Die Datenpanne
Jetzt ist es doch passiert. Daten, für die Sie verantwortlich sind, wurden gestohlen, verloren, verändert oder vernichtet. Was ist jetzt zu tun? Müssen Sie die Aufsichtsbehörde oder die betroffenen Personen informieren? Gibt es ein Bußgeld-Risiko? Jetzt benötigen Sie neben einem professionellen Rat aber vor allem eine LÖSUNG passend zu Ihrer Datenpanne.
Was ist passiert?
Nur zu leicht kann es passieren, dass Daten in falsche Hände geraten, gelöscht oder unbeabsichtigt verändert werden. Hier einige typische Fälle aus unserer Beratungspraxis:
- Bei einem Einbruch wurden Computer, Handys oder andere Datenträger gestohlen – wer auch immer demnächst das Equipment in Händen hält, kann auch auf die gespeicherten Daten zugreifen.
- Mitarbeiter haben Akten verloren oder versehentlich im Restmüll/Altpapier entsorgt – es kann nicht ausgeschlossen werden, dass diese von unbefugten Dritten gefunden und genutzt werden. … und wenn sie nur bei der großen Tageszeitung mit dem roten Logo abgegeben werden, denn der Finder erkennt, zu welchem Unternehmen diese gehören.
- Ein Server wurde aufgrund von Sicherheitslücken gehackt – Unternehmensdaten werden in großer Menge heruntergeladen und im Internet zum Kauf angeboten.
- Unternehmensdaten wurden durch Schadsoftware verschlüsselt und konnten nicht wieder hergestellt werden. Erst gegen Zahlung einer hohen Geldsumme wird Ihnen eine Entschlüsselung versprochen.
- Persönliche Zugangsdaten von Mitarbeitern wurden “geklaut” und missbräuchlich verwendet, um im Namen des Unternehmens die Personen aus dem Unternehmensadressbuch anzuschreiben.
- Durch eine E-Mail mit vielen Kunden-Adressen im An-Feld kennen alle Kunden eines Unternehmens ihre Mitkunden.
- Daten von Kunden wurden durch einen menschlichen oder technischen Fehler vernichtet oder gelöscht und können nicht wieder beschafft oder wiederhergestellt werden. Die Backups wurden nie getestet und haben in diesem Ernstfall nicht funktioniert.
Als Unternehmen verwenden Sie personenbezogene Daten für eigene Zwecke – also beispielsweise Daten von Kunden, Geschäftspartnern oder Mitarbeitern – oder Sie verarbeiten Daten im Auftrag eines Kunden (Auftragsverarbeitung). In beiden Fällen ist Ihr Unternehmen für einen sicheren, gesetzes- und ggf. vertragskonformen Umgang mit diesen Daten verantwortlich.
Was ist eine Datenpanne (Datenschutzvorfall)?
Ob Datenpanne, Datenschutzvorfall oder Datenschutzverletzung – gemeint ist in der Regel das Gleiche. Daten, für die ein Unternehmen verantwortlich ist, wurden derart beeinträchtigt, dass ein Risiko für die Eigentümer dieser Daten (der Datenschützer spricht von „betroffenen Personen“ oder „Betroffenen“) bestehen könnte.
Aus Sicht der gesetzlichen Vorgaben ist entscheidend, dass es sich um personenbezogene Daten handelt.
„Verletzung des Schutzes personenbezogener Daten“ [ist] eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
Artikel 4 Nr. 12 DS-GVO
Meldepflicht: Sie haben 72 Stunden Zeit
Sobald ein Unternehmen von einem Datenschutzvorfall in seiner Verantwortlichkeit Kenntnis erlangt, stehen 72 Stunden Zeit zur Verfügung. Innerhalb dieser Zeit muss der Vorfall untersucht und bewertet werden, um in bestimmten Fällen noch vor Fristablauf die zuständige Aufsichtsbehörde zu informieren.
Besteht durch den Vorfall voraussichtlich ein Risiko für die betroffenen Personen, muss die zuständige Aufsichtsbehörde informiert werden.
Wie die Risiken für die betroffenen Personen bewertet werden, haben die Aufsichtsbehörden in diesem Kurzpapier beschrieben.
