Datenpannen lassen sich immer häufiger auch auf gehackte Webseiten und Content Management Systeme sowie Onlineshops zurückverfolgen. Sicherheitsverstöße und Angriffe von Cyberkriminellen auf vermeintlich geschützte Systeme nehmen rasant zu.

Die Datenpanne und die DSGVO

Angriffe von Hackern werden nicht nur häufiger, sie werden auch gefährlicher und treffen Unternehmen immer umfassender. Zunehmend sind auch kleine und mittelständische Unternehmen in Deutschland betroffen, Verwaltung, Kommunen, Vereine und Verbände. Cyberangriffe bleiben weiterhin der Albtraum eines jeden Datenschutzbeauftragten.

Datenpanne nach Hackerangriff

Datenpanne durch Hackerangriff

Hacker haben Ihre Webseite oder den Onlineshop angegriffen?

Ein Computer, USB-Stick oder eine Festplatte mit gesicherten Daten wurde aus Ihrem Unternehmen entwendet? Ihrem Außendienst-Mitarbeiter wurde der Laptop aus dem Auto gestohlen oder er hat sein Smartphone verloren? Ein Kollege hat versehentlich Daten veröffentlicht? Dann haben Sie ein Problem.

Handeln Sie jetzt schnell und mit einer durchdachten Strategie, denn Sie sind von einer mutmaßlichen Datenschutzverletzung betroffen. Die DSGVO schreibt vor, eine Datenpanne umgehend, das heißt innerhalb von 72 Stunden zu melden.

Was bedeutet eigentlich Datenpanne gemäß der DSGVO?

Wenn Sie mutmaßlich von einer Datenschutzverletzung betroffen sind, müssen Sie direkt prüfen, ob es sich um eine Datenpanne handelt. Aus Gründen der Datensicherheit müssen Sie sofort reagieren.

Sie sind nicht verpflichtet, bei jedem Datenleck eine Meldung bei der Aufsichtsbehörde einzureichen. Sie müssen dies aber tun, wenn für die von der Datenpanne Betroffenen ein Risiko entstanden ist.

Als datenverarbeitendes Unternehmen unterliegen Sie immer auch einer Dokumentationspflicht. Sie müssen den Vorfall also sichern und dokumentieren. Bewerten Sie dann umgehend, ob Sie die Datenpannen melden müssen oder nicht.

  • Hacker greifen Ihre Webseite, den Onlineshop oder Ihre Datenbank an und stehlen personenbezogene Daten.
  • Cyberkriminelle dringen auf Computer in Ihrem Unternehmen ein und es gelingt den Angreifern beispielsweise, Kundendaten zu verändern.
  • Ein Mitarbeiter verliert einen Laptop oder sein Mobiltelefon mit darauf gespeicherten personenbezogenen Daten wie z.B. Kundenadressen.
  • In Ihr Unternehmen wird eingebrochen, diesmal nicht in der IT sondern in die Immobilie oder einfach in Büroräume. Dokumente, Festplatten, Computer werden dabei entwendet.
  • Unbefugte sichern beim Einbruch oder Besuch in Ihrem Büroräumen personenbezogene Daten Ihres Unternehmens auf einen USB-Stick oder brennen beispielsweise kundenbezogene Daten auf eine DVD.
  • Durch einen Systemfehler oder eine Manipulation sind Kundendaten in Ihrem Onlineshop öffentlich einsehbar. Dies könnten auch Bankverbindungen oder Kreditkartennummern der Betroffenen sein!
  • Ein Brand vernichtet die Server und damit die darauf gespeicherten Daten. Diese waren nicht gesichert.
Datenpanne richtig melden

Wann müssen Sie eine Datenpanne gemäß DSGVO melden?

Für die Meldung an die zuständige Aufsichtsbehörde besteht eine Meldepflicht schon bei einem „normalen Risiko“. Wenn die Datenschutzverletzung ein „gesteigertes Risiko“ für die Rechte und Freiheiten der Betroffenen auslöst, sind auch die Betroffenen unmittelbar zu informieren.

Eine Meldepflicht für Datenpannen besteht, wenn die Datenpanne zu einem Risiko für Betroffene wird.

Das Risiko durch eine Datenpanne richtig bewerten

Ein Beispiel für eine Datenpanne nach der DSGVO ist die Entsorgung einer nicht gelöschten, aber funktionstüchtigen Festplatte, die weiter ausgelesen werden kann. Gleiches gilt natürlich auch für den Diebstahl einer solchen Platte. Ist es möglich, dass ein Dritter ein gefundenes oder entwendetes Speichermedium ausliest und die dort gesicherten Daten nutzt, ist dies Betriebsspionage und somit ein gesteigertes Risiko. Sind die personenbezogenen Daten auf dem Speichermedium verschlüsselt, können sie gegebenenfalls nur mit erheblichem Aufwand verwendet werden. Das Risiko, dass diese Sicherheitslücke zum Schaden der Betroffenen ausgenutzt wird, ist also entsprechend geringer zu bewerten.

