Datenpanne - das müssen Sie tun | Immerce Consulting GmbH

Klarheit schaffen: der Unterschied zwischen Datenschutzverstoß, Datenpanne und Datenschutzverletzung

Bei dem heiklen Thema der Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen werden verschiedene Begriffe verwendet. Einige Menschen sprechen allgemein von einem Datenschutzverstoß, während andere einen Vorfall im Datenschutz als eine Verletzung oder Panne bezeichnen.

Was versteht man unter einem Datenschutzverstoß?

Es gibt Fälle, in denen ein Verstoß gegen den Datenschutz nicht zwangsläufig auch eine Verletzung des Datenschutzes bedeutet. Oft wird der Begriff "Datenschutzverstoß" als Oberbegriff verwendet und umfasst im Allgemeinen Verstöße gegen die datenschutzrechtlichen Bestimmungen der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) oder des Bundesdatenschutzgesetzes (BDSG).

Was versteht mann unter einer Datenpanne?

Eine Datenpanne, die auch als Datenleck bekannt ist, bezieht sich auf ein Vorfall, bei dem Informationen in Bezug auf ihre Sicherheit beeinträchtigt wurden. Dies kann dazu führen, dass die Vertraulichkeit, Integrität oder Verfügbarkeit der Informationen verletzt wird. Im Grunde genommen handelt es sich um einen Zwischenfall, bei dem eine der folgenden drei Ereignisse eingetreten ist:

Jemand erhält Zugang zu Informationen, von denen er eigentlich keine Kenntnis haben sollte.
Die Informationen werden unabsichtlich geändert.
Es besteht kein Zugriff mehr auf die Informationen.

Was versteht man unter einer Datenschutzverletzung?

Unter den Begriffen Datenpanne, Datenleck oder Datenschutzverstoß versteht man im Allgemeinen dasselbe wie bei einer Datenschutzverletzung. Jedoch ist der Ausdruck "Datenschutzverletzung" genauer definiert. Genauer gesagt handelt es sich um Verstöße gemäß Artikel 33 und Artikel 4 Nummer 12 der Datenschutz-Grundverordnung (DSGVO), bei denen ein Schaden für personenbezogene Daten entstanden ist. Diese Datenschutzverletzung wird in Artikel 4 Nummer 12 DSGVO legaldefiniert:

„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“

Demnach handelt es sich bei Datenschutzverletzungen um Verstöße gegen die Sicherheit und den Schutz personenbezogener Daten, bei denen Unbefugte wahrscheinlich oder nachweislich Zugriff auf diese erhalten. Es gibt verschiedene Ursachen für solche Vorfälle, wie z.B. Hackerangriffe, Verlust von USB-Sticks, Diebstahl von Smartphones oder unbefugtes Weitergeben durch Mitarbeiter - egal ob absichtlich oder unbeabsichtigt.

Gemäß Artikel 4 Nummer 12 der Datenschutz-Grundverordnung (DSGVO) können daher nicht nur vorsätzliche und bewusste Handlungen einbezogen werden, sondern auch zufällige Ereignisse.

Beispiele für Datenschutzverletzungen: ein Überblick

Datenschutzverletzungen gehen oft mit erheblichen Gefahren einher, wie zum Beispiel einem beschädigten Ruf bis hin zu Identitätsdiebstahl, sowohl für die Betroffenen als auch für das Unternehmen gravierende Nachteile.

Durch die zunehmende Digitalisierung und damit verbundene Zunahme von Cyberkriminalität sind Datenschutzverletzungen mittlerweile fast alltäglich geworden. Das Erscheinungsbild solcher Verstöße gegen den Datenschutz ist dementsprechend vielfältig.

Ob nun der Laptop mit Kundendaten im Zug vergessen wurde, eine vertrauliche E-Mail an den falschen Empfänger geschickt wurde oder Ransomware dazu führt, dass Kundendaten des Unternehmens verschlüsselt werden - in all diesen Fällen spricht man von einer Datenschutzverletzung.

