Datenschutzvorfall – Was nun?
Fehler passieren, das gilt auch für den Datenschutz. Die Frage ist nur, wie gehen wir damit um?
War es vor der DSGVO eher eine Besonderheit, dass Datenschutzvorfälle gemeldet wurden, ist es mit der DSGVO keine Seltenheit. Dies liegt nicht an der DSGVO, da es ähnliche nationale Regelungen vorher schon gab. Nur hat die DSGVO für eine weitaus höhere Sensibilität gesorgt, sodass sich auch die Fehlerkultur dahingehend geändert hat und mit diesen offener umgegangen wird.
Beispiele für Datenschutzvorfälle sind:
- Falsch versendete E-Mails
- Verlust von Speichermedien (USB-Stickt, Smartphone, Laptop, Festplatten etc.)
- Fehlerhafte Berechtigungen auf Daten, sodass diese von Unbefugten eingesehen, verändert oder gelöscht werden können
- Fehlkonfiguration von Softwaresystemen, sodass Daten veröffentlicht wurden, nicht mehr vorhanden sind oder fehlerhaft gespeichert bzw. verändert wurden
- Falsches Verwenden von Daten entgegen den vorgesehenen Zwecken, Verträgen oder Einwilligungen
- Erfolgreiche Hackerangriffe
- Malware, die Daten verschlüsselt, an Unbefugte ausleitet oder Sicherheitslücken für Hacker einrichtet
- Missbrauch von Daten zur persönlichen Bereicherung oder aus Neugier
Was ist zu tun, wenn ich einen Datenschutzvorfall erkenne?
1. Bitte bewahren Sie Ruhe! Es hilft nicht überstürzt zu handeln, sondern auch hier überlegt vorzugehen.
Ich hatte es schon, dass eine Betroffene, die ein ungewöhnliches Verhalten ihres PCs festgestellt hatte, vor lauter Aufregung ihr Netzwerkkabel aus der Wand gerissen hat. Die Internetverbindung zu kappen ist zwar eine logische Maßnahme, um die Vertraulichkeit von Daten zu wahren. Jedoch darf auch die Netzwerkdose dabei in der Wand bleiben. Zudem sollte man bedenken, dass Laptops auch eine WLAN-Verbindung haben können!
2. Überprüfen Sie, ob Sie Möglichkeiten haben, sofort und schnelle Maßnahmen zum Schutz der Daten umzusetzen.
Hierbei geht es nicht darum, dass sie den gesamten Vorgang analysieren und weitreichende Maßnahmen treffen. Sondern dass Sie Maßnahmen ergreifen, die sich in kurzer Zeit umsetzen lassen, um weitere Schäden zu verhindern. Dies sollten nicht länger als 5 bis 10 Minuten dauern. Beispielsweise
- E-Mailrückruf durchführen, sollten Sie eine Mail intern falsch versendet haben. Oder rufen sie die Person an, bevor sie die Datei öffnet, und lassen sie diese löschen.
- Bei ungewöhnlichem Verhalten Ihres PCs sollten Sie einen Hard-Shutdown durchführen, indem Sie lange auf den Einschaltknopf drücken bis der PC ausgeht.
- Führen Sie einen Passwortwechsel durch, insbesondere wenn es sich um Online-Anwendungen handelt.
3. Informieren Sie unverzüglich die für den Vorfall zuständigen Personen oder Incident-Teams. Ebenso sollten Sie ihren Vorgesetzten über den Vorfall informieren.
Idealerweise haben Unternehmen definierte Personen oder Teams, die sich um Datenschutzvorfälle kümmern. Im Normalfall gehört der Datenschutzbeauftragte immer dazu. Sollten Sie einmal nicht wissen, wen oder wie Sie die Notfall-Teams kontaktieren können, melden Sie sich beim zuständigen Datenschutzbeauftragten Ihres Unternehmens.
