DSGVO – Wann Meldepflicht und wie Vorgehen

Datenpanne, Datenkrise oder Datenleck – Was sagen die neuen Anforderungen und Verhaltensregeln nach DSGVO? Die Worte Datenpanne, Datenleck und Datenkrise sind in der Lage eine mittlere Panik auszulösen. Die neuen Anforderungen nach DSGVO haben den Umgang mit der Datensicherheit in vielen Unternehmen extrem beeinflusst. Wie das Verhalten nun im Rahmen der DSGVO Datenschutz Grundverordnung ist – was ist noch DSGVO-konform? Dieser Artikel gibt Tipps über die Vorgehensweise zur Meldepflicht.

Was ist eine Panne, was ist ein Verstoß?

Sobald der Schutz der personenbezogenen Daten verletzt wurde, liegt ein Verstoß vor. Dies kommt zum Tragen, wenn Daten verändert, vernichtet oder verloren gehen. Ungeachtet dessen, ob beabsichtigt oder nicht. Auch spricht man von einer Datenpanne, wenn es eine unbefugte Offenlegung gab oder Unbefugte einen Zugang auf gespeicherte, übermittelte oder auf anderem Weg verarbeitete personenbezogene Daten erhalten haben.

Datenschutzpanne und Datenklau schnell erkennen

Welche Zeit vergeht, in der sich ein Unternehmen dem Datendiebstahl Bewusst wird? Ein Schaden durch einen Diebstahl kann begrenzt werden, wenn ein Unternehmen mögliche Vorfälle zeitnah erkennt und sofort Gegenmaßnahmen einleitet, um einen Schaden abzuwenden. Die IT Abteilung jedes Unternehmens sollte daher sensibilisiert für Auffälligkeiten sein. Es sollte kontrollieren, ob bei der Informationssicherheit erforderliche technische Vorkehrungen im Vorfeld getroffen wurden, sodass von den zuständigen Verantwortlichen ungewöhnliche Ereignisse überprüft oder überhaupt wahrgenommen werden.

Dabei zu Beachten: 

  • Wurde bei fehlgeschlagenen Anmeldeversuchen eine Warnung erstellt, die auf unerlaubte Zugriffe des Dateisystems hindeutet? Wie wird diese Warnung im System behandelt?
  • Wird der Datenverkehr einem Monitoring unterzogen? Was ist die Vorgehensweise bei Abnormalitäten im System?
  • Erfolgt bei den zentralen Servern eine periodische Kontrolle des Eingangs der Daten?
  • Sind bei möglichen Pannen die Meldewege eines Problems allen Mitarbeitern bekannt?
  • Besteht eine regelmäßige Kontrolle der zentralen Server?
  • Gibt es für den Datennotfall ein zentrales Regelungsdokument?

 

Das Incident-Response-Management

dient dazu, um der Situationen Herr zu werden. Um auf einen Vorfall angemessen reagieren zu können, ist der vorgefallene Sachverhalt genau zu Erfassen. Eindeutige Zuständigkeiten sollten in diesem Fall benannt werden, zur Feststellung, ob und wie die eigene Webseite gehackt wurde. Steht Ihrem Unternehmen ein Dienstleister rund um die Uhr zur Verfügung, der eindeutige Zuständigkeiten für einen möglichen Einbruch in Ihr Datensystem identifizieren kann? Es gibt Anbieter, die rund um die Uhr erreichbar sind, um Sicherheitslücken in Ihrem System zu überprüfen und umgehend zu schließen. Es sollten dabei auch alle anderen Mitarbeiter über einen möglichen Einbruch in das System informiert werden, dass diese wissen, an wen sie sich in diesem Fall zu wenden haben. Das Ziel ist ein „Incident-Response-Management“ aufzubauen, mit dem auf eine Störung (Incident) des eingesetzten Systems unmittelbar reagiert wird.

 

Gesetzliche Meldepflicht nach Art. 33 und Art 34 DSGVO

Der Artikel 33 der DSGVO Datenschutzgrundverordnung sieht vor, dass bei einer Verletzung des Schutzes von personenbezogener Daten der Verantwortliche diese aufgrund dieser Datenschutzgrundverordnung innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde mitzuteilen hat. Zur Erleichterung der Mitteilung haben die Aufsichtsbehörden umfangreiche Eingabemasken eingerichtet, die online bearbeitet werden können.

Von einer Meldung ist nur dann abzusehen, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führt. Bei der Verarbeitung von Daten im Auftrag hat jedoch der Auftragnehmer den Verantwortlichen (Auftraggeber) unverzüglich über die Datenpanne zu informieren und den Verantwortlichen bei der Meldung der Datenpanne zu unterstützen, indem er dem Verantwortlichen die ihm zur Verfügung stehenden Informationen bereitstellt (Art. 28 Abs. 3 lit. F DSGVO).