Laut dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gibt es weitere mögliche Beispiele für solche Verstöße: Hacking und Datendiebstahl, der Verlust von USB-Sticks, Einbrüche in Serverräume oder auch der Verlust oder die Beschädigung anderer Hardware.

Ob diese Art von Datenschutzverletzungen jedoch meldepflichtig sind, hängt gemäß Artikel 33 DSGVO vom Risiko ab, das sie für die Rechte und Freiheiten der betroffenen Personen darstellen.

Meldepflicht bei Datenschutzverstößen: wann liegt sie vor?

Der Artikel 33 der Datenschutz-Grundverordnung (DSGVO) legt fest, zu welchem Zeitpunkt eine Meldung erforderlich ist.

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“

Der Risikobegriff steht im Zentrum dieser Erklärung. Nur wenn die Verletzung zu einer Gefahr für die Rechte und Freiheiten von natürlichen Personen wird, ist der Verantwortliche zur Meldung verpflichtet. Um entscheiden zu können, ob eine Meldung erforderlich ist oder nicht, muss zunächst eine Bewertung des Risikos erfolgen.

Eine detaillierte und dokumentierte Beschreibung des Vorfalls ist dabei immer als erster Schritt für die Risikobeurteilung notwendig. Es kann hilfreich sein, den Sachverhalt direkt in einem Formular festzuhalten. Auch wenn sich bei der Risikobeurteilung ergibt, dass kein Risiko besteht, sollten die Prognoseentscheidungen und der zugrundeliegende Sachverhalt aus Nachweiszwecken dokumentiert werden.

Risikobewertung mit der Risikomatrix als Hilfestellung

Im Kurzpapier der Datenschutzkonferenz wird darauf hingewiesen, dass zur Beurteilung von Risiken eine Risikomatrix als Orientierung dienen kann. Diese Matrix ist ein nützliches Werkzeug für den Verantwortlichen, um das Ausmaß des Risikos einzuschätzen.

Die Matrix besteht aus verschiedenen Bereichen: einem grünen Bereich (niedriges Risiko), einem gelben Bereich (Risiko) und einem roten Bereich (hohes Risiko).
Wenn wir uns im roten Bereich befinden, bedeutet dies, dass die Schwere und Wahrscheinlichkeit eines Schadens sehr hoch sind und somit auch ein hohes Risiko für den Betroffenen besteht.

Bei einer Datenschutzverletzung mit hohem Risiko muss eine Meldung an die Aufsichtsbehörde erfolgen und die betroffenen Personen müssen unbedingt informiert werden. Bei geringem Risiko kann in manchen Fällen auf eine Meldung verzichtet werden oder zumindest müssen nicht alle Betroffenen informiert werden.

Situationen im gelben Bereich der Matrix können schwierig sein. In solchen Fällen empfiehlt es sich vorherige Absprache mit dem Datenschutzbeauftragten über die spezifischen Umstände zu führen.

Schritt für Schritt: Wie funktioniert die Risikobeurteilung in der Praxis?

Gemäß dem von den Aufsichtsbehörden veröffentlichten Kurzpapier wird die Risikobeurteilung in drei aufeinanderfolgenden Schritten durchgeführt.