Sie sind in dieser Situation, je nach Bewertung des Risikos für Betroffene, gegebenenfalls also verpflichtet, den Vorgang der Aufsichtsbehörde zu melden. Dies ist abhängig davon, ob das Risiko für Betroffene, deren personenbezogene Daten auf den betroffenen Medien gespeichert sind, als „gesteigert“ zu bewerten ist.

  • Sie durch nachgelagerte Maßnahmen umgehend sicherstellen, dass höchstwahrscheinlich kein Risiko für Betroffene mehr besteht.
  • Sie bereits technische und organisatorische Sicherheitsvorkehrungen getroffen haben, wie beispielsweise eine Verschlüsselung von Daten und Speichermedien
  • die Meldung einen großen, aber schwer zu ermittelnden Personenkreis betrifft. In diesem Fall müssen Sie umgehend geeignete alternative Maßnahmen ergreifen. Dies kann beispielsweise bis hin zu einer öffentlichen Bekanntmachung reichen.

Ob Sie den Vorfall also melden müssen oder nicht, hängt sehr stark von der konkreten Situation ab.

Eine Datenpanne müssen Sie innerhalb 72 Stunden bei der für Sie zuständigen Datenschutzbehörde anzeigen. Die von der Datenpanne betroffenen Unternehmen und Personen müssen Sie unverzüglich, also schnellstmöglich, informieren. Je höher das Risiko für die Datenschutzverletzung zu bewerten ist, desto schneller sollte diese Meldung erfolgen.

Eine Meldepflicht entfällt, wenn Sie technische und organisatorische Sicherheitsvorkehrungen getroffen haben. Wenn die betroffenen Daten oder Datenträger beispielsweise ausreichend verschlüsselt waren, unterliegen sie gegebenenfalls keiner Meldepflicht, wenn Sie durch nachgelagerte geeignete Maßnahmen das Risiko der Folgen für die Betroffenen erheblich reduzieren.

Was muss die Meldung einer Datenpanne beinhalten?

Was muss die Meldung einer Datenpanne beinhalten?

Der Umfang und der Inhalt einer Meldung zu einer Datenpanne gestalten sich unterschiedlich, je nachdem ob die Meldung der Datenpanne an die Aufsichtsbehörde oder an die Betroffenen erfolgt.

Was muss zur Datenpanne gemeldet werden?

Beide Meldungen zur Datenpanne müssen Sie in einer klaren und verständlichen Sprache verfassen. Der Inhalt muss mit einem beiläufigen Blick erkennbar sein. Es dürfen keine sachfremden Bezüge und werbenden Maßnahmen enthalten sein. Nutzen Sie hier am besten eine Mustervorlage, die Sie im Internet laden oder auch mit Ihrem Rechtsanwalt erstellen können.

Die Meldung muss folgende Punkte beinhalten:

  • Welche Art Der Datenschutzverletzung liegt vor? (Datenverlust, Diebstahl etc.)
  • In welche Kategorie fallen die Betroffenen? (Kunden, Mitarbeiter)
  • Wie viele Betroffene gibt es?
  • Welche Kategorien von Datensätzen sind betroffen?
  • Name und Anschrift des Datenschutzbeauftragten.
  • Welche Folgen zieht die Schutzverletzung nach sich? (z.B. finanzielle Nachteile)
  • Welche Schutzmaßnahmen haben Sie ergriffen oder möchten Sie ergreifen?
  • Welche Gegenmaßnahmen sind noch denkbar?

Sie müssen die Meldung innerhalb 72 Stunden einreichen. Aus Dokumentations- und Beweiszwecken ist zu empfehlen, der Datenschutzbehörde den Verstoß zunächst telefonisch zu melden und dann schriftlich per Fax zu senden. Es drohen hier bei Verzug erhebliche Bußgelder.

Die Meldung an Personen oder Unternehmen, die von der Datenpanne betroffen sind, muss keine umfassenden Informationen über die Datenschutzverletzung beinhalten
Die folgenden Informationen müssen Sie auf jeden Fall übermitteln:

  • Name und Anschrift des Datenschutzbeauftragten
  • Art der Schutzverletzung
  • absehbare Folgen der Datenschutzverletzung
  • ergriffene und empfehlenswerte Gegenmaßnahmen
Datenpanne an Aufsichtsbehörde melden

Welche Aufsichtsbehörde ist zu verständigen?

