Datenschutzverstoß und Datenpanne: Beispiele und Vorgehen

Fachbeitrag

Unternehmen sind verpflichtet die Aufsichtsbehörden und unter bestimmten Umständen auch die Betroffenen bei Datenschutzverstößen zu informieren. Um diesen Melde- und Benachrichtigungspflichten im Ernstfall gerecht zu werden, ist eine genaue Sachverhaltsaufklärung und zügiges Handeln des Verantwortlichen gefragt. Der folgende Beitrag soll Beispiele nennen und Hilfestellung geben, wann tatsächlich ein meldepflichtiger Datenschutzverstoß vorliegt und welches Vorgehen im speziellen Fall geboten ist.

Unterschied zwischen Datenschutzverstoß, Datenpanne und Datenschutzverletzung

Im Falle des heiklen Themas der Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen kursieren mehrere Begrifflichkeiten. So sprechen manche allgemein von Datenschutzverstoß, andere bezeichnen einen Datenschutzvorfall als Datenschutzverletzung oder Datenpanne.

Was ist ein Datenschutzverstoß?

Ein Datenschutzverstoß kann, muss aber nicht immer gleichzeitig auch eine Datenschutzverletzung bedeuten. Der Begriff des Datenschutzverstoßes wird häufig als Art Oberbegriff verwendet und kann grundsätzlich Verletzungen datenschutzrechtlicher Normen der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) oder des Bundesdatenschutzgesetzes (BDSG) erfassen.

Je nach Gewicht des Verstoßes kann die Folge eines solchen Verstoßes gegen die geltenden Datenschutzgesetze damit auch eine Straftat (§ 44 BDSG) oder eine Ordnungswidrigkeit (§ 43 BDSG) nach dem BDSG darstellen. Wird nach den Vorgaben des § 38 BDSG beispielsweise trotz bestehender Verpflichtung kein Datenschutzbeauftragter für das Unternehmen bestellt, ist hierin ein Datenschutzverstoß zu sehen.

Was ist eine Datenpanne?

Eine Datenpanne, auch bekannt als Datenleck ist ein Ereignis, durch das die Sicherheit von Informationen beeinträchtigt wurde, indem deren Vertraulichkeit, Integrität oder Verfügbarkeit verletzt wurden. Einfach gesagt handelt es sich um einen Vorfall, bei dem eines der folgenden drei Ereignisse eingetreten ist.

  • Jemand erlangt Kenntnis über Informationen, die er nicht wissen sollte.
  • Informationen werden ungewollt verändert oder
  • Informationen sind nicht mehr zugänglich.

Was ist eine Datenschutzverletzung?

Die Begriffe Datenpanne, Datenleck oder Datenschutzverstoß werden auch als Synonym für ihren Unterfall der Datenschutzverletzung verwendet. Der Begriff der Datenschutzverletzung ist jedoch spezieller. Genau genommen handelt es sich bei Datenschutzverletzungen im Sinne der Art. 33 und Art. 4 Nr. 12 DSGVO um Verstöße, bei welchen eine Verletzung des Schutzes personenbezogener Daten stattgefunden hat. Diese Datenschutzverletzung wird in Art. 4 Nr. 12 DSGVO legaldefiniert:

„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“

Datenschutzverletzungen sind demnach Verstöße gegen die Datensicherheit und den Datenschutz, bei denen personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt werden. Die Ursachen dafür sind vielfältig und können z.B. in einem Hackerangriff, dem Verlust eines USB-Sticks, dem Diebstahl eines Smartphones oder in einem unbefugten Weitergeben durch Mitarbeiter – gleichgültig ob bewusst oder unbewusst – liegen.

Nach Art. 4 Nr. 12 DSGVO können folglich nicht nur vorsätzliche und damit bewusste, sondern auch zufällige Ereignisse mit einbezogen werden.

Was meint „Verletzung des Schutzes personenbezogener Daten“?

