Datenpannen

von (Kommentare: 0)

Datenpannen passieren weit öfter, als man denkt. Nicht nur ein Datendiebstahl durch Fremde oder ein Hacker-Angriff von außen zählt als Datenpanne bzw. Datenschutzverstoß. Eine Datenpanne bedeutet immer die Verletzung des Schutzes von personenbezogenen Daten.

Kurz zur Erläuterung: personenbezogene Daten sind all jene Daten, durch die ein Mensch identifiziert werden kann. Diese Daten reichen von offensichtlich zuordenbaren Daten, wie z. B. Name, Adresse, Telefonnummer, bis hin zu etwas versteckteren Informationen, die ggfs. in Summe einen Rückschluss auf eine Person ermöglichen, wie z. B. IP-Adresse, Kontodaten oder Gesundheitsmerkmale.

Was ist eine Datenpanne?

Doch wann liegt, nach Definition der Behörden, überhaupt eine Datenpanne vor?

Die Behörden definieren gem. Art. 4 Abs. 12 DSGVO eine Datenschutzverletzung wie folgt:

„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Also immer, wenn personenbezogene Daten - beabsichtigt oder unbeabsichtigt:

  • veröffentlicht werden
  • verloren gehen
  • gestohlen werden
  • vernichtet werden
  • verändert werden
  • Unbefugten zugänglich sind (durch Einsichtnahme, Übermittelung, Speicherung oder eine sonstige Verarbeitung)

Zudem lassen sich Datenschutzverletzungen, lt. Stellungnahme vom 03/2014 der Artikel-29-Datenschutzgruppe, nach den folgenden drei bekannten Grundsätzen der Informationssicherheit unterteilen:

  • „Verletzung der Vertraulichkeit“ – die unbefugte oder unbeabsichtigte Preisgabe von oder Einsichtnahme in personenbezogene Daten
  • „Verletzung der Integrität“ – die unbefugte oder unbeabsichtigte Änderung personenbezogener Daten
  • „Verletzung der Verfügbarkeit“ – der unbefugte oder unbeabsichtigte Verlust des Zugangs zu personenbezogenen Daten oder die unbeabsichtigte oder unrechtmäßige Vernichtung personenbezogener Daten

Beispiele für Datenpannen

Bereits vor einem Jahr berichtete der LfDI Baden-Württemberg (Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit), dass sich seit Einführung der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 die Meldungen von Datenpannen gem. Art. 33 DSGVO verzehnfacht haben.

Die häufigsten Pannen, die seither in Baden-Württemberg gemeldet wurden:

  1. Postfehlversand
  2. Hacker-Angriffe/Malware/Trojaner
  3. E-Mail-Fehlversand
  4. Diebstahl eines Datenträgers
  5. Versendung einer E-Mail mit offenem Adressverteiler
  6. Verlust eines Datenträgers (z. B. Notebook, Smartphone, Tablet, USB-Stick)
  7. Fax-Fehlversand

Auch haben die Vorfälle in Arztpraxen zugenommen. Hier sind es vor allem Verschlüsselungstrojaner, die große Herausforderungen mit sich bringen. „Ein häufiges Versehen ist es auch, Patientenberichte, Rezepte oder Röntgenbilder an die falschen Empfänger zu übermitteln,“ so der LfDI. Dieses „Versehen“ ist besonders heikel, da es sich bei Patientendaten immer um sensible personenbezogene Daten im Sinne des Art. 9 DSGVO handelt, die besonders zu schützen sind. Gerade bei Daten von Kindern und Jugendlichen, sowie bei besonders schützenswerten Daten (Gesundheitsdaten, Angaben zu Region, Partei, usw.) ist eine besondere Sorgfaltspflicht erforderlich. Diese lässt sich sowohl mit Hilfe von technisch-organisatorischen Maßnahmen (TOM) gem. Art. 32 DSGVO i. V. m. § 64 BDSG umsetzen, als auch durch eine regelmäßige Sensibilisierung der Mitarbeiter zum sorgsamen Umgang mit personenbezogenen Daten.