Im ersten Schritt besteht die Aufgabe darin, potenzielle Schäden für betroffene Personen zu ermitteln. Diese möglichen Schäden können durch Verletzungen des Datenschutzes verursacht werden und können physischer, materieller oder immaterieller Natur sein. Es sind verschiedene Arten von Schäden denkbar, wie zum Beispiel Identitätsdiebstahl oder -betrug, finanzielle Einbußen oder Rufschädigung. Weitere Beispiele für solche Schäden finden sich im Erwägungsgrund 85 des Dokuments.
Einschätzung der Wahrscheinlichkeit und Schwere möglicher Schäden. Nachdem einer oder mehrere denkbare Schäden erfasst wurden, ist es erforderlich, die jeweilige Eintrittswahrscheinlichkeit und das Ausmaß des Schadens zu bewerten. Es gibt Faktoren, die für eine geringe Eintrittswahrscheinlichkeit sprechen können, wie zum Beispiel wenn eine E-Mail an nur wenige falsche Empfänger gesendet wurde oder ein Datenleck schnell behoben wurde. Neben der Dauer des Vorfalls spielen auch die währenddessen oder danach ergriffenen Sicherheitsmaßnahmen eine entscheidende Rolle. Bei der Bewertung des Ausmaßes des Schadens ist vor allem auf Art und Anzahl betroffener Personen sowie auf spezielle Arten von Daten zu achten. Wenn viele Personen betroffen sind oder besondere Kategorien von Daten involviert sind, muss automatisch mit einem größeren Schaden gerechnet werden. Letztendlich hängt diese Einschätzung jedoch immer vom konkreten Fall ab und kann nicht allgemein anhand fester Vorgaben oder Beispiele festgelegt werden.
Im Anschluss an die vorherigen beiden Schritte erfolgt die Einstufung in einen spezifischen Risikobereich. Gemäß der Risikomatrix der DSK besteht hierbei die Möglichkeit einer Zuordnung zu den Kategorien "niedriges Risiko", "Risiko" oder "hohes Risiko".

Wann müssen Betroffene über Datenpannen informiert werden?

Es hängt davon ab, ob die betroffenen Personen bei einem Datenschutzvorfall, der gemeldet werden muss, informiert werden müssen. Diese Entscheidung basiert auf Artikel 34 der Datenschutz-Grundverordnung (DSGVO).

„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“

Der Ausgangspunkt ist demnach das erhöhte Gefahrenpotenzial, welches durch eine Vorhersageentscheidung des Verantwortlichen für jeden einzelnen Fall festgestellt werden muss. Wenn wir uns also im roten Bereich der Risikomatrix befinden, müssen die betroffenen Personen individuell und umgehend informiert werden.

Weitere Informationen zur Prognose und Benachrichtigung der Betroffenen finden Sie in unserem Beitrag über Kundeninformation bei Hackerangriffen. Es gibt jedoch Ausnahmen von der Pflicht zur Benachrichtigung, welche abschließend in Artikel 34 Absatz 3 DSGVO aufgeführt sind.

Pflicht zur Meldung: Was tun bei einer Datenpanne?

Es ist erforderlich, dass eine Meldung über einen Verstoß gegen den Datenschutz zumindest die folgenden Anforderungen aus Artikel 33 Absatz 3 der DSGVO erfüllt:

Eine Beschreibung des Verstoßes inklusive Angabe der Kategorien und ungefähren Anzahl betroffener Personen, Kategorien und Datensätze.
Die Namen und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Stelle, bei der weitere Informationen erhältlich sind.
Eine Beschreibung der wahrscheinlichen Auswirkungen des Verstoßes.
Eine Beschreibung von bereits ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Verstoßes sowie gegebenenfalls Maßnahmen zur Begrenzung desselben.

Nur in Ausnahmefällen dürfen Informationen, die nicht gleichzeitig bereitgestellt werden können, ohne unangemessene Verzögerung schrittweise nachträglich an Behörden weitergeleitet werden (vgl. Artikel 33 Absatz 4 DSGVO). Dennoch muss eine erste Meldung innerhalb der festgelegten Frist erfolgen.

Einhaltung der Meldefristen: Wichtiger Bestandteil der DSGVO

Gemäß Artikel 33 der Datenschutz-Grundverordnung (DSGVO) ist es erforderlich, dass ein Vorfall im Zusammenhang mit dem Schutz personenbezogener Daten entweder sofort oder spätestens innerhalb von 72 Stunden bei den zuständigen Aufsichtsbehörden gemeldet wird. Weitere Informationen zur Bedeutung des umgehenden Handelns und wie die Frist berechnet werden kann, finden Sie in unserem Artikel über die Berechnung der Fristen.