Mit der Definition in Art. 4 Nr. 12 DSGVO wird dem Verantwortlichen ein Maßstab zur Beurteilung an die Hand gegeben. Was genau mit der in der DSGVO definierten „Verletzung des Schutzes personenbezogener Daten“ gemeint ist, sollte für die praktische Handhabung von Datenschutzvorfällen jedoch auch transparent gemacht werden. Der BayLfD liefert für die Bedeutung der unbefugten Offenlegung und des unbefugten Zugangs von Daten folgende Erklärung:

„Bei einer unbefugten Offenlegung werden personenbezogene Daten unter Missachtung rechtlicher Vorgaben der Öffentlichkeit oder einem zu weiten Benutzerkreis bereitgestellt. Bei einem unbefugten Zugang steht demgegenüber das Handeln Externer im Vordergrund, die Schwachstellen in den vom Verantwortlichen ergriffenen Sicherheitsvorkehrungen ausnutzen.“

Die „unbefugte Offenlegung“ bzw. der „unbefugte Zugang zu personenbezogenen Daten“ soll demnach den Schutzaspekt der Vertraulichkeit von Daten sicherstellen.

Des Weiteren spricht die Definition aus Art. 4 Nr. 12 DSGVO von Vernichtung und Verlust von Daten. Während der Begriff der Vernichtung die endgültige Aufhebung der Zugriffsmöglichkeit für jedermann meint, bleiben die Daten beim bloßen Verlust noch erhalten, jedoch ohne Zugriffsmöglichkeit für den Verantwortlichen.

„Beim Verlust bleiben die Daten erhalten, jedoch lösen sich die faktischen Zugriffsmöglichkeiten so von den seitens des Verantwortlichen erteilten Zugriffsberechtigungen, dass der Verantwortliche oder seine Beschäftigten entweder gar nicht mehr oder jedenfalls nicht mehr ohne Mitwirkung eines nichtberechtigten Dritten auf die personenbezogenen Daten zugreifen können.“

Löscht jemand teilweise Daten aus einem bestehenden Datensatz handelt es sich um eine Veränderung und damit eine Beeinträchtigung der Datenintegrität.

„Hier bleibt ein Zugriff durch den Verantwortlichen und seine Beschäftigten unverändert möglich, doch „sagen“ die Daten nun „etwas anderes aus“ als vor der Einwirkung.“

Beispiele für Datenschutzverletzungen

Datenschutzverletzungen sind oftmals mit erheblichen Risiken, wie z.B. einer Rufschädigung bis hin zu einem Identitätsdiebstahl, für die Betroffenen sowie gravierenden Nachteilen für das Unternehmen verbunden. Aufgrund der hohen Digitalisierung und der gleichzeitig damit gewachsenen Zahl an Cybercrimes sind Datenschutzverletzungen mittlerweile fast alltäglich. Das Erscheinungsbild von Datenschutzverletzungen ist daher vielfältig. Egal ob der Laptop mit Kundendaten im Zug vergessen wurde, eine E-Mail mit vertraulichen personenbezogenen Daten an den falschen Empfänger gesendet wurde oder Ransomware die Kundendaten des Unternehmens verschlüsselt, in all diesen Fällen kann von einer Datenschutzverletzung gesprochen werden.

Nach den Ausführungen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit sind weitere mögliche Beispiele, das Hacking und der Datendiebstahl, der Verlust von USB-Sticks, Einbrüche in Serverräume oder der Verlust oder die Zerstörung sonstiger Hardware.

Ob diese Datenschutzverletzungen allerdings auch zu einer Meldepflicht führen, hängt gemäß Art. 33 DSGVO vom Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen ab.

Wann ist der Datenschutzverstoß meldepflichtig?

Art. 33 DSGVO gibt vor, wann zu melden ist:

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“

Zentraler Anknüpfungspunkt ist somit der Risikobegriff. Erst wenn die Verletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, besteht die Meldepflicht für den Verantwortlichen. Damit der Verantwortliche über das Ja oder Nein einer Meldung entscheiden kann, ist folglich zunächst eine Risikobeurteilung notwendig. Voraussetzung für die Risikobeurteilung ist in einem ersten Schritt immer eine detaillierte und dokumentierte Beschreibung des eingetretenen Vorfalls. Als Hilfestellung macht es Sinn, den Sachverhalt direkt in einem Formular zu erfassen. Auch wenn die Risikobeurteilung ergibt, dass kein Risiko besteht, sind die diesbezügliche Prognoseentscheidung und der zugrundeliegende Sachverhalt nämlich für Nachweiszwecke zu dokumentieren.

