie rufen einfach uns an: Wenn es bei Ihnen brennt, nutzen Sie unsere 24-Stunden-Notfall-Hotline. Oder wenn es weniger eilig ist: buchen Sie hier einen kostenfreien Rückruf- oder Onlinetermin.

Wir helfen in Lübeck, Hamburg, Schleswig-Holstein und in ganz Deutschland – auch vor Ort.

Was sind die Folgen eines Datenschutzvorfalls?

Abhängig von der Art des Vorfalls entsteht als Folge meist ein kleinerer oder größerer Schaden: Datenverlust, negative Außenwirkung für Ihr Unternehmen, Verlust von Kunden oder zukünftigen Neukunden usw.

Die Folgen einer Meldung bei der Aufsichtsbehörde sind nach unserer Erfahrung in vielen Fällen, in denen eine gute Aufarbeitung erfolgt, weniger belastend. Besonders bei erstmaligen Vorkommnissen, angemessenem Verhalten und schnell und wirksam getroffenen Maßnahmen ist nicht als Erstes mit einem Bußgeld zu rechnen. Anders ist das aber bei hohem Eigenverschulden, fehlender Transparenz und Kooperation bei gleichzeitig hohem Schaden für die betroffenen Personen.

Wir geben Ihnen gerne unsere fachliche Einschätzung zu den Folgen Ihres Datenschutzvorfalls.

Jetzt-Termin-Vereinbaren

Haben wir Ihr Interesse geweckt und würden Sie gerne mehr dazu erfahren? Dann vereinbaren Sie hier einfach einen für Sie kostenfreien und unverbindlichen Kennenlern-Termin mit uns.

Bildquellen:

  • Datenpanne oder Datenschutzvorfall – verärgerter Geschäftsmann: fitzkes (548132164) | shutterstock.com

Newsletter

Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

Abonnieren Sie jetzt gleich unseren Newsletter.