Ist jeder Datenschutzverstoß meldepflichtig?

Nein. Ein Datenschutzverstoß ist immer dann meldepflichtig,

sobald ein Risiko für die Rechte und Freiheiten der betroffenen Person vorliegt

(Art. 33 Abs. 1 und 2 DSGVO).

In den meisten meldepflichtigen Fällen ist auch immer der Betroffene unverzüglich über den Vorfall zu informieren.

Ob ein Risiko für die Rechte und Freiheiten der betroffenen Person vorliegt, ist jedoch nicht immer leicht oder auf den ersten Blick zu beurteilen und gut abzuwägen. Aus diesem Grund empfehlen wir bei Datenpannen grundsätzlich, schnellstmöglich den zuständigen Datenschutzbeauftragten mit ins Boot zu holen. Dieser unterstützt Sie bei der Entscheidungsfindung und hilft bei der Risikoanalyse.

Liegt eine Datenpanne im Bereich der besonders schützenswerten personenbezogenen Daten gem. Art. 9 DSGVO vor, ist diese immer der Behörde zu melden und den Betroffenen zu informieren.

Bei Datenpannen ist vor allem wichtig, dass Sie als Verantwortlicher, nach Entdeckung des Datenschutzverstoßes, bei einem meldepflichtigen Verstoß nur 72 Stunden Zeit haben, diesen bei der Behörde zu melden.

Auch ist es wichtig zu wissen, dass die Behörden der Bundesländer unterschiedliche Meinungen zur Meldepflicht vertreten und die gesetzlichen Vorgaben verschieden auslegen. Dies bedeutet im Umkehrschluss auch: was in einem Bundesland nicht als meldepflichtig angesehen wird, kann in einem anderen Bundesland, bei einer Nichtmeldung, sehr teuer werden.

Baden-Württemberg ist bekannt für seine sehr strenge Auslegung. Nicht umsonst ist die Versendung einer E-Mail mit offenem Adressverteiler auf Rang 5 in der Liste der meistgemeldeten Verstöße.

Meldung bei der Behörde

Liegt bei Ihnen eine Datenpanne oder ein Datenschutzverstoß vor, sollten Sie im ersten Schritt, sofern es Ihnen möglich ist, Gegenmaßnahmen einleiten (z. B. bei Entdeckung, dass ein Verschlüsselungstrojaner aktiv geworden ist, das System umgehend stoppen). Im nächsten Schritt sollten Sie mit dem zuständigen Ansprechpartner im Haus sprechen und vor der Meldung der Datenpanne mit Ihrem Datenschutzbeauftragten sprechen. Dieser kann Sie am besten in der Vorbereitung für die Meldung bei der Behörde unterstützen.

Da das Zeitfenster für Meldungen mit 72 Stunden sehr knapp bemessen ist und die Zeit „ab Entdeckung läuft“ (Kenntnisnahme), bieten die Behörden die Möglichkeit, einen Datenschutzverstoß online zu melden. Hierdurch wird auch gewährleistet, dass Datenschutzverstöße am Wochenende oder an Feiertagen rechtzeitig bei der Behörde eingehen können.

Auch der der LfDI Baden-Württemberg hat hierfür ein Meldeformular auf seiner Webseite. Bei diesem Formular ist zu beachten, dass Sie von den eingetragenen Daten im Bogen auf der Webseite einen Screenshot der Seite anfertigen, wenn Sie die Meldung dokumentieren möchten, was sehr zu empfehlen ist. Denn Sie erhalten seitens der Behörde mit dem Klick auf den Senden-Button nur eine automatische E-Mail mit Ihrer Fall-Nummer und dem Hinweis, dass Ihre Meldung eingegangen ist. Die Inhalte Ihrer Angaben werden nicht erneut aufgeführt.