Wie eine Meldung der Aufsichtsbehörde erfolgt, erklären wir in diesem Beitrag.
Weniger als 72 Stunden bei Auftragsverarbeitern
Ist das betroffene Unternehmen ein Auftragsverarbeiter und sind die Daten der Auftraggeber betroffen, dann gilt eine andere Regelung (Art. 33 Abs. 2 DS-GVO).
Auftragsverarbeiter melden eine Datenpanne unverzüglich an ihren Auftraggeber. Genauere Regelung zu den Fristen und zu den W-Fragen (wer, was, wann, wo usw.) sollten im Auftragsverarbeitungsvertrag (AVV) beschrieben sein, die Auftragsverarbeiter und Auftraggeber miteinander abgeschlossen haben.
Der Auftraggeber als „Verantwortlicher“ unterliegt dann der Meldepflicht gegenüber der Aufsichtsbehörde. Allerdings ist es nicht nur von Vorteil, sich hinter dem Auftraggeber vor der Aufsichtsbehörde verstecken zu können. Da der Auftraggeber selbst nur 72 Stunden Zeit hat, wird er dem Auftragsverarbeiter üblicherweise eine wesentlich kürzere Meldefrist in den Vertrag geschrieben haben. Dazu kommt, dass Aufsichtsbehörden sich sehr dafür interessieren, ob eine Datenpanne beim Verantwortlichen oder doch bei einem Auftragsverarbeiter entstanden ist. Bei letzteren besteht natürlich die Gefahr, dass mehr als nur ein Auftraggeber von der Panne betroffen ist.
Viel weniger als 72 Stunden für die ersten Maßnahmen
Sind die Meldepflichten das größte Problem? Das kommt darauf an.
Es wird vom betroffenen Unternehmen erwartet, dass neben der Untersuchung und Bewertung des Vorfalls unverzüglich angemessene Maßnahmen getroffen werden, um die Datenpanne zu beheben. Gegebenenfalls sind weitere Schritte zu veranlassen, um den Schaden für die betroffenen Personen abzumildern (Art. 33 Abs. 3 lit. d) DS-GVO).
Im konkreten Einzelfall ist häufig nicht klar, wie weitreichend die Maßnahmen sein müssen und welchen Aufwand ein Unternehmen zu investieren hat, um die Panne zu beheben und Schäden abzumildern. Manche Datenpannen, wie der unwiederbringliche Verlust von Daten, können möglicherweise gar nicht mehr geheilt werden.
Bei zu großer Unsicherheit kann auch über einen Anruf bei der zuständigen Aufsichtsbehörde nachgedacht werden. Vielleicht mehr nach dem Motto „ich habe da einen guten Freund und dem ist ein Missgeschick passiert …“. Tatsächlich, das funktioniert und es ist sicherlich besser als die Datenpanne als Leiche im Keller zu vergraben.
Benachrichtigung der betroffenen Personen
Neben der Aufsichtsbehörde muss der Verantwortliche auch die betroffenen Personen informieren, wenn voraussichtlich ein hohes Risiko (Risikobewertung) für die Betroffenen besteht. Aber es gibt auch Ausnahmen. Der gesetzliche Rahmen ist in Art. 34 DS-GVO beschrieben.
Besondere Herausforderungen entstehen, wenn nicht genau geklärt werden kann, welche Personen überhaupt von einer Datenpanne betroffen sind. Oder die Menge der Betroffenen ist sehr groß und diese sind nicht ohne weiteres zu erreichen.
Wer kann weiterhelfen?
Schon bei dem Verdacht einer Datenpanne sollte der eigene Datenschutzbeauftragte schnellstmöglich eingebunden werden. Dieser hilft bei der ersten Einschätzung und Risikobewertung, unterstützt bei der Festlegung von Maßnahmen und ruft ggf. bei der Aufsichtsbehörde an.
Gibt es keinen Datenschutzbeauftragten oder benötigt dieser etwas Unterstützung, finden Sie in den hier genannten Beiträgen und externen Quellen weiterführende Informationen.
Bei Bedarf gibt es hier auch Hilfe vom Experten. Und weil es in solchen Fällen eilt, gibt es bei uns eine 24-Stunden-Notfall-Hotline.