Für Ihr Unternehmen ist die Aufsichtsbehörde des Bundeslandes zuständig, in dem Ihr Unternehmen seinen Stammsitz hat. Filialen sind nicht relevant.

Welche Bußgelder oder Strafen drohen bei einer Datenpanne?

Datenschutzbehörden haben hier einen Ermessensspielraum. Sie dürfen unter mehreren Optionen wie einer Verwarnung und einer Geldbuße im Einzelfall auswählen und sind häufig recht kulant. Dies hängt allerdings immer vom Verhalten der Gegenseite und der individuellen Situation ab.

Die DSGVO stellt das Nichterfüllen von Meldepflichten unter erhebliche Strafen. Die Datenschutzbehörden setzen diese teilweise horrenden Strafen auch tatsächlich durch, was Vorfälle in der jüngeren Vergangenheit bewiesen.

Liegt bei einem Auftragsverarbeiter eine Datenpanne vor, unterliegt dieser nicht der Meldepflicht. Der Auftragsverarbeiter ist allerdings dazu verpflichtet, diejenigen zu unterstützen, die meldepflichtig sind.

Die DSGVO macht hier keine exakten Vorgaben, was der Auftragsverarbeiter unterstützend zu leisten hat. Es ist also zu empfehlen, bereits bei der Vertragsgestaltung zur Auftragsverarbeitung entsprechende Regelungen aufzunehmen und beispielsweise einen Umfang der Unterstützung, bereitzustellende Informationen und damit verbunden auch entsprechende Fristen zu vereinbaren.

Bedenken Sie immer, dass Sie zur Dokumentation verpflichtet sind. Empfehlen können wir daher auch, immer die „Historie der Datenpanne“ möglichst exakt zu dokumentieren, ganz unabhängig von einer möglichen Meldepflicht.

Checkliste zur Datenpanne

Handeln Sie sofort, wenn Sie von einer Datenpanne betroffen sind:

  • Verschaffen Sie sich, soweit möglich, einen ersten Überblick über das Ausmaß des Vorfalls
  • Handeln Sie mit Bedacht, vorsichtig und zielorientiert
  • Planen Sie dann zunächst konkret den weiteren Ablauf
  • Dokumentieren Sie von Anfang an den Vorfall und Ihr Vorgehen
  • Erstellen Sie einen Tätigkeitsbericht und
  • koordinieren Sie die interne Aufbereitung
  • Schalten Sie einen Datenschutzexperten und Ihren Rechtsanwalt ein
  • Bewerten Sie, ob Sie der Meldeplicht unterliegen
  • Rufen Sie direkt bei der für Ihren Unternehmenssitz zuständigen Datenschutzbehörde an und melden Sie den Vorfall telefonisch.
  • Melden Sie den Vorfall schriftlich per Fax
  • Werten Sie den Vorfall intern aus
  • Schulen Sie Ihre Mitarbeiter zu dem konkreten Vorfall
  • Schulen und sensibilisieren Sie Ihre Mitarbeiter regelmäßig für das Thema Datenschutz und Datenverlust.

Wie Sie sich vor einer Datenpanne schützen:

Simple Web-Solutions darf natürlich keine Rechtsberatung vornehmen. Wir empfehlen immer, nicht erst im Schadensfall, den Rechtsberater Ihres Vertrauens hinzu zu ziehen. Lassen Sie sich, wenn Sie von einem Hackerangriff betroffen sind, frühzeitig beraten. Bestenfalls schon, bevor der Ernstfall eintritt.

Entsprechend können wir natürlich auch keine Gewähr für die rechtliche Sicherheit und absolute Aktualität der bereitgestellten Informationen übernehmen. Informieren und vor allem sensibilisieren möchten wir Sie dennoch für das Problem Cybercrime. „In guten Zeiten“ haben wir die notwendigen Schritte beschrieben, die Sie einleiten müssen, wenn es für Ihr Unternehmen mal ernst wird.

Sprechen Sie mit den Datenschutz-Spezialisten von Simple Web-Solutions. Wir sorgen für mehr Sicherheit für Ihre Webseiten und Ihren Onlineshop. Wir empfehlen und unterstützen Sie mit regelmäßigen Aktualisierungen Ihrer Systeme, mit sicherem Hosting sowie sicheren Servern. Und wir schulen und sensibilisieren Ihre Mitarbeiter im datensicheren Umgang mit den verwendeten Systemen.