Was kann passieren, wenn ein Unternehmen eine Datenpanne nicht meldet?

Eine Datenpanne kann schnell passieren – entweder durch menschliches Versagen oder aber durch Hacker, Ransomware oder Malware. Besonders wichtig ist dabei, sich als Unternehmen korrekt zu verhalten, wenn man einen Imageverlust und hohe Geldstrafen vermeiden möchte.

Wir zeigen Ihnen in unserem Beitrag, wie man eine relevante Datenpanne definiert, welche Maßnahmen erforderlich sind, welche Strafen bei Nichtbeachtung drohen und wie man sich vor einem Datenschutzvorfall schützen kann.

Wie definiert man eine Datenpanne – Datenschutzvorfall?

Ein Verlust von Daten muss nicht immer gleich auch ein Datenschutzvorfall im Sinne der DSGVO oder anderer Gesetze sein, der meldepflichtig ist. Es gibt eine klare Definition dessen, was das Gesetz unter einer Datenpanne versteht.

In Art. 4, Abs. 12 der DSGVO heißt es: „Die Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Selbstverständlich sollten alle Formen von Datenpannen weitestgehend vermieden werden, jedoch ist es bei den DSGVO-relevanten Fällen besonders wichtig, richtig zu reagieren.

Was sieht die DSGVO im Falle einer Datenpanne vor?

In der DSGVO ist sehr genau geregelt, was im Falle einer Datenpanne von den Verantwortlichen zu unternehmen ist. Art. 33 macht hierzu klare Vorgaben.

Meldung bei Aufsichtsbehörden

Führt die Verletzung des Datenschutzes voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen, muss diese innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Eine verspätete Meldung ist nachhaltig zu begründen.

Dokumentation des Vorfalls

Der Verantwortliche muss die Verletzung des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten genau dokumentieren. Hierbei wird der Datenschutzvorfall an sich als auch seine Auswirkungen und die ergriffenen Abhilfemaßnahmen schriftlich festgehalten.

Meldung bei Betroffenen

Art. 34 der DSGVO regelt zudem die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person. Ist es hierbei zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen gekommen, so ist die betroffene Person unverzüglich durch den Verantwortlichen von der Verletzung in Kenntnis zu setzen.

Die Benachrichtigung über das Datenleck muss in klarer und einfacher Sprache die Art der Verletzung erklären und darstellen. Ebenso müssen die ergriffenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen angezeigt werden.

Laut Verordnung muss eine Benachrichtigung der Betroffenen nicht erfolgen, wenn:

• geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, um die Daten bestmöglich zu schützen, wie durch Verschlüsselung,
• durch entsprechende Maßnahmen sichergestellt wurde, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
• die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre. Alternativ hierzu muss dann eine öffentliche Bekanntmachung erfolgen.

[Den genauen Wortlaut entnehmen Sie bitte der Verordnung. Unser Beitrag stellt keine Rechtsberatung dar und alle Angaben sind grundsätzlich ohne Gewähr.]

Mit welchen Strafen ist zu rechnen, wenn ein Unternehmen eine Datenpanne nicht meldet?

Die Strafen, wenn eine Datenschutzpanne nicht gemeldet oder ausreichend dokumentiert wird, sind beachtlich. Bei Verstößen gegen die DSGVO können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens (je nachdem welche Zahl höher ist) ausgesprochen werden.

Datenpanne – Was nun?

Sollte es bei Ihnen im Unternehmen zu einer Datenpanne kommen, empfiehlt sich ein 3-stufiges Vorgehen:

1. Durchführen einer Risikoanalyse
2. Dokumentation und Meldepflichten prüfen und erfüllen
3. Mitarbeiter schulen

Nachdem ein Datenschutzvorfall intern bekannt wurde, gilt es die möglichen Risiken zu analysieren und zu bemessen. Wie ist die Datenpanne entstanden, zu welchen Schäden ist es konkret gekommen und wie kann das Datenleck gestopft werden? Ist der vorliegende Fall meldepflichtig?

Nach der Analyse sollte (muss) der Vorfall detailliert protokolliert werden. Im Falle eines hohen Risikos für die persönlichen Daten und einer Meldepflicht muss die Dokumentation alle relevanten Daten enthalten und die Behörden innerhalb von 72 Stunden informiert werden. In den zuvor genannten Fällen sind zudem die betroffenen Personen zu informieren.

Zu den relevanten Daten gehören unter anderem eine Beschreibung der Art der Verletzung mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen. Des Weiteren die ungefähre Zahl der betroffenen personenbezogenen Datensätze, eine Beschreibung der wahrscheinlichen Folgen der Verletzung und eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung.

Wann ist ein Datenschutzvorfall eine meldepflichtige Datenpanne nach DSGVO?

Jeder Fall ist anders und die Entscheidung über eine Meldung des Vorfalls muss sehr individuell im Einzelfall entschieden werden. Hier zwei Beispiele, um Ihnen einen besseren Eindruck zu vermitteln:

Fall 1: Verlust eines verschlüsselten Datenträgers

Angenommen, ein Außendienstmitarbeiter verliert unterwegs einen USB-Stick mit persönlichen Kundendaten. Der Datenträger ist jedoch verschlüsselt und kann unter normalen Umständen nicht ausgelesen werden. Hier ist weder eine Meldung an die Behörden noch an die Betroffenen notwendig.

Fall 2: Die Kundendatenbank eines Onlineshops wird gehackt

Hackern gelingt es, an die persönlichen Kundendaten eines Onlineshops zu gelangen. Sie erbeuten Name, Geburtsdatum, Adresse, Nutzernamen und Passwort aller Kunden. Dieser Vorfall ist sowohl gegenüber den Behörden, als auch gegenüber den Betroffenen anzuzeigen.

Ab wann kann ein Datenschutzbeauftragter helfen?

Jedes Unternehmen, das mit personenbezogenen Daten arbeitet, benötigt eine verantwortliche Person. In größeren Unternehmen ist dies ein eigens abgestellter Datenschutzbeauftragter. Dieser kümmert sich sowohl um die Schulung der Mitarbeiter, die mit sensiblen Daten umgehen, als auch um die Risikoanalyse bei Datenverlusten, die Einhaltung aller sicherheitsrelevanten Maßnahmen, die Dokumentation einer Datenpanne und eine mögliche Meldung einer Datenschutzpanne bei den Behörden.

Sobald ein Unternehmen mit einer großen Anzahl von Kundendaten arbeitet, ist ein Datenschutzbeauftragter sinnvoll, um sowohl Schaden von den Kunden, als auch vom Unternehmen – Stichwort: Bußgelder – abzuwenden.

Fazit – Wie kann man Datenpannen vorbeugen

Datenpannen können niemals zu 100 % vermieden werden. Man kann jedoch einiges tun, um mögliche Datenschutzvorfälle auf ein Minimum zu reduzieren, einzudämmen oder abzuschwächen. Eine dieser Möglichkeiten sind sichere Passwörter. Compliance gerechte Passwörter und komplexe Erstellregelungen helfen dabei, Ihre Daten deutlich sicherer zu machen. Auch bestehende Anwendungen und Webseiten können auf ihre Passwortsicherheit hin gescannt werden, um mögliche Risiken zu identifizieren.

Gut geschulte Mitarbeiter, eine stringente Passwortpolitik, Verschlüsselungen, ein/e up-to-date Firewall und Virenschutz können in der richtigen Kombination weitestgehend Datenpannen vorbeugen. Specops unterstützt Sie dabei bestmöglich und schafft die richtige Basis. Nehmen Sie gerne Kontakt mit uns auf und erfahren Sie mehr über die Möglichkeiten.