Konsequenzen bei Verstoß gegen Meldepflicht bei Datenschutzvorfall

Die Datenschutzbehörden zeigen oft eine gewisse Nachsicht. Sie haben die Befugnis, aus verschiedenen Möglichkeiten wie einer Verwarnung oder einer Geldstrafe zu wählen. Welche Option sie wählen, hängt immer von der individuellen Situation und dem Verhalten des Gegenübers ab.

Die DSGVO bestraft das Nichterfüllen von Meldepflichten gemäß Artikel 83 Absatz IVa der DSGVO. Es können Bußgelder in Höhe von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Umsatzes im vorherigen Geschäftsjahr verhängt werden.

Wo meldet man Datenpannen?

Die meisten Behörden zur Überwachung bieten ein bequemes Online-Formular an, das Sie direkt ausfüllen und abschicken können. In den Bundesländern Berlin, Schleswig-Holstein, Hessen und Sachsen sind möglicherweise zusätzliche Maßnahmen erforderlich, um Verletzungen des Datenschutzes zu melden.

Im Anschluss finden Sie die entsprechenden Links zu den Behörden für die Meldung von Datenschutzverletzungen.

Gemäß der DSGVO gibt es klare Zuständigkeiten bei der Meldung von Datenschutzvorfällen. Das bedeutet, dass immer der Verantwortliche die Meldung übernehmen muss, unabhängig davon, ob die Datenschutzverletzung bei ihm selbst oder bei seinem Auftragsverarbeiter aufgetreten ist.

Der Auftragsverarbeiter hingegen meldet den Vorfall nicht direkt an die Aufsichtsbehörde, sondern informiert sofort den Verantwortlichen darüber. Es liegt allein in der Entscheidung des Verantwortlichen, ob er eine Meldung gegenüber der Aufsichtsbehörde macht.

Weitere Informationen zu diesem Thema finden Sie in unserem Artikel "Meldepflicht des Auftragsverarbeiters bei Datenschutzverletzungen".

Rechtliche Konsequenzen bei Datenpannen beim Auftragsverarbeiter

Es wurde eine Datenpanne bei einem Auftragsverarbeiter entdeckt? Es besteht keine Verpflichtung für den Auftragsverarbeiter, dies zu melden. Allerdings ist er dazu verpflichtet, demjenigen zu helfen, der zur Meldung verpflichtet ist. Die DSGVO gibt dem Auftragsverarbeiter keine genauen Anweisungen dazu, was er tun soll.

Deshalb sollten Sie bereits im Vertrag über die Auftragsverarbeitung entsprechende Regelungen festlegen. Diese können sich auf folgende Themen beziehen: Umfang der Unterstützungspflicht, bereitzustellende Informationen und damit verbundene Fristen.

Optimal reagieren: Checkliste bei Datenschutzverletzungen

Im Falle eines Datenschutzvorfalls ist es von großer Bedeutung, keine wichtigen Schritte zu vergessen. Ein bereits etablierter Prozess und ein vorhandener Maßnahmenplan im Unternehmen können in der Regel größere Schäden verhindern und wertvolle Zeit sparen.

