#4 Datenschutzverletzung

Datenschutzverletzung

Heute knüpfen wir mal an dem vorherigen Thema „Strafen“ an. In unserem Blog werden wir noch sehr oft an vorherigen Themen anschließen weil vieles zusammenhängt und man vieles auseinanderziehen muss, um es zu verstehen. Heute also Datenschutzverletzung oder auch Datenschutzpanne genannt.

Erst neulich waren wir live dabei als es zu einer Datenschutzpanne gekommen ist. Wir haben eine E-Mail von einem Lieferanten erhalten, welcher auf eine Sicherheitslücke durch eine Schadsoftware aufmerksam machen wollte allerdings ist beim Versenden der Mail ein Fehler unterlaufen. Vermutlich war es Unachtsamkeit und kurz vor Feierabend – mal eben schnell…jeder kennt es. Wie wir nun wissen, hat dieser Lieferant einen sehr großen Lieferanten und Kundenkreis, ebenso viele augenscheinlich private Adressen im Portfolio. Woher wir dies wissen? Naja, beim Versenden der Mail hat man nicht auf CC (Carbon Copy) und BCC (Blind Carbon Copy) geachtet und somit konnten alle sehen mit wem dieses Unternehmen etwas zutun hat. Es bildet sich zunächst eine Art Chat mit den über 500 anderen ungewollten Teilnehmern denn viele waren sehr empört über diese Offenlegung. Mit einer zweiten Mail (dieses mal auch richtig mit BBC umgesetzt) hat sich das Unternehmen entschuldigt, darauf hingewiesen was passiert ist, welche Daten öffentlich gemacht worden sind und das man sich selbst bei der Datenschutzbehörde meldet. Es lässt sich darüber streiten, ob man es in dem Umfang melden musste – wir erklären es im weiterem Verlauf.

Was ist eine Datenschutzpanne?

Das Unternehmen hat uns schon mal gezeigt was eine Datenschutzpanne sein kann. Die Datenschutz-Grundverordnung (DSGVO) fasst unter dem Begriff  „Verletzung des Schutzes personenbezogener Daten“ alle Datenschutzverletzung zusammen. Kommt es also zu einem Fall der,

  1. a) zur Vernichtung, zum Verlust oder zur Veränderung (egal ob unbeabsichtigt oder unrechtmäßig)
  2. b) zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden

dann spricht man von einer Datenschutzpanne. Es gibt etliche Szenarien die man dabei durchspielen kann (sollte man übrigens auch im Risikomanagement aufgreifen) z.B. einen Hackerangriff, ein Mitarbeiter verliert einen USB Stick oder der Firmenlaptop wird aus dem Auto geklaut.

Was ist zutun wenn es zu einer Panne gekommen ist?

Nun ist der Fall eingetreten und Sie können sich schon mal auf einen langen Tag einstellen. Geben Sie Zuhause Bescheid und checken Sie ihre Kaffeevorräte. Nun ist nämlich  „Zeit“ ihr Feind! Im besten Fall haben Sie die Panne frühzeitig erkannt und den Ablauf als Prozess abgebildet damit jeder Bescheid weiß was nun zutun ist denn laut Art. 33 DSGVO muss der Vorfall innerhalb von 72Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Für den Fall das man später dran ist, ist eine Begründung notwendig und wird andernfalls geahndet.

Die DSGVO sagt im Fall von Verletzungen des Schutzes von personenbezogenen Daten, dass es zu einem physischen, materiellen oder immateriellen Schaden für natürliche Personen führen kann, wenn nicht rechtzeitig und angemessen reagiert wird. Zu diesen möglichen Schäden zählen etwa die Diskriminierung von Personen, Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigung, und weitere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die Betroffenen.

Dementsprechend geht man hier sehr streng mit dem Thema um und es kann als Ordnungswidrigkeit geahndet werden, wenn Sie trotz Pflicht eine Panne nicht melden oder eine der betroffenen Personen nicht benachrichtigen.

GANZ WICHTIG! Die 72-Stunden, wie der Name schon sagt, ist eine STUNDENFRIST! Es ist also völlig egal ob ein Wochenende oder Feiertag dazwischen liegt.

Aber nicht jede Panne muss gemeldet werden. Die Bewertung erfolgt nach der Risikoanalyse und gibt dann Aufschluss darüber, ob sie melden müssen oder nicht. Hierbei unterteilt man in geringes, mittleres und hohes Risiko.

In jedem Fall muss der Vorfall dokumentiert werden.

Beispiel für ein geringes Risiko:

Ein Mitarbeiter hat einen verschlüsselten(!) USB-Stick mit personenbezogenen Daten verloren.

Beispiel für ein hohes Risiko:

Daten zu Bankverbindungen sind unverschlüsselt verloren gegangen.

Phasen der Risikobeurteilung
Bei der Beurteilung sind drei Phasen zu durchlaufen.

