Unternehmen sind verpflichtet die Aufsichtsbehörden und unter bestimmten Umständen auch die Betroffenen bei Datenschutzverstößen zu informieren. Um diesen Melde- und Benachrichtigungspflichten im Ernstfall gerecht zu werden, ist eine genaue Sachverhaltsaufklärung und zügiges Handeln des Verantwortlichen gefragt. Wir zeigen Ihnen Beispiele auf und möchten Ihnen Hilfestellung geben, wann tatsächlich ein meldepflichtiger Datenschutzverstoß vorliegt und welches Vorgehen im speziellen Fall geboten ist.
Unterschied zwischen Datenschutzverstoß, Datenpanne und Datenschutzverletzung
Im Falle des heiklen Themas der Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen kursieren mehrere Begrifflichkeiten. So sprechen manche allgemein von Datenschutzverstoß, andere bezeichnen einen Datenschutzvorfall als Datenschutzverletzung oder Datenpanne.
Was ist ein Datenschutzverstoß?
Ein Datenschutzverstoß kann, muss aber nicht immer gleichzeitig auch eine Datenschutzverletzung bedeuten. Der Begriff des Datenschutzverstoßes wird häufig als Art Oberbegriff verwendet und kann grundsätzlich Verletzungen datenschutzrechtlicher Normen der Europäischen Datenschutz-Grundverordnung (DSGVO) oder des Bundesdatenschutzgesetzes (BDSG) erfassen. Je nach Gewicht des Verstoßes kann die Folge eines solchen Verstoßes gegen die geltenden Datenschutzgesetze damit auch eine Straftat (§ 44 BDSG) oder eine Ordnungswidrigkeit (§ 43 BDSG) nach dem BDSG darstellen.
Was ist eine Datenschutzpanne?
Eine Datenpanne, auch bekannt als Datenleck ist ein Ereignis, durch das die Sicherheit von Informationen beeinträchtigt wurde, indem deren Vertraulichkeit, Integrität oder Verfügbarkeit verletzt wurden. Einfach gesagt handelt es sich um einen Vorfall, bei dem eines der folgenden drei Ereignisse eingetreten ist.
Jemand erlangt Kenntnis über Informationen, die er nicht wissen sollte.
Informationen werden ungewollt verändert oder
Informationen sind nicht mehr zugänglich.
Was ist eine Datenschutzverletzung?
Bei einer Datenschutzverletzung handelt es sich im Sinne der Art. 33 und Art. 4 Nr. 12 DSGVO um einen Verstoß, bei welchem eine Verletzung des Schutzes personenbezogener Daten stattgefunden hat. Datenschutzverletzungen sind demnach Verstöße gegen die Datensicherheit und den Datenschutz, bei denen personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt werden. Die Ursachen dafür sind vielfältig und können z.B. in einem Hackerangriff, dem Verlust eines USB-Sticks, dem Diebstahl eines Smartphones oder in einem unbefugten Weitergeben durch Mitarbeiter liegen. Hier ist es gleichgültig, ob dies bewusst oder unbewusst geschieht. Nach Art. 4 Nr. 12 DSGVO können folglich nicht nur vorsätzliche und damit bewusste, sondern auch zufällige Ereignisse mit einbezogen werden.
Was meint „Verletzung des Schutzes personenbezogener Daten“?
Eine Verletzung des Schutzes personenbezogener Daten (auch Datenschutzverletzung oder Datenpanne) ist gemäß Art. 4 Abs. 12 DSGVO als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Mit dieser Definition wird dem Verantwortlichen ein Maßstab zur Beurteilung an die Hand gegeben.
Eine Unbefugte Offenlegung bzw. ein unbefugter Zugang zu personenbezogenen Daten ist anzunehmen, wenn eine hierzu nicht-autorisierte Person Kenntnis oder den Besitz an einem Gerät, auf dem diese personenbezogenen Daten verarbeitet werden, erlangt hat.
Während der Begriff der Vernichtung die endgültige Aufhebung der Zugriffsmöglichkeit für jedermann meint, bleiben die Daten beim bloßen Verlust noch erhalten, jedoch ohne Zugriffsmöglichkeit für den Verantwortlichen. Hier bleiben zwar die Daten erhalten, jedoch können so weder der Verantwortliche oder seine Beschäftigten entweder gar nicht mehr oder zumindest nicht mehr ohne Mitwirkung eines nichtberechtigten Dritten auf die personenbezogenen Daten zugreifen.