Wie funktioniert die Risikobeurteilung?

Nach dem Kurzpapier der Aufsichtsbehörden erfolgt die Risikobeurteilung in drei Schritten.

  1. Bestimmung möglicher Schäden
    In diesem ersten Schritt müssen die möglichen Schäden für Betroffene identifiziert werden. Solche durch Datenschutzverletzungen indizierte Schäden können physischer, materieller oder immaterieller Natur sein. In Betracht kommen daher Schäden wie Identitätsdiebstahl oder -betrug, finanzielle Verluste oder eine Rufschädigung. Weitere Beispiele für Schäden werden in Erwägungsgrund 85 dargestellt.
  2. Abschätzung der Eintrittswahrscheinlichkeit und Schwere möglicher Schäden
    Nachdem einer oder mehrere mögliche Schäden erfasst wurden, ist für diese die jeweilige Eintrittswahrscheinlichkeit und deren Schwere, d.h. das eigentliche Gewicht des Schadens zu bemessen. Ein Gesichtspunkt, der für eine niedrige Eintrittswahrscheinlichkeit sprechen kann, ist beispielsweise die Tatsache, dass eine Mail an einen sehr kleinen Kreis von falschen Adressaten geschickt wurde oder ein Datenleck innerhalb kurzer Zeit wieder beseitigt wurde. Neben der Dauer des Vorfalls spielen auch die während oder nach dem Vorfall getroffenen Sicherheitsmaßnahmen eine entscheidende Rolle. Bei der Bestimmung der Schwere des Schadens ist maßgeblich auf die Art der Daten und die Anzahl der betroffenen Personen abzustellen. Sind viele Personen und oder besondere Kategorien von Daten betroffen, ist automatisch auch mit einem höheren Schaden zu rechnen. Letztendlich hängt diese Abschätzung jedoch immer vom konkreten Einzelfall ab und kann nicht pauschal anhand von fixen Vorgaben oder Beispielen festgemacht werden.
  3. Zuordnung zur Risikoabstufung
    Nach den genannten zwei Schritten, folgt die Zuordnung zu einem Risikobereich. Nach der Risikomatrix der DSK kann eine Zuordnung für „geringes Risiko“, „Risiko“ und „hohes Risiko“ erfolgen.

Risikomatrix als Hilfestellung

Im Kurzpapier der Datenschutzkonferenz wird als Anhaltpunkt zur Risikobeurteilung auf eine Risikomatrix hingewiesen. Diese kann dem Verantwortlichen bei der Einschätzung der Höhe des Risikos als Hilfswerkzeug dienen.

Die Matrix besteht aus einem grünen Bereich (geringes Risiko), einem gelben Bereich (Risiko) und einem roten Bereich (hohes Risiko). Sind wir innerhalb der Matrix im roten Bereich und sind dementsprechend Schwere und Eintrittswahrscheinlichkeit eines Schadens sehr groß, dann liegt auch ein hohes Risiko für den Betroffenen vor. Bei einer Datenschutzverletzung mit hohem Risiko muss eine Meldung an die Aufsichtsbehörde erfolgen und die Betroffenen sind zwingend zu informieren. Bei einem geringen Risiko kann in Einzelfällen von einer Meldung abgesehen werden, zumindest Betroffene sind hier nicht zu informieren. Schwierig können sich Fälle im gelben Bereich der Matrix gestalten. Eine vorherige Absprache mit dem Datenschutzbeauftragten zu den Gegebenheiten des Einzelfalles ist in solchen Fällen anzuraten.

Beispiele für Datenschutzverstöße, die in der Regel eine Meldung erfordern

Beispiel 1: Bewerberdaten der Agentur für Arbeit werden durch einen Cyberangriff entwendet und die Malware wird nach einem Monat bemerkt. In dieser Zeit konnten die Angreifer weitere Datenverarbeitungen beobachten. Besondere Kategorien von Daten waren nicht betroffen. Auch wenn hier keine besonderen Kategorien von Daten betroffen waren, enthalten Bewerberinformationen viele und individuelle Informationen über den einzelnen Bewerber. Ein Missbrauch bspw. in Form eines Identitätsdiebstahls begründet hier ein hohes Risiko. Nach den Leitlinien des EDSA wäre hier eine Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO und an die Betroffenen gemäß Art. 34 DSGVO erforderlich.

