Datenschutzpannen

Bei einem Datenschutzvorfall, einer so genannten Datenschutzpanne, erhalten Unberechtigte Zugriff auf die von Ihnen gespeicherten und verarbeiteten Daten. Dadurch können Betriebsgeheimnisse und personenbezogene Daten kompromittiert werden. Dabei ist es egal, ob diese Daten gelöscht, verändert oder zum Zweck des Verkaufs gestohlen werden. Ein qualifizierter Datensatz, je nach Inhalt desselben, wird im Darknet im hohen zweistelligen bis in den dreistelligen Dollarbereich angeboten (siehe Artikel auf heise online).

Doch wie geschehen diese Datenschutzvorfälle? Daten können im Original abhanden kommen (z.B. Datenträger oder Akten gehen verloren, werden gestohlen oder falsch entsorgt). Solche Vorfälle geschehen durch Eindringen in einen Server (von außen und innen), aber auch durch versehentliches Offenlegen in jedweder Form.

Die Folgen dürften klar sein: Zu allererst sind natürlich die Personen betroffen, deren Daten gehackt wurden. Es können finanzielle, aber auch persönliche Schäden entstehen. Allerdings drohen den Unternehmen, in denen ein Datenschutzvorfall erfolgte unter Umständen wirtschaftliche Nachteile und ein erheblicher Reputationsschaden.

Hohe Dunkelziffer bei Datenpannen

Es ist schwierig einzuschätzen, wie hoch die tatsächliche Dunkelziffer erfolgter (und erfolgreicher) Datenpannen ist. Es gibt kleine und große Lecks und viele Unternehmen vermeiden, einen Vorfall bekannt zu machen. Noch dazu muss nicht jeder Datenschutzvorfall an die Aufsichtsbehörde gemeldet werden, sondern nur diejenigen, die für den Betroffenen mit Risiken verbunden sind.

Eine Verletzung personenbezogener Daten liegt vor (siehe Artikel 4 Nr. 12 DSGVO), wenn die Daten verlorengegangen sind bzw. vernichtet, verändert oder unbefugt offengelegt wurden. Seit dem 25. Mai 2018 (das Datum des Wirksamwerdens der DSGVO) besteht eine umfassende Meldepflicht bei Datenpannen. Die Meldepflicht ist im Artikel 33 und Artikel 34 der DSGVO geregelt. Jeder Datenschutzvorfall, der voraussichtlich zu einem Risiko für den Betroffenen führt, muss innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Auch die betroffene Person muss im Fall eines hohen Risikos für die persönlichen Rechte und Freiheiten benachrichtigt werden. Artikel 34, Absatz 3 der DSGVO regelt einige wenige Ausnahmen dazu. Wenn Sie sich unsicher sind, sprechen Sie mit Ihrem bestellten Datenschutzbeauftragten. Was Sie auf alle Fällte tun müssen, ist den Datenschutzvorfall genau zu dokumentieren bis zu dessen vollständigen Bereinigung.

So meldet man Datenpannen

Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem Ihr Unternehmen seinen Sitz hat. Die DSGVO schreibt keine bestimmte Form der Benachrichtigung vor. Ich empfehle aus verständlichen Zwecken zur vollständigen Dokumentation, dies als Fax, Brief oder Email zu tun. Kontaktieren sieh vorher bitte die Aufsichtsbehörde, damit eine Meldung auf alle Fälle innerhalb der weiter oben beschriebenen 72 Stunden erfolgt. Die Benachrichtigung an den Betroffenen muss keine umfassenden Informationen enthalten, sie sollte jedoch in einer klaren und verständlichen Sprache verfasst sein.

Melden Sie einen Datenschutzvorfall nicht, so hat die Aufsichtsbehörde freies Ermessen bei der Bewertung der Sanktionen. Es kann bei einer Verwarnung bleiben, aber auch eine Geldbuße kann verhängt werden. Nach Artikel 83 Absatz 4a der DSGVO sind Bußgelder in Höhe von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahrs möglich. Und es hat sich gezeigt, dass die Behörden diese Strafen auch tatsächlich umsetzen.