Zudem ist es wichtig, dass Sie als Verantwortlicher immer selbst melden, da diese Aufgabe in Ihren Verantwortungsbereich fallen und die Behörden es nicht gerne sehen, wenn dies jemand externes (z. B. Ihr externer Datenschutzbeauftragter) für Sie übernimmt. Lassen Sie sich von Ihrem Datenschutzbeauftragen unbedingt unterstützen, aber übernehmen Sie Verantwortung bei der Meldung - es ist Ihr Unternehmen.

Wie hoch sind die Bußgelder?

Bei Verstößen sieht die EU-Datenschutzgrundverordnung Bußgelder in Höhe von bis zu 20 Mio. Euro oder - bei Unternehmen - bis zu 4% des weltweiten Vorjahresumsatzes (je nachdem was höher ist). Bei den Bußgeldern oder auch Sanktionen müssen nicht damit rechnen, dass Sie automatisch die genannte Summe "aufgebrummt" bekommen. Jedoch müssen die Bußgelder, die seitens der Behörden verhängt werden, im Einzelfall wirksam, verhältnismäßig und abschreckend sein.

Unabhängig der Behörde können Sie in Deutschland bei einer Sache sicher sein: ein meldepflichtiger Datenschutzverstoß, der nicht bei der Behörde gemeldet wird, wird immer teurer, als ein sofort gemeldeter Verstoß oder ein Verstoß, der gemeldet wird und nicht meldepflichtig war. Ebenso verhält es sich bei einem vorsätzlichen Verstoß oder wenn Sie versäumen, Maßnahmen zu Minderung des Schadens zu ergreifen.

Zieht jede Meldung ein Bußgeld nach sich?

Auch hier ein klares: Nein. Letztlich entscheidet die zuständige Behörde, ob der Datenschutzverstoß zu einem Bußgeld führt und woran dieser bemessen wird.

Es ist nur keine gute Idee, aus Angst vor einem Bußgeld, eine Datenpanne zu verheimlichen. Dies versuchte das US-Mitfahrzentrale Uber Technologies, Inc. nach einem Hackerangriff. Bei diesem Angriff wurden bereits 2016 die persönlichen Daten von etwa 57 Millionen Kunden und Fahrern gestohlen (Namen, E-Mail-Adressen, Handynummern sowie Informationen aus Führerscheinen). Das Unternehmen bezahlte lieber den Hackern das Erpressungsgeld als die Behörden zu Informieren. Final einigten sich die Behörden und Uber auf einen Vergleich in Höhe von 126 Mio. Euro. Zwar handelt es sich bei diesem Beispiel um eine Strafe der US-Behörden, doch auch das US-Gesetz verlangt von Unternehmen, dass sie die Behörden unmittelbar informieren müssen, wenn empfindliche Informationen gestohlen werden.

Etwas glimpflicher kam das Baden-Württembergische Social-Media Netzwerk „Knuddels“ (Knuddels GmbH & Co. KG) davon. Auch hier lag zuvor ein Hackerangriff vor, bei dem im Internet rund 808.000 E-Mail-Adressen sowie 1.872.000 Pseudonyme und Passwörter veröffentlicht wurden. Dem Unternehmen kam zugute, dass der Vorfall umgehend bei der Behörde gemeldet wurde und die Karlsruher Firma uneingeschränkt mit dieser zusammenarbeitete. Hierdurch lag die Strafe für die Datenpanne bei 20.000, - Euro.

Im Bericht des LfDI vom 31. Juli 2019 war zu lesen, dass aufgrund fehlerhaften Umgangs mit Daten bislang von der Bußgeldstelle des LfDI Bußgelder in Höhe von 207.140 Euro verhängt wurden. Zu diesem Zeitpunkt lagen die beiden höchsten Bußgeldbescheide bei einer Höhe von jeweils 80.000, - Euro. Auch hier handelte es sich in beiden Fällen um Datenpannen, so der Landesbeauftragte, Dr. Stefan Brink: „In einem Fall wurden bei einer digitalen Publikation aufgrund unzureichender interner Kontrollmechanismen versehentlich Gesundheitsdaten veröffentlicht. In einem weiteren Fall hatte ein Unternehmen aus der Finanzwirtschaft personenbezogene Daten unsachgemäß entsorgt.“

