Kürzlich wurde bekannt, dass im April in Kanada zwei mobile Festplatten mit den Daten von zwei Millionen Wählern verschwunden sind. Die unverschlüsselten Festplatten waren bei einem Datentransport in ein anderes Gebäude verloren gegangen. Die kanadischen Behörden haben erst jetzt die Öffentlichkeit über den Vorfall informiert.
Wir wollen die Gelegenheit nutzen und beleuchten, wie sich deutsche Unternehmen bei einem Verlust sensibler Daten zu verhalten haben.
Der Inhalt im Überblick
Regelung in § 42a BDSG
Seit der letzten Änderung des Bundesdatenschutzgesetzes (BDSG) findet sich eine konkrete Regelung für den Verlust besonders sensibler Daten in § 42a BDSG. Diese Vorschrift zur sogenannten Security-Breach-Notification betrifft unter anderem besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG, z.B. Gesundheitsdaten) und Bank- oder Kreditkartendaten. Gehen diese Daten verloren und drohen schwerwiegende Beeinträchtigungen für die Rechte der Betroffenen, so sind die Aufsichtsbehörde und die Betroffenen unverzüglich zu informieren.
Unverzügliche Information der Aufsichtsbehörde und der Betroffenen
Unverzüglich bedeutet in diesem Zusammenhang, dass die Aufsichtsbehörde zu informieren ist, sobald der Vorfall der datenverarbeitenden Stelle bekannt wird.
Anders als bei der Behörde ist bei der Information der Betroffenen unter Umständen die Verschwiegenheit nicht immer gewahrt. Um aber zu verhindern, dass z.B. die aufgetretene Sicherheitslücke auch von anderen Angreifern ausgenutzt wird, kann die Information der Betroffenen in Absprache mit der Behörde zunächst zurückgestellt werden.
Inhaltlich muss die Information „eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten“. So sollen die Schäden für die Betroffenen möglichst gering gehalten werden.
Halbseitige Anzeige in zwei Tageszeitungen
Bei der Information der Betroffenen muss beurteilt werden, ob die Benachrichtigung einen unverhältnismäßigen Aufwand darstellt. Dies kann sich z.B. aus der großen Anzahl der Betroffenen ergeben oder aus der Tatsache, dass nicht alle Anschriften der Betroffenen bekannt sind. In diesen Fällen erfolgt die Information durch eine halbseitige Anzeige in zwei deutschlandweit erscheinenden Tageszeitungen.
Image-Schaden mit enormen Ausmaßen
Auch wenn bislang noch keine Anzeigen geschaltet werden mussten, ist bei einem Datenverlust das Risiko für das Unternehmensimage enorm. Da der Datenschutz in den letzten Jahren immer mehr ins Blickfeld der Öffentlichkeit gerät, wird das Vermeiden eines Datenlecks für die Außenwirkung eines Unternehmens geradezu überlebenswichtig.
Schutz durch Verschlüsselung
Sind Daten erst einmal verloren gegangen, kann nur noch Schadensbegrenzung betrieben werden. Besser ist es daher, bereits frühzeitig Maßnahmen zum Schutz der Daten zu ergreifen.
Die folgende Schritte helfen dabei, Datenverlust nach Möglichkeit zu vermeiden:
- Schriftliches Konzept zum Umgang mit Daten inkl. Anweisung zur Verwendung mobiler Datenträger
- Schulung und Sensibilisierung der Mitarbeiter im Hinblick auf die Risiken eines Datentransportes
- Technische Lösung zur Verschlüsselung der Daten vor dem Transport, z.B. mit TrueCrypt oder Winzip mit 256-bit AES-Verschlüsselung
[Kommentar gelöscht. Off-Topic. Bitte posten Sie Ihre Frage unter einem themenrelevanten Artikel. Vielen Dank.]