Die folgende Checkliste soll als Leitfaden für eine angemessene Reaktion dienen, sobald eine Datenschutzverletzung bekannt wird:

Es ist wichtig, schnell über den eingetretenen Datenschutzvorfall informiert zu werden und die Hintergründe aufzuklären.
Der Datenschutzbeauftragte sollte frühzeitig miteinbezogen werden.
Die Ursache des Datenschutzvorfalls muss untersucht werden und es müssen Maßnahmen ergriffen werden, um diesen abzuwenden oder einzudämmen.
Alle relevanten Informationen sollten dokumentiert werden.
Eine Risikobewertung sollte durchgeführt werden und der Verantwortliche entscheidet darüber, ob der Vorfall gemeldet wird oder nicht (sofern auf eine Meldung verzichtet wird, müssen die Gründe dafür unter Berücksichtigung des Risikos dokumentiert werden).
Wenn ein hohes Risiko besteht, muss der Datenschutzvorfall bei der zuständigen Aufsichtsbehörde gemeldet und betroffene Personen informiert werden.
Nach dem Vorfall sollten eventuelle Verbesserungen am bisherigen Prozess analysiert und umgesetzt werde.

Meldepflichtig: Beispiele für Datenschutzverstöße

Beispiel 1: Ein Laptop ohne Verschlüsselung und mit Backup-Schutz wurde gestohlen. Auf diesem Laptop befinden sich personenbezogene Daten von mehr als 100.000 Kunden, darunter Namen, Adressen und Geburtsdaten.

Auch in diesem Fall geht man aufgrund des hohen Risikos eines Identitätsdiebstahls gemäß den Leitlinien des EDSA davon aus,dass eine Meldung an die Aufsichtsbehörde sowie an die betroffen Personen notwendig ist.

Beispiel 2: Ein Cyberangriff hat dazu geführt, dass Bewerberdaten der Agentur für Arbeit gestohlen wurden. Erst nach einem Monat wurde bemerkt, dass sich Malware im System befand. Während dieser Zeit konnten die Angreifer weitere Datenverarbeitungen beobachten.

Obwohl keine speziellen Kategorien von Daten betroffen waren, enthalten Bewerberinformationen viele persönliche und individuelle Informationen über jeden einzelnen Bewerber. Dies birgt ein hohes Risiko für Missbrauch wie Identitätsdiebstahl. Gemäß den Richtlinien des EDSA wäre es erforderlich gewesen, dies gemäß Artikel 33 DSGVO bei der Aufsichtsbehörde zu melden und die Betroffenen entsprechend Artikel 34 DSGVO zu informieren.

Beispiele für Datenschutzverletzungen ohne Meldepflicht

Beispiel 1: Auch bei dem Vorfall mit zwei gestohlenen Tablets wurde eine Meldepflicht verneint. Die Tablets waren ausgeschaltet und zusätzlich durch starke Passwörter geschützt sowie regelmäßig gesichert (Backups). Darüber hinaus war es möglich, die vorhandenen Daten auf den Geräten schnell aus der Ferne zu löschen.

Beispiel 2: Eine Situation, in der bereits verschlüsselte Daten durch einen Ransomware-Angriff erneut verschlüsselt wurden und es zu keinem Datenabfluss kam. Dank eines vorhandenen Backups konnten die betroffenen Daten schnell und reibungslos wiederhergestellt werden, wodurch Störungen im Geschäftsbetrieb vermieden wurden.

In diesem Fall besteht keine Notwendigkeit einer Meldung an die Aufsichtsbehörde oder an die Betroffenen gemäß den Richtlinien des EDSA. Sollte jedoch die Wiederherstellung der Daten länger als einige Stunden gedauert haben, könnte eine andere Bewertung vorgenommen werden.

FAQ Datenpanne

Wann liegt eine Datenpanne vor?

Eine Situation, in der eine Datenpanne vorliegt, ist zum Beispiel gegeben, wenn personenbezogene Informationen verloren sind oder absichtlich zerstört, manipuliert oder unbefugt enthüllt wurden.

Beispiele für Datenpannen:

Verloren gegangen: Ein Angestellter vergisst ein MacBook mit Kundendaten in einem Café und kann es nicht mehr finden.

Vernichtet: Durch einen Brand werden die Server mit den darauf gespeicherten Kundendaten komplett zerstört. Eine Sicherung existierte nicht.