Doch zwischenzeitlich ist ein Jahr vergangen und der LfDI berichtete am 25.06.2020, dass gegen die AOK Baden-Württemberg eine Geldbuße von 1.240.000, - Euro verhängt wurden, da die Einwilligungen zu Werbezwecken nicht ausreichend waren. Hierdurch wurden von mehr als 500 Gewinnspielteilnehmern personenbezogene Daten für Werbezwecke verwendet, ohne dass eine korrekte Einwilligung vorlag.

Was tun als Mitarbeiter?

Als Mitarbeiter eines Unternehmens sollten Sie in regelmäßigen Abständen zum Thema Datenschutz sensibilisiert werden, sodass Ihnen nicht nur bewusst ist, was personenbezogene Daten sind, sondern auch, wie Sie im Falle einer Datenpanne handeln sollten. Oftmals gibt es im Unternehmen hierfür einen Ansprechpartner. Je nach Größe des Unternehmens ist dies die Geschäftsführung, der Datenschutzkoordinator im Unternehmen oder der zuständige interne/externe Datenschutzbeauftragte, der alle weiteren Schritte unternimmt.

Sobald Sie als Mitarbeiter z. B. merken, dass Sie versehentlich einen Anhang geöffnet haben, der einen Trojaner oder Virus enthält, sollten Sie Ihr Gerät vom Netzwerk trennen oder es herunterfahren. Eine „seltsame“ E-Mail erkennt man oftmals anhand von falschen Absendern in der E-Mail-Adresse, vielen Tippfehlern, falscher Umlaute oder am Fehlen einer Signatur des Absenders. Anhänge, in denen sich Viren und Trojaner finden lassen, sind meist Zip-Dateien oder Word- bzw. Excel-Dateien. Sind Sie sich nicht sicher, ob der Anhang wirklich „echt“ und für Sie bestimmt ist, weil Sie ihn nicht erwarten oder Sie bzgl. des Absenders unsicher sind, rufen Sie diesen kurz an und fragen nach.

Aber auch der Versand von Mailings mit offenen E-Mail-Verteiler, bei dem die Adressen der Kunden im CC (Carbon Copy) statt im BCC (Blind Carbon Copy) landen, sind keine Seltenheit (Platz 5 in obiger Rangliste). Passiert Ihnen dieser Fehler, sollten Sie nicht warten, bis einer der Empfänger Sie auf den Fehler aufmerksam macht, sondern sofort handeln. Auch den Kopf in den Sand stecken oder abwarten, weil man „keine schlafenden Hunde wecken möchte“, ist das falsche Verhalten in dieser Situation.

Gar nichts tun, ist das Schlechteste, das Sie tun können. Damit schaden Sie unter Umständen nicht nur Ihrer Firma, sondern womöglich sich selbst. Denn wenn Sie offen mit dem Problem umgehen, helfen Sie nicht nur, unnötige Kosten für Ihr Unternehmen abzuwenden, Sie unterstützen wahrscheinlich auch Ihre Firma dabei, die Datensicherheit und den Datenschutz zu verbessern - auch wenn so eine Datenpanne ärgerlich oder sogar mal peinlich ist.

Was tun, wenn ich mich als Mitarbeiter nicht traue, die Panne zu melden?

Es gibt (leider) Unternehmen, bei denen der Meldeprozess im Unternehmen nicht wirklich etabliert oder kommuniziert ist und Mitarbeiter nicht einmal wissen, an wen sie sich wenden sollen, wenn etwas passiert ist. Zudem kommt es (leider) auch vor, dass Mitarbeiter Angst haben, dass ihnen der Kopf abgerissen wird, wenn sie einen derartigen Fehler zugeben.