In der Information sollten Sie insbesondere aufnehmen:
- Was ist passiert?
- Wann ist das passiert?
- Wo ist das passiert?
- Wann ist Ihnen das aufgefallen (Tag und Uhrzeit)?
- Was haben Sie bisher unternommen?
- Wer sind Sie?
- Wie kann man Sie erreichen?
Ab hier sollte dann das Notfallteam die weiteren Maßnahmen übernehmen. Bitte halten Sie sich aber für Rückfragen oder notwendige weitere Tätigkeiten bereit.
Wichtig: Die Meldungen sollten so schnell wie möglich erfolgen. Idealerweise innerhalb 1 Stunde nach dem Sie den Vorfall erkannt haben. Warten Sie nicht bis zum nächsten Arbeitstag!
4. Das Notfallteam sollte weitere Maßnahmen planen, um weitere Schäden zu verhindern.
Das Notfallteam besteht normalerweise aus Experten des Unternehmens, welche sich mit den Vorgängen genau auskennen und die rechtlichen Anforderungen kennen. Sie können entscheiden, welche nächsten Schritte einzuleiten sind, wie bspw.:
- Sperren von Zugängen
- Sperren des Internetverkehrs
- Herunterfahren von Servern und Systemen
- Zwangsverpflichtung zum Passwortwechsel
- Durchführen von Updates
- Durchführen von Malware-Scans
- Fernlöschen von verlorenen Geräten
- Administratives Eingreifen in die Datenverarbeitung (Berichtigen, Löschen etc.)
- Wiederherstellen von Daten
5. Analysieren Sie den Vorfall
Mit der Analyse sollen unterschiedlichste Fragen geklärt werden:
- Wie ist der Vorfall zustande gekommen?
Dies soll dazu dienen, aufzuklären, woher der Vorfall kommt und unter Berücksichtigung von Punkt 4, ob ausreichend Maßnahmen getroffen wurden. Insbesondere bei Hackerangriffen oder Malware empfiehlt es sich, auch eine IT-Forensik durchzuführen. - Was für Auswirkungen hatte der Vorfall?
Auch hier wird das Ziel verfolgt, die Vollständigkeit der getroffenen Maßnahmen und die Sicht auf alle möglichen Schäden zu berücksichtigen. - Was und wieviel Personen sind durch den Vorfall betroffen?
- Was für Daten sind durch den Vorfall betroffen?
- Wie kann der Vorfall zukünftig verhindert werden?
6. Schätze Sie die Risiken für die betroffenen Personen ein. Was für Schäden können durch den Vorfall für die betroffenen Personen eintreten? Wie hoch ist die Wahrscheinlichkeit, dass der Schaden eintritt?
Wichtig hierbei ist, dass nicht die Risiken des Unternehmens zu bewerten sind, bei dem der Vorfall entstanden ist, sondern die Risiken für die betroffenen Personen. Zudem ist zu berücksichtigen, dass es hier um die Verletzung eines individuellen Persönlichkeitsrechtes geht. Bei der Wahrscheinlichkeit ist nicht zu bewerten, ob es einen aus 100 Betroffenen trifft, sondern die Wahrscheinlichkeit, dass es bei irgendeinem der Betroffenen zu einem Schaden kommt.
Insbesondere sollten Schäden berücksichtigt werden wie:
- Identitätsdiebstahl
- Finanzielle Risiken
- Mobbing, Belästigung oder Diskriminierung
- Existenzbedrohungen
- Imageschäden
- Verlust des Arbeitsplatzes oder der Wohnung
- …
Die Erkenntnisse aus der Analyse und der Risikobewertung sollte das Notfallteam zum Erfüllen der Nachweispflichten dokumentieren.
7. Sollten sie als Auftragnehmer die betroffenen Daten verarbeiten, ist über den Vorfall der Auftraggeber zu informieren.