• Bestimmung möglicher Schäden

• Abschätzung von Eintrittswahrscheinlichkeit und Schwere möglicher Schäden

• Zuordnung zur Risikoabstufungen

Phase 1: Bestimmung möglicher Schäden
Im Rahmen der Risikoidentifikation sind zunächst mögliche Schäden für den Betroffenen zu bestimmen. Erwägungsgrund 85 enthält zahlreiche Beispiele für mögliche Schäden bei Datenschutzvorfällen. Dies können beispielsweise sein: Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste oder Rufschädigung. Sind bei einer Datenpanne Datensätze mit vollständigen Namen und Privatadressen abhandengekommen, dann ist ein Identitätsdiebstahl ein möglicher Schaden. Kommen hingegen Zahlungsdaten abhanden, so kann es zu finanziellen Verlusten kommen. Alle möglichen Schäden müssen in dieser Phase identifiziert werden.

Phase 2: Abschätzung der Eintrittswahrscheinlichkeit und Schwere möglicher Schäden
In einem zweiten Schritt ist für die möglichen Schäden die jeweilige Eintrittswahrscheinlichkeit und Schwere möglicher Schäden zu bestimmen.

Bei der Bestimmung der Eintrittswahrscheinlichkeit sind zahlreiche Faktoren zu berücksichtigen. Werden Daten nur gegenüber einem sehr geringen Personenkreis offengelegt, dann kann dies bei bestimmten Schäden für eine geringere Eintrittswahrscheinlichkeit sprechen. Auch zu berücksichtigen ist, wie lange ein Vorfall andauerte und wann die ersten Gegenmaßnahmen getroffen wurden. Bekommt ein Empfänger unbeabsichtigt personenbezogene Daten per E-Mail und der Absender weißt ihn hierauf hin, dann weiß der Empfänger um das Aufdeckungsrisiko, wenn er die Daten unrechtmäßig weiterverwendet. Dies verringert nach allgemeiner Lebenserfahrung den Eintritt eines Schadens. Werden hingegen Daten im Internet veröffentlicht, dann weiß ein Empfänger um das geringere Aufdeckungsrisiko von sich selbst, die Hemmschwelle für einen Identitätsdiebstahl ist geringer und damit steigt auch die Eintrittswahrscheinlichkeit für einen hohen Schaden.

Die Schwere des Schadens wird anhand von vielen Kriterien bestimmt. So ist die Schwere  höher, wenn als besonders sensibel eingestufte Daten betroffen sind. Dazu gehören die in Art. 9 DSGVO genannten Daten. Auch die Betroffenenkategorie kann sich auf die Schwere des Schadens auswirken. Sind etwa Daten von Kindern betroffen dann handelt es sich um Personen die besonders schützenswert sind. Besondere Bedeutung kommt schließlich auch der Anzahl der betroffenen Personen und der Merkmale innerhalb eines Datensatzes zu.

Phase 3: Zuordnung zur Risikoabstufungen
Wurden die ersten beiden Phasen durchlaufen dann ist nun die Zuordnung des Risikos zu den verschiedenen Risikoabstufungen vorzunehmen. Es gibt die drei bereits erwähnten Risikobereiche: „geringes Risiko“, „(mittleres)Risiko“ und „hohes Risiko“.

Sind Schwere und Eintrittswahrscheinlichkeit eines Schadens sehr groß, dann liegt auch ein hohes Risiko für den Betroffenen vor. Wird das Risiko bei einer Datenpanne als „hoch“ bewertet, dann ist nicht nur eine Meldung an die Aufsichtsbehörde, sondern auch eine Benachrichtigung der Betroffenen erforderlich.

Ist hingegen sowohl die Eintrittswahrscheinlichkeit, als auch die Schwere eines Schadens, als sehr gering einzustufen, dann liegt im Ergebnis ein geringes Risiko vor. Dies kann im Einzelfall bedeuten, dass weder eine Meldepflicht gegenüber der Behörde, noch eine Benachrichtigungspflicht gegenüber den Betroffenen besteht.

Wo meldet man den Datenschutzvorfall?

Sollte es bei Ihnen zur Panne gekommen sein dann müssen Sie sich an die zuständige Landesbehörde melden. Jedes Bundesland hat eine eigne Anlaufstelle.

In unserem Fall ist es die Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (www.ldi.nrw.de).

Unsere Empfehlung für den heutigen Blog

Bilden Sie die Datenschutzverletzung als Prozess ab und nehmen Sie es im Risikomanagement auf. Achten Sie im Fall einer Panne auf die Zeit denn 72 stunden sind nicht lang. Beauftragen Sie jemanden, der Ihr Postfach überwacht damit Ihnen eine Datenschutzverletzung rechtzeitig auffällt. Sollten Sie dabei Hilfe brauchen oder generelle Frage haben dann stehen wir gern jederzeit zur Verfügung.