Beispiel 2: Ein unverschlüsselter Laptop mit Backup-Schutz, welcher personenbezogene Daten von mehr als 100.000 Kunden enthält, wurde gestohlen. Die in Rede stehenden Daten umfassen u.a. Name, Adresse und Geburtsdatum. Auch in diesem Fall wäre nach den Leitlinien des EDSA, wegen der Gefahr des Identitätsdiebstahls, von einem hohen Risiko auszugehen und eine Meldung an die Aufsichtsbehörde und an die Betroffenen geboten.

Beispiele für Datenschutzverstöße, die in der Regel keine Meldung erfordern

Beispiel 1: Bereits verschlüsselte Daten werden durch einen Ransomware-Angriff nochmals verschlüsselt. Es erfolgte kein Datenabfluss. Mithilfe eines Backups konnten die Daten schnell und unproblematisch wiederhergestellt werden, wodurch Störungen des anfallenden Unternehmensgeschäfts vermieden werden konnten. Hier kann nach der Bewertung durch die Leitlinien des EDSA eine Meldung an die Aufsichtsbehörde und an die Betroffenen unterbleiben. Hätte die Wiederherstellung der Daten jedoch länger als ein paar Stunden gedauert, könnte der Fall bereits wieder anders beurteilt werden.

Beispiel 2: Eine Meldepflicht wurde auch in dem Fall zwei entwendeter Tablets verneint. Diese waren ausgeschalten, durch starke Passwörter und Backups geschützt. Die vorhandenen Daten auf den Tablets konnten außerdem schnell aus der Ferne gelöscht werden.

Wann müssen Betroffene über eine Datenpanne informiert werden?

Ob auch die Betroffenen bei einem meldepflichtigen Datenschutzvorfall informiert werden müssen, richtet sich nach Art. 34 DSGVO.

„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“

Anknüpfungspunkt ist somit das hohe Risiko, welches durch eine Prognoseentscheidung des Verantwortlichen im Einzelfall ermittelt werden muss. Liegen wir in der Risikomatrix demnach im roten Bereich, müssen die Betroffenen individuell und unverzüglich informiert werden. Nähere Informationen zur Prognose und zur Benachrichtigung der Betroffenen sind in unserem Beitrag zur Kundeninformation bei Hackerangriffen nachzulesen. Ausnahmen von der Benachrichtigungspflicht sind in Art. 34 Abs. 3 DSGVO abschließend aufgeführt.

Was und wie muss bei einer Datenpanne gemeldet werden?

Die Meldung einer Datenschutzverletzung muss zumindest die folgenden Vorgaben aus Art. 33 Abs. 3 DSGVO enthalten:

  • Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, Kategorien und Datensätze;
  • Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • Beschreibung der wahrscheinlichen Folgen der Verletzung;
  • Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und ggf. Maßnahmen zur Abmilderung

Nur ausnahmsweise dürfen Informationen, die nicht zur gleichen Zeit bereitgestellt werden können, ohne unangemessene weitere Verzögerung vom Verantwortlichen auch schrittweise nachträglich den Behörden zur Verfügung gestellt werden (siehe hierzu Art. 33 Abs. 4 DSGVO). Eine erste Meldung muss dennoch innerhalb der Meldefrist erfolgen.

Einhaltung der Meldefrist

Ein Datenschutzvorfall sollte gemäß Art. 33 DSGVO unverzüglich oder zumindest binnen einer 72-Stunden-Frist bei den Aufsichtsbehörden gemeldet werden. Informationen zur Bedeutung der Unverzüglichkeit und der Fristberechnung finden Sie in unserem Artikel zur Fristberechnung.

Wo wird die Datenpanne gemeldet?

Die meisten Aufsichtsbehörden bieten ein praktisches Online-Formular zum direkten Ausfüllen und Absenden an. In Berlin, Schleswig-Holstein, Hessen und Sachsen sind teilweise zusätzliche Schritte für die Meldung nötig. Im Folgenden finden Sie die entsprechenden Links der Behörden zur Meldung von Datenschutzverletzungen.