Löscht jemand teilweise Daten aus einem bestehenden Datensatz handelt es sich um eine Veränderung und damit eine Beeinträchtigung der Datenintegrität. Hier bleibt zwar ein Zugriff durch den Verantwortlichen und seine Beschäftigten unverändert möglich, jedoch hat sich durch die Löschung der ursprüngliche Datensatz geändert.
Beispiele für Datenschutzverletzungen
Datenschutzverletzungen sind oftmals mit erheblichen Risiken, wie z. B. einer Rufschädigung bis hin zu einem Identitätsdiebstahl für die Betroffenen sowie gravierenden Nachteilen für das Unternehmen verbunden. Aufgrund der hohen Digitalisierung und treten Datenschutzverletzungen mittlerweile fast täglich auf. Das Erscheinungsbild von Datenschutzverletzungen ist vielfältig. Egal ob der Laptop mit Kundendaten im Zug vergessen wurde, eine E-Mail mit vertraulichen personenbezogenen Daten an den falschen Empfänger gesendet wurde oder Ransomware die Kundendaten des Unternehmens verschlüsselt, in all diesen Fällen kann von einer Datenschutzverletzung gesprochen werden. Weitere mögliche Beispiele können sein: das Hacking und der Datendiebstahl, der Verlust von USB-Sticks, Einbrüche in Serverräume oder der Verlust bzw. Zerstörung sonstiger Hardware.
Ob diese Datenschutzverletzungen allerdings auch zu einer Meldepflicht führen, hängt gemäß Art. 33 DSGVO vom Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen ab.
Wann ist der Datenschutzverstoß meldepflichtig?
Die DSGVO verfolgt einen risikobasierten Ansatz. Die Meldung einer Datenpanne durch den Verantwortlichen muss nur erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt. Art. 33 DS-GVO regelt, dass die Meldepflicht entfällt, wenn nur ein geringes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.
Bei der Ermittlung des Risikos spielt neben der Art der betroffenen Daten auch der Umfang eine Rolle (wie viele Daten und wie viele Betroffene involviert sind).
Zur Beurteilung, ob ein Datenschutzverstoß gemeldet werden sollte, ist folglich zunächst eine Risikobeurteilung notwendig. Voraussetzung für die Risikobeurteilung ist in einem ersten Schritt immer eine detaillierte und dokumentierte Beschreibung des eingetretenen Vorfalls. Der konkrete Sachverhalt sollte direkt in einem Formular erfasst werden. Auch wenn die Risikobeurteilung ergibt, dass kein Risiko besteht, ist die Prognoseentscheidung und der zugrundeliegende Sachverhalt für Nachweiszwecke zu dokumentieren.
Wie funktioniert die Risikobeurteilung?
Nach dem Kurzpapier der Aufsichtsbehörden erfolgt die Risikobeurteilung in drei Schritten.
Bestimmung möglicher Schäden In einem ersten Schritt müssen die möglichen Schäden für Betroffene identifiziert werden. Solche durch Datenschutzverletzungen indizierte Schäden können physischer, materieller oder immaterieller Natur sein. In Betracht kommen daher Schäden wie Identitätsdiebstahl oder -betrug, finanzielle Verluste oder eine Rufschädigung. Weitere Beispiele für Schäden werden in Erwägungsgrund 85 dargestellt.
Abschätzung der Eintrittswahrscheinlichkeit und Schwere möglicher Schäden Nachdem einer oder mehrere mögliche Schäden erfasst wurden, ist für diese die jeweilige Eintrittswahrscheinlichkeit und deren Schwere, d.h. das eigentliche Gewicht des Schadens zu bemessen. Ein Gesichtspunkt, der für niedrige Eintrittswahrscheinlichkeit spricht, ist z. B. das eine Mail nur an einen sehr kleinen Kreis von falschen Adressaten geschickt wurde oder ein Datenleck innerhalb kurzer Zeit beseitigt werden konnte. Neben der Dauer des Vorfalls spielen auch die während oder nach dem Vorfall getroffenen Sicherheitsmaßnahmen eine entscheidende Rolle. Außerdem muss bei der Bestimmung der Schwere des Schadens sowohl auf die Art der Daten als auch die Anzahl der betroffenen Personen mit einbezogen werden. Sind viele Personen und/oder besondere Kategorien von Daten betroffen, ist automatisch auch mit einem höheren Schaden zu rechnen. Letztendlich hängt diese Abschätzung jedoch immer vom konkreten Einzelfall ab und kann nicht pauschal anhand von fixen Vorgaben oder Beispielen festgemacht werden.