Hierbei sollte für die Arbeitgeber unter Ihnen gesagt werden:
Kopf abreißen ist der falsche Weg! Denn Mitarbeiter, die Sie bei Datenpannen sofort ehrlich informieren, sind letztlich sehr wertvoll für Sie und Ihr Unternehmen. Im gesamten Prozess erspart dieses Vertrauen Ihnen wichtige Zeit und teilweise sogar enorme Kosten. Und Sie können stolz sein, wenn Ihre Unternehmenskultur so positiv ist, dass Ihre Mitarbeiter bei Problemen sofort auf Sie zukommen - nutzen Sie das Potential!

Doch was, wenn ich mich als Mitarbeiter trotzdem nicht traue, mein Chef leider nicht cool ist oder mir gar nicht sicher bin, ob überhaupt eine Datenpanne vorliegt? In diesem Fall wenden Sie sich direkt an Ihren zuständigen Datenschutzbeauftragten. Die Kontaktdaten sollten immer über die Unternehmenswebseite in der Datenschutzerklärung zu finden sein. Egal ob es sich hierbei um einen internen oder externen Datenschutzbeauftragten handelt, dieser muss mit Ihrer direkten Anfrage vertraulich umgehen. Denn der Datenschutzbeauftragte hat eine ähnliche Stellung inne, wie ein Betriebsrat bzw. Personalrat im Unternehmen. Dieser unterstützt Sie bei der weiteren Vorgehensweise und kann Ihnen auch mitteilen, ob überhaupt eine Datenpanne vorliegt oder nicht.

Service: Meldung einer Datenpanne durch Mitarbeiter unserer Kunden

Auch bei der dacuro GmbH ist es so, dass unsere Kunden auf ihrer Webseite die Kontaktdaten von uns als zuständiges Datenschutzunternehmen veröffentlichen müssen (Art. 37 Abs. 7 DSGVO). Und selbstverständlich sind auch wir an die Wahrung der Geheimhaltung und Vertraulichkeit gebunden (Art. 38 Abs. 5 DSGVO) und müssen mit Anfragen vertraulich umgehen. Hierbei spielt es keine Rolle, ob es sich dabei um Anfragen des Unternehmens, von Betroffenen oder um Anfragen von Mitarbeitern handelt.  

Die dacuro GmbH bietet für die Mitarbeiter Ihrer Kunden ab sofort einen neuen Service an. Ausschließlich Mitarbeiter unserer Kunden, die sich bzgl. eines Datenschutzvorfalls unsicher sind oder sich nicht trauen, diesen weiterzuleiten, können eine mögliche Datenpanne anonym bei der dacuro GmbH melden. So kann abgeklärt werden, ob tatsächlich ein Verstoß vorliegt und wie die weitere Vorgehensweise ist, aber das Problem wird nicht „unter den Tisch gekehrt“. Sie finden das Meldeformular auf unserer Webseite www.dacuro.de unter "Datenpannen" (bzw. im vorherigen Link).

Bitte beachten Sie, dass dieser Service ausschließlich für unsere Kunden ist und es sich hierbei nicht um das Meldeformular des LfDI Baden-Württemberg handelt.

Die dacuro GmbH und ihr Team

Wenn Sie gerne mehr über unsere Dienstleistungen und Services erfahren möchten oder auf der Suche nach einem externen Datenschutzbeauftragten sind, nehmen Sie gerne Kontakt zu uns auf.

Unser Team besteht aus einem Gesamtpaket: wir verfügen über qualifizierte Datenschutzbeauftragte, Expertenwissen durch eigene Juristen und kompetente Kollegen mit jahrelanger technischer Erfahrung, sodass wir das Thema „Datenschutz“ komplett für unsere Kunden abbilden können. Wir betreuen unsere Kunden nicht nur im Rhein-Neckar-Kreis sondern deutschlandweit in den verschiedensten Branchen. Einen kleinen Einblick finden Sie in unseren Referenzen. Wir freuen uns auf Sie.

TAGS

Zurück

Einen Kommentar schreiben

Bitte addieren Sie 7 und 2.