Die Rollen bei der Meldung von Datenschutzvorfällen sind nach der DSGVO klar verteilt. D.h. bei Datenschutzvorfällen muss immer der Verantwortliche die Meldung übernehmen, egal ob die Datenschutzverletzung bei ihm oder bei seinem Auftragsverarbeiter erfolgte. Auftragsverarbeiter melden demnach nicht gegenüber der Aufsichtsbehörde, sondern melden einen Datenschutzvorfall unverzüglich dem Verantwortlichen. Allein dem Verantwortlichen obliegt sodann die Entscheidung, ob er eine Meldung gegenüber der Aufsichtsbehörde tätigt.

Nähere Informationen hierzu können Sie in unserem Artikel „Meldepflicht des Auftragsverarbeiters bei Datenschutzverletzungen“ nachlesen.

Checkliste: Optimales Vorgehen beim Bekanntwerden einer Datenschutzverletzung

Im Ernstfall sollten bei der Reaktion auf einen Datenschutzvorfall keine wichtigen Schritte vergessen werden. Ein im Unternehmen bereits etablierter Prozess und vorhandener Maßnahmenplan kann meist größere Schäden abwenden und spart kostbare Zeit.

Folgende Checkliste dient als Anhaltspunkt für eine angemessene Reaktion nach Bekanntwerden einer Datenschutzverletzung.

  1. Schnelle Kenntniserlangung eines eingetretenen Datenschutzvorfalls und Sachverhaltsaufklärung
  2. Frühzeitige Einbindung des Datenschutzbeauftragten
  3. Prüfung der Ursache für Datenschutzvorfall und Ergreifen von Maßnahmen zur Abwendung oder Eindämmung
  4. Dokumentation des Sachverhalts
  5. Durchführung einer Risikobeurteilung und Entscheidung des Verantwortlichen über das „OB“ der Meldung (Sofern von einer Meldung abgesehen wird, sind die Gründe hierfür unter Vornahme einer Risikoabwägung zu dokumentieren)
  6. Meldung des Datenschutzvorfalls bei der zuständigen Aufsichtsbehörde und Information des Betroffenen, sofern ein hohes Risiko besteht
  7. Schadensbeseitigung -Analyse des Vorfalls- evtl. Verbesserungen des bisherigen Prozesses umsetzen

Im Ernstfall richtig reagieren

Ohne Zweifel ist ein Datenschutzvorfall ärgerlich und mit gewissem Aufwand und Stress verbunden. Dennoch kann ein Datenschutzvorfall jederzeit unerwartet auftreten. Mit einem etablierten Prozess für den Umgang mit Datenschutzvorfällen, dem entsprechenden Know-how zum Thema und der Unterstützung des Datenschutzbeauftragten ist der Verantwortliche jedoch auch in schwierigen Fällen gut gewappnet. Hierdurch können auch unnötige Fehler, wie bspw. die Fristversäumnis vermieden werden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

2 Kommentare zu diesem Beitrag

  1. Vielen Dank für den tollen Artikel!
    Es gibt ja die Frist der 72 Stunden für die Meldung. Gibt es auch Vorgaben wie schnell die Betroffenen informiert werden müssen? Oft dauert nämlich die Analyse und eine eventuelle Feststellung eines Datenabflusses durch ein externes IT Unternehmen eine Weile.

    • Der Art. 34 Abs. 1 DSGVO schreibt lediglich eine unverzügliche Benachrichtigung vor. Sie darf also nicht schuldhaft verzögert werden, was bei einer sachgerechten Aufklärung eines IT-Sicherheitsvorfalls nicht der Fall ist. Da Datenpannen, bei denen aufgrund des hohen Risikos unter Umständen die Betroffenen benachrichtigt werden müssen, immer auch schon der Aufsichtsbehörde nach Art. 33 Abs. 1 DSGVO gemeldet werden mussten und diese nach Art. 34 Abs. 4 DSGVO das letzte Wort über das Vorliegen einer Benachrichtigungspflicht hat, bietet sich in der Praxis dabei eine enge Abstimmung mit dieser an. Das legt auch EG 86 S. 3 nahe.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.