Zuordnung zur Risikoabstufung Nach den genannten zwei Schritten, folgt die Zuordnung zu einem Risikobereich. Nach der Risikomatrix der DSK kann eine Zuordnung für „geringes Risiko“, „Risiko“ und „hohes Risiko“ erfolgen.
Risikomatrix als Hilfestellung
Im Zweifel kann eine Risikomatrix dem Verantwortlichen bei der Einschätzung der Höhe des Risikos als Hilfswerkzeug dienen. Eine Matrix besteht aus einem grünen Bereich (geringes Risiko), einem gelben Bereich (Risiko) und einem roten Bereich (hohes Risiko). Ist man innerhalb der Matrix im roten Bereich und sind dementsprechend Schwere und Eintrittswahrscheinlichkeit eines Schadens sehr groß, dann liegt auch ein hohes Risiko für den Betroffenen vor. Bei einer Datenschutzverletzung mit hohem Risiko muss eine Meldung an die Aufsichtsbehörde erfolgen und die Betroffenen sind zwingend zu informieren.
Bei einem geringen Risiko kann in Einzelfällen von einer Meldung abgesehen werden, zumindest Betroffene sind hier nicht zu informieren. Schwierig können sich Fälle im gelben Bereich der Matrix gestalten. Hier sollten Sie sich mit Ihrem externen Datenschutzbeauftragten der RKM Data abstimmen, um eine konkrete Beurteilung des Einzelfalls durchzuführen.
Beispiele für Datenschutzverstöße, die in der Regel eine Meldung erfordern
Beispiel 1: Bewerberdaten werden durch einen Cyberangriff entwendet und die Malware wird erst nach einem Monat bemerkt. In dieser Zeit konnten die Angreifer weitere Datenverarbeitungen beobachten. Besondere Kategorien von Daten waren nicht betroffen. Auch wenn hier keine besonderen Kategorien von Daten betroffen waren, enthalten Bewerberinformationen viele und individuelle Informationen über den einzelnen Bewerber. Ein Missbrauch bspw. in Form eines Identitätsdiebstahls begründet hier ein hohes Risiko. Hier wäre eine Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO und auch eine Meldung an die Betroffenen gemäß Art. 34 DSGVO erforderlich.
Beispiel 2: Ein unverschlüsselter Laptop mit Backup-Schutz, welcher personenbezogene Daten von mehr als 100.000 Kunden enthält, wurde gestohlen. Die betroffenen Daten umfassen u. A. Name, Adresse und Geburtsdatum. Auch in diesem Fall wäre wegen der Gefahr des Identitätsdiebstahls, von einem hohen Risiko auszugehen und eine Meldung an die Aufsichtsbehörde und an die Betroffenen sollte erfolgen.
Beispiele für Datenschutzverstöße, die in der Regel keine Meldung erfordern
Beispiel 1: Bereits verschlüsselte Daten werden durch einen Ransomware-Angriff nochmals verschlüsselt. Es erfolgte kein Datenabfluss. Mithilfe eines Backups konnten die Daten schnell und unproblematisch wiederhergestellt werden, wodurch Störungen des anfallenden Unternehmensgeschäfts vermieden werden konnten. Hier kann eine Meldung an die Aufsichtsbehörde und an die Betroffenen unterbleiben. Hätte die Wiederherstellung der Daten jedoch länger als ein paar Stunden gedauert, könnte der Fall bereits wieder anders beurteilt werden.
Beispiel 2: Eine Meldepflicht wurde auch in dem Fall zwei entwendeter Tablets verneint. Diese waren ausgeschalten, durch starke Passwörter und Backups geschützt. Die vorhandenen Daten auf den Tablets konnten außerdem umgehend aus der Ferne gelöscht werden.
Wann müssen Betroffene über eine Datenpanne informiert werden?
Die Betroffenen müssen über eine Datenpanne unterrichtet werden, wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen gegeben ist. Eine Meldung muss dann individuell und unverzüglich erfolgen. Ausnahmen von der Benachrichtigungspflicht sind in Art. 34 Abs. 3 DSGVO abschließend aufgeführt.
Was und wie muss bei einer Datenpanne gemeldet werden?
Die Meldung einer Datenschutzverletzung muss zumindest die folgenden Vorgaben aus Art. 33 Abs. 3 DSGVO enthalten:
Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, Kategorien und Datensätze;
Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
Beschreibung der wahrscheinlichen Folgen der Verletzung;
Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und ggf. Maßnahmen zur Abmilderung.