Nach Art. 33 DSGVO hat der Verantwortliche einer Datenverarbeitung die Risiken einzuschätzen und ggf. Meldungen an die Aufsichtsbehörden oder die Betroffenen vorzunehmen. Dies obliegt nicht einem Auftragnehmer. Der Auftragnehmer hat hierbei jedoch mitzuwirken und alle erforderlichen Informationen bereitzustellen.
In der DSGVO ist nicht definiert, bis wann eine Information durch den Auftragnehmer erfolgen muss, nur das es unverzüglich zu erfolgen hat. Daher ist es vielen Auftraggebern wichtig, genaue Fristen in den Verträgen zu definieren. Erfahrungsgemäß reichen diese von 72 Stunden bis 24 Stunden. Das bedeutet, die Punkte 2 bis 7 müssen innerhalb dieser Fristen umgesetzt werden. Ein Grund, warum bei einem Datenschutzvorfall ein erheblicher Ressourcenaufwand erforderlich wird, um in den Zeiten alle Aufgaben erledigen zu können.
8. Bestehen Risiken für die Betroffenen, ist die zuständige Aufsichtsbehörde innerhalb von 72 Stunden über den Vorfall zu informieren.
Eine Information kann nur entfallen, wenn der Vorfall „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Können Sie also nicht ausschließen, dass es für die Betroffenen zu einem Schaden kommt, müssen sie die Aufsichtsbehörden über den Vorfall informieren. Hierfür stellen die zuständigen Behörden gesicherte Webformulare bereit, damit die Information auch innerhalb der Frist erfolgen kann.
9. Besteht ein hohes Risiko für die Betroffenen, sind die Betroffenen selbst über den Vorfall zu informieren.
Auch hier (Art. 34 DSGVO) gibt es keine genauen Vorgaben, bis wann die Information zu erfolgen hat. Auch hier wird nur unverzügliches Handeln verlangt. Da die 72 Stunden zur Information der Aufsichtsbehörden schon knapp bemessen sind, ist man sich weitgehend einig, dass eine Information der Betroffenen nach der Information der Aufsichtsbehörde erfolgen kann.
Vorausgesetzt wird hierfür jedoch, dass eine Verzögerung der Information zu keinen weiteren Schäden der Betroffenen führt. Wird bspw. Betroffenen ein Passwortwechsel nach einem erfolgreichen Hackerangriff empfohlen, um auszuschließen, dass Hacker die Zugängen weiter missbrauchen, sollte die Information der Betroffenen vorher erfolgen.
Die Information der Betroffenen hat zu enthalten
- Eine Beschreibung des Vorfalls
- Name und Kontaktdaten des Datenschutzbeauftragten
- Eine Beschreibung der wahrscheinlichen Folgen des Vorfalls
- Eine Beschreibung der ergriffenen Maßnahmen und Empfehlungen für Betroffene, wie sie sich schützen können.
Was ist der Unterschied zwischen einer Datenpanne oder einem Datenschutzvorfall?
Egal ob Incident, Emergency, Datenschutzvorfall, Datenpanne, Datenschutzverletzung oder personal data breach, meist wird in allen Fällen im Bereich des Datenschutzes dasselbe darunter verstanden: Ein Vorgang im Sinne des Art. 33 und 34 DSGVO, der zu einem nicht ordnungsgemäßen Umgang mit personenbezogenen Daten geführt hat. Da es sehr unterschiedliche Verständnisse gibt, was eine Panne, ein Vorfall oder eine Verletzung ist, haben sich unterschiedliche Begriffe etabliert. Insbesondere in Unternehmen werden meist unterschiedliche Begriffe genutzt, um Abgrenzungen vorzunehmen, umso beispielsweise IT-Vorfälle von Datenschutzvorfällen zu trennen.
Autor: Michael Konitzer
Bildquelle: Andrey_Popov; Vyacheslavikus / shutterstock.com
Zuletzt geändert: 08.08.2022