WICHTIG: Die zuständige Aufsichtsbehörde hat unverzüglich, innerhalb von 72 Stunden, eine Meldung über die Panne zu erhalten. Erreicht diese Meldung die zuständige Meldebehörde erst nach Ablauf dieser 72 Stundenfrist, ist der Meldung eine Begründung beizufügen, warum die Meldung verspätet erfolgt.

Die DSGVO gibt mit dieser Fristvorgabe den Sinn und Zweck, hier entsprechend schnell zu reagieren sowie einen Schaden zu verhindern oder einen bereits entstandenen Schaden zu minimieren.

Ausnahme der Meldepflicht: Wenn die Panne oder die Verletzung des Schutzes personenbezogener Daten nicht oder mit geringem Risiko die Rechte und Freiheiten einer natürlichen Person beeinträchtigen. Ausnahme wäre beispielsweise, wenn eine unbefugte Person zwar Zugang hatte, aber die Daten auf einem Datenträger (z.B. USB-Stick, I-Pad, Tablett, Smartphone) sicher verschlüsselt waren. Anders verhält es sich, wenn die Daten zwar sicher verschlüsselt waren, jedoch durch einen Verlust trotzdem nicht mehr verfügbar sind. Dann wären die Rechte und Freiheiten einer natürlichen Person verletzt und die Datenpanne wäre somit meldepflichtig.

Der Rückversand eines ungeöffneten Briefes beispielsweise, welcher an eine falsche Anschrift ging, ist nicht als Datenpanne anzusehen und somit entfällt die Meldepflicht.
Sollte eine Datenpanne, ein Datenleck nicht sicher ersichtlich sein, bzw. eine Vermutung oder eine Ungewissheit bestehen, ist eine Meldung empfehlenswert. Durch eine Falscheinschätzung kann die Schadenhöhe schwere Folgen haben.

 

Ist der Betroffene über die Panne zu informieren?

Kommt es beim Betroffenen, Kunden oder Nutzer zu einer schwerwiegenden Beeinträchtigung, hat eine Information unbedingt zu erfolgen. Besonders, wenn die geschädigte Person selber Maßnahmen zum Schutz zu ergreifen hat.

Ein Beispiel hierfür ist, wenn die geschädigte Person zu ihrem Schutz beispielsweise

die Zugangspasswörter oder Log-in-Daten ändern muss oder eine Sperrung veranlassen muss (Account-Zugang oder Kreditkartensperrung)

Hier sollte nachweisbar belegbar sein, dass es mit den Abhandengekommenen Daten zu keinem Schaden kommen kann, und ebenso zu belegen ist, dass der abhandengekommene Zugang nicht mehr gültig ist…  erst dann entfällt die Meldepflicht.

 

Wer ist der Verantwortliche bei einer Panne?

Information an wen? Bei einer entstandenen Datenpanne hat jeder Beteiligte zu wissen, an wen im Ernstfall zur schnellen Maßnahme sich zu wenden ist. Der Verantwortliche hat genau zu wissen, in welchem Fall was zu tun muss.

Diesbezüglich ist ein Krisendokument zu erstellen sowie aktuell zu halten.

Inhalt Krisendokument:

  1. Beispiele für mögliche Datenpannen, sortiert nach ihrer Schwere
  2. Nötige nächste Schritte, Ablauf kurz und bündig
  3. Aufgaben der verantwortlichen Mitarbeiter
  4. Kontaktdaten der zuständigen Aufsichtsbehörde sowie des Ansprechpartners
  5. Textbausteine zur Information an die Betroffenen oder nötigen Stellen

 

Transparente Meldung an Betroffene:

Die Ansprache an den Betroffenen hat immer professionell und transparent zu erfolgen. Empfehlung ist eine gute Vorbereitung. Am besten geeignet sind Textbausteine, welche im Fall der Fälle an die Presse, die Kunden und die Shareholder weitergegeben werden.

Welche Fragen sollten im Muster-Textbaustein geklärt sein?

  1. Datum, Zeitspanne und Umfang der Datenpanne.
  2. Grund der Datenpanne, bereits getroffenen nötige Maßnahmen sowie zukünftiges Vorgehen zum zukünftigen Schutz.
  3. Nötige weitere Handlungen der Betroffenen (z.B. Passwortänderung)
  4. Information an Betroffene, wie diese über den weiteren Verlauf auf dem Laufenden gehalten werden.

 

Entschuldigungsschreiben: Es gehört zwar nicht zur Krisenbewältigen, sollte aber trotzdem eingebaut sein. Der Textbaustein sollte eine Entschuldigung an den Kunden enthalten. Hier soll hervorgehen, dass die Panne extrem ernst genommen wird und daran gearbeitet wird, dass eine solche Panne in Zukunft verhindert wird.