Verändert: Ein Hacker dringt in die Firmenrechner ein und ändert die Kundendaten ohne Erlaubnis. Unbefugt offengelegt: Aufgrund eines Systemfehlers sind die Kundendaten auf der Unternehmenswebsite für jedermann öffentlich sichtbar.

Wann liegt eine Meldepflicht bei einer Datenpanne vor?

Eine Meldungspflicht in Bezug auf eine Datenpanne ergibt sich ausschließlich dann, wenn diese für den oder die Betroffenen ein Risiko darstellt. Eine gewöhnliche Gefährdung löst eine Meldepflicht gegenüber der Datenschutzbehörde aus. Um jedoch eine Meldepflicht gegenüber den betroffenen Personen zu erfüllen, bedarf es einer gesteigerten Bedrohungssituation.

In welchem Zeitraum ist eine Meldung bei einer Datenpanne vorzunehmen?

Es wäre am besten, wenn Sie die Datenpanne direkt telefonisch bei der Datenschutzbehörde melden würden. Spätestens jedoch innerhalb von 72 Stunden sollte dies geschehen. Auch den betroffenen Personen oder Unternehmen wird empfohlen, die Meldung unverzüglich vorzunehmen.

Was sind die häufigsten Arten von Datenpannen?

Es gibt eine Vielzahl von Vorfällen, bei denen Datenpannen auftreten können. Diese ereignen sich nicht nur im Bereich der Informationstechnologie, sondern auch in der Offline-Welt. Einige Beispiele sollen dies verdeutlichen.

Eine unzureichend durchdachte Veröffentlichung von Daten kann dazu führen, dass sie öffentlich zugänglich sind - sei es auf einer Website oder über einen Aushang an einem schwarzen Brett.
Durch Bedienfehler bei der Nutzung einer Software können unbeabsichtigt Daten freigesetzt werden, die eigentlich geschützt sein sollten.
Der Verlust unverschlüsselter Datenträger ermöglicht es Findern, Festplatten, USB-Sticks und andere Speichermedien zu verwenden und auszulesen.
Wenn Unterlagen fehlerhaft entsorgt werden und im regulären Papiermüll landen statt vernichtet zu werden, besteht die Möglichkeit des Missbrauchs dieser Informationen.
In einigen Fällen geben Anrufer vor, Betroffene zu sein und Unternehmen prüfen nicht ausreichend ihre Legitimität zur Informationsweitergabe.
Angreifer verschaffen sich Zugriff auf IT-Systeme mit dem Ziel des Diebstahls von sensiblen Daten.
Beim Social Engineering nutzen Angreifer Täuschungsmethoden gegenüber ihren Opfern um Zugangsdaten zu erhalten.
Zugriffsberechtigte Mitarbeiter innerhalb eines Unternehmens oder staatliche Bedienstete missbrauchen ihre Position um private Informationen zu beschaffen
Ein versehentlicher Datenverlust kann auftreten z.B. durch Fehlkonfiguration einer Software was zur Löschung von wichtigen Dateien führt.

Diese Beispiele zeigen deutlich das breite Spektrum an Datenpannen und ihre verschiedenen Ursachen. Die Ursachen können grob in folgende Kategorien unterteilt werden:

Ein mangelhaftes Datenschutzkonzept oder das fehlende Berücksichtigen des Datenschutzes führt dazu, dass bestimmte Bereiche, in denen personenbezogene Daten verarbeitet werden, nicht ausreichend geschützt sind.
Technische Fehler wie Systemausfälle aufgrund von Hardware-Defekten sind häufige Gründe für Datenpannen.
Kriminelle haben es oft gezielt auf die IT-Systeme von Unternehmen und Behörden abgesehen und greifen diese an.
Menschliches Versagen, sei es durch Bedienfehler oder Spionageangriffe durch Angreifer, ist oft der Grund für Verletzungen des Datenschutzes.

Schützen Sie Ihre Daten: So gehen Sie bei Datenschutzverstößen und Datenpannen vor