Nur ausnahmsweise dürfen Informationen, die nicht zur gleichen Zeit bereitgestellt werden können, ohne unangemessene weitere Verzögerung vom Verantwortlichen auch schrittweise nachträglich den Behörden zur Verfügung gestellt werden (siehe hierzu Art. 33 Abs. 4 DSGVO). Eine erste Meldung muss dennoch innerhalb der Meldefrist erfolgen.
Einhaltung der Meldefrist
Gemäß Art. 33 DSGVO sollte ein Datenschutzvorfall unverzüglich oder zumindest binnen einer 72-Stunden- Frist, nachdem dem Verantwortlichen die Verletzung bekannt geworden ist, bei der zuständigen Aufsichtsbehörde gemeldet werden.
Wo wird die Datenpanne gemeldet?
Die Meldung einer Datenpanne muss an die – je nach Bundesland - zuständige Aufsichtsbehörde erfolgen. Die meisten Aufsichtsbehörden bieten bereits für die Meldung einer Datenpanne ein praktisches Online-Formular zum direkten Ausfüllen und Absenden auf der jeweiligen Internetseite an.
Wer nimmt die Meldung einer Datenpanne vor?
Bei Datenschutzvorfällen muss immer der Verantwortliche die Meldung übernehmen, egal ob die Datenschutzverletzung bei ihm oder einem evtl. eingesetzten Auftragsverarbeiter erfolgte. Auftragsverarbeiter melden demnach nicht selbst gegenüber der Aufsichtsbehörde, sondern melden einen Datenschutzvorfall unverzüglich dem Verantwortlichen. Allein dem Verantwortlichen obliegt dann die Entscheidung, ob er eine Meldung gegenüber der Aufsichtsbehörde vornimmt.
Im Ernstfall richtig reagieren
Ohne Zweifel ist ein Datenschutzvorfall ärgerlich und mit gewissem Aufwand und Stress verbunden. Dennoch kann ein Datenschutzvorfall jederzeit unerwartet auftreten. Mit einem etablierten Prozess für den Umgang mit Datenschutzvorfällen, dem entsprechenden Know-how zum Thema und der Unterstützung von uns als Ihren externen Datenschutzbeauftragten ist der Verantwortliche jedoch auch in schwierigen Fällen gut gewappnet. Hierdurch können auch unnötige Fehler, wie z. B. die Fristversäumnis vermieden werden.
Checkliste: Optimales Vorgehen beim Bekanntwerden einer Datenschutzverletzung
Im Ernstfall sollten bei der Reaktion auf einen Datenschutzvorfall keine wichtigen Schritte vergessen werden.
Daher sollte bereits im Vorfeld im Unternehmen ein etablierter Prozess und Maßnahmenplan vorhanden sein. Dies wendet meist größeren Schäden ab und spart kostbare Zeit.
Folgende Checkliste dient als Anhaltspunkt für eine angemessene Reaktion nach Bekanntwerden einer Datenschutzverletzung:
Schnelle Kenntniserlangung eines eingetretenen Datenschutzvorfalls und Sachverhaltsaufklärung durch betroffene Mitarbeiter (Datenpanne auslösende Person, internen Datenschutzkoordinator).
Frühzeitige Einbindung des externen Datenschutzbeauftragten (empfiehlt ggf. weitere Maßnahmen).
Prüfung der Ursache für Datenschutzvorfall und Ergreifen von Maßnahmen zur Abwendung oder Eindämmung.
Dokumentation des Sachverhalts (möglichst genau geschildert, inkl. Datum, Zeit, Ablauf) und ggf. beifügen der betroffenen Dokumente.
Durchführung einer Risikobeurteilung und Entscheidung des Verantwortlichen, ob eine Meldung an die Aufsichtsbehörde erfolgen muss. Sofern von einer Meldung abgesehen wird, sind die Gründe einschließlich einer dokumentierten Risikoabwägung als Nachweispflicht schriftlich festzuhalten.
Ggf. Meldung des Datenschutzvorfalls bei der zuständigen Aufsichtsbehörde und Information des Betroffenen, sofern ein hohes Risiko besteht.
Schadensbeseitigung -Analyse des Vorfalls- evtl. Verbesserungen des bisherigen Prozesses umsetzen.
Sämtliche Unterlagen zur Sicherung der Nachweispflicht aufbewahren.
Sollten Sie Fragen haben oder Unterstützung bei der Umsetzung benötigen, stehen wir Ihnen jederzeit zur Verfügung.
Ihr Team der RKM Data
Comments