Je nachdem wie groß die Panne war, kann der Internetauftritt dazu genutzt werden, um wichtige Informationen bereitzustellen und die Fragen zu beantworten, welche bei den Kunden immer wieder auftreten.

Empfehlenswert ist im eigenen Internetauftritt bzw. der Homepage für so einen Fall eine Landingpage zu errichten. Somit können schnelle Information für die meisten offenen Fragen an die Betroffenen geliefert werden. Auch über eine Hotline je nach Größe des Unternehmens ist nachzudenken.

 

Abschlussinformation: Betroffene sind nach Klärung und Beseitigung der Datenpanne diesbezüglich zu informieren. Dies stärkt nicht nur das Vertrauen in die Firma, sondern auch das zukünftige Vertrauen der Betroffenen in das Unternehmen.

 

Was tun bei einer hohen Risikoeinschätzung?

Zur Abschätzung des Risikos hat die Datenschutzkonferenz – DSK (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) in einem Kurzpapier Nr. 18 eine Hilfestellung veröffentlicht. Eine Meldung ist im Zweifel immer der sicherere Weg.

Stellt es sich bei der Risikobewertung auch heraus, dass voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so ist gemäß Art. 34 DSGVO auch die hierzu betroffenen Personen zu benachrichtigen.

Werden nach Folgenabschätzung die Risiken einer möglichen Datenpanne hoch eingeschätzt, sind Maßnahmen zur Risikominderung zu treffen. Das können technische oder organisatorische Maßnahmen sein, welche den Schutz der personenbezogenen Daten bei der Verarbeitung erhöhen. Die TOM (Technische Organisatorische Maßnahmen) ist als Vorsorge und Sicherheitsnachweis nötig. Beispielsweise indem Unbefugte nicht die gleichen Geräte nutzen dürfen, mit denen die Daten verarbeitet wurden. Zu den technischen Daten zählen Zutrittskontrollen, schlössen und eine gute Verschlüsselung der Daten. Zu den organisatorischen Maßnahmen gehören Richtlinien, Arbeitsanweisungen, Berichtspflichten und Dokumentationen.

 

Fünf Expertentipps, um eine Krise gut zu überstehen:

  1. Das gesetzlich verpflichtende Datenverarbeitungsverzeichnis genau führen und immer aktuell halten, dieses gibt im Ernstfall den Überblick.
  2. Die Risiken im Vorfeld bewerten und den Schutz hochfahren, um das Risiko zu minimieren.
  3. Einen Datenpannen-Krisenstab ernennen und die Verantwortlichkeiten festlegen. Die Maßnahmen der ersten 72 Stunden planen, damit die Meldung rechtzeitig die zuständige Meldebehörde erreicht.
  4. Bereits einen Vorlage-Text formulieren, der an die Kunden, die Presse und die Shareholder ausgegeben werden kann, damit die wichtigsten Informationen zur Krise ausgegeben werden.
  5. Perfekte Nachsorge. Informationen sammeln, die dafür sorgen, dass eine solche Krise nicht mehr passieren kann. Ist alles in Ordnung gebracht, die Informationen an die Kunden, die Presse und die Shareholder ausgegeben.

 

Fazit – Vorsicht ist besser als Nachsicht

Der Umgang mit einer Datenpanne endet keinesfalls nur mit der Meldung bei der Aufsichtsbehörde und ggfs. der Wiederherstellung des Normalbetriebs. Bereits bei der Meldung wird hier abgefragt, welche Maßnahmen zur Eindämmung des Risikos akut unternommen wurden und zukünftig werden. Teil der Dokumentation von einem Datenschutznotfall ist daher auch die Aufarbeitung und das Implementieren von weiteren Maßnahmen, die einen nochmaligen Datenschutznotfall dieser Art verhindern können.

Ein extrem wichtiger Punkt bei der Vorsorge einer Panne ist es, die personenbezogenen Daten in einem Verzeichnis zu erfassen. Ein solches Verzeichnis gibt den Überblick darüber, bei welchen Geschäftsabläufen die personenbezogenen Daten benötigt werden. Solche Verzeichnisse sind hilfreich, wenn im Vorfeld die Risiken eingeschätzt werden und die passenden Schutzmaßnahmen zugeteilt werden. Tritt eine Panne auf, können Verzeichnisse, wenn sie gut gepflegt wurden, mit einer Analyse im Nachgang feststellen, welche und wie viele Daten von der Panne betroffen sind.

Eine Panne im Bereich DSGVO ist für viele eine Katastrophe.
Die Datenschutz Grundordnung ist keine große Gewitterwolke, die über einem Betrieb schwebt. Mit etwas Vorbereitung und Vorbeugung können die Weichen für ein gutes Miteinander zwischen Betrieb und der Datenschutz Grundverordnung gesetzt werden. Mit einer guten Vorbereitung ist eine Panne schnell im Griff und die Gefahr für noch größere Schäden im Nachgang werden minimiert.