Datenschutzverletzungen DSGVO

Praxisnahe Umsetzung seit 2013

Ihr Experte für Datenschutz und Informationssicherheit

Datenschutzverletzungen

Datenschutzverletzungen: Können Sie diese 10 Fragen beantworten?

Home » Datenschutz-Grundlagen » Datenschutzverletzungen

Datenschutzverletzungen: Der Überblick

Einleitung

Wenn Sie als Unternehmen personenbezogene Daten verarbeiten und diese nicht fachgerecht schützen, sind Datenschutzverletzungen wahrscheinlich. Der Begriff „Datenschutzverletzung“ ist im Gesetzestext nur allgemein formuliert, sodass sich Ihren Beschäftigten oder Dienstleister irgendwann die Frage stellt: Haben wir jetzt eine Datenschutzverletzung und was ist zu tun?

Bei einer Verletzung der Sicherheit von Daten, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt, spricht der Gesetzgeber vereinfacht von einer Datenschutzverletzung. Typische Beispiele sind:

Verlust oder Diebstahl mobiler Datenträger, wie zum Beispiel USB-Sticks, externe Festplatten oder Laptops
Verlust, Diebstahl oder Verlegung von zum Beispiel Papierunterlagen, Aktenordnern oder Bewerbungsmappen
Versehentliches Öffnen oder Verlust von Briefpost oder Paketen
Fehlversand von E‑Mails oder Dateien an unbefugte Personen
Verlust, Verschlüsselung oder unerlaubte Verbreitung von Daten durch Cyberangreifer oder sonstigen unbefugten Personen

Damit Sie Datenschutzverletzungen vorbeugen, Folgen für betroffene Personen durch Gegenmaßnahmen abmildern, rechtzeitig und korrekt der Aufsichtsbehörden melden und fachgerecht abarbeiten, sind geeignete Prozesse im Unternehmen zu etablieren. Die Beschäftigten müssen zum Beispiel wissen, was Datenschutzverletzungen sind und was im Eintrittsfall zu tun ist.

Auf dieser Seite finden Sie Antworten auf (fast) alle Fragen rund um das Thema „Datenschutzverletzungen“.

Hinweis: Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine konkrete Umsetzung nehmen Sie gerne Kontakt auf.

Datenschutzverletzungen: Das Risiko für betroffene Personen

Je sensibler die Daten der betroffenen Personen sind, desto weitreichender können die Auswirkungen bei Datenschutzverletzungen sein. Aus einem „Hier ist noch nie etwas passiert!“ wird dann die Frage gestellt: „Wie konnte das passieren?“ oder „Was haben Sie getan, um das zu verhindern?“

Beachten Sie die möglichen FOlgen

Aus Datenschutzverletzungen können sich zahlreiche nachteilige Auswirkungen für die betroffenen Personen ergeben. Neben physischen und materiellen Schäden sind auch immaterielle Schäden denkbar. Nicht immer sind diese Auswirkungen vorweg erkennbar.

Jede Datenschutzverletzung wird im Einzelfall bei den betroffenen Personen unterschiedlich hart ausfallen. Eine Auskunft am Telefon, eine Weiterleitung einer E‑Mail mit internen Informationen oder ein Verlust einer Bewerbungsmappe kann in den meisten Fällen glimpflich ablaufen. Im Einzelfall sind aber auch soziale, gesellschaftliche, gesundheitliche oder finanzielle Nachteile denkbar.

Melden Sie eine Datenschutzverletzung an die Aufsichtsbehörde oder die betroffene Person nicht rechtzeitig, kann dies zu einer Geldbuße bis zu 10.000.000 EUR oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes führen.

Sie sollten also bei Ihnen im Unternehmen Prozesse einführen und Maßnahmen etablieren, um die Anforderungen der DSGVO zu erfüllen.

Prüffragen für die Geschäftsleitung

Fragen Sie sich als Vertretung der Geschäftsleitung: Machen wir im Datenschutz alles richtig? Dann stellen Sie Ihrem Personal oder dem Datenschutzbeauftragten die folgenden Fragen und lassen sich entsprechende Nachweise vorlegen.

Auch die von Ihnen ausgewählten Auftragsverarbeiter können ein Risiko mit sich bringen. Sie als Verantwortlicher haften, wenn die von Ihnen ausgewählten Auftragsverarbeitern mit Ihren Daten nicht ordnungsgemäß umgehen. Haben Sie Ihre Auftragsverarbeiter auch in diesem Punkt geprüft und dies dokumentiert? Dann können Sie Ihr Haftungsrisiko weit minimieren.

Ist ein dokumentierter Prozess eingerichtet worden, der eindeutige Regelungen zu Verantwortlichkeiten, Kommunikationswegen und Berichtslinien für Datenschutzverletzungen enthält und regelmäßig aktualisiert wird?
Sind im Prozess die Identifikation und Risikobewertung von Datenschutzverletzungen, die Aufarbeitung des Sachverhaltes, die Auswahl geeigneter Maßnahmen zur Behebung und Vermeidung einer Wiederholung, zur Entscheidungsfindung der Meldepflichten und der nachgelagerten Prüfung der Verarbeitungstätigkeit und Sicherheitsmaßnahmen vorhanden?
Gibt es Vorlagen und Musteranschreiben, die bei einer Datenschutzverletzung zur Verfügung stehen und von Ihren Beschäftigten genutzt werden müssen?
Haben Sie Kommunikationswege im Unternehmen und bei Ihren Auftragsverarbeitern etabliert, damit Datenschutzverletzungen gemeldet werden?
Werden alle Datenschutzverletzungen in einem zentralen Verzeichnis dokumentiert und enthält die Dokumentation sämtliche erforderlichen Angaben (siehe unten)?

Gibt es Vorgaben, wer der Aufsichtsbehörde und den betroffenen Personen wann welche Mindestinformationen zur Verfügung stellt, entsprechen diese den Pflichtvorgaben und können diese eingehalten werden?
Sind Regelungen vorhanden, die eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme ermöglichen, wenn die individuelle Information an betroffene Person zu einem unverhältnismäßigen Aufwand führen?
Enthalten alle Vereinbarungen mit Auftragsverarbeitern Regelungen zum fachgerechten Umgang mit Datenschutzverletzungen und sind die relevanten Beschäftigten angemessen geschult worden?
Sind Prozesse, Verantwortlichkeiten und Schnittstellen definiert, die es Ihnen ermöglichen, Datenschutzverletzungen Ihrer Auftragsverarbeiter zu erkennen, zu bewerten, nachweisbar zu dokumentieren und ggf. der Aufsichtsbehörde zu melden bzw. die Betroffenen zu benachrichtigen?
Haben Sie einen Prozess eingerichtet, der regelmäßig prüft, ob alle Datenschutzverletzungen der Fachbereiche gemeldet wurden bzw. ob es keine Datenschutzverletzungen gab (Negativmeldung)?

Sie kennen das Thema bereits und wollen mehr Details wissen? Hier erhalten Sie mehr Informationen zum Thema Datenschutzverletzung!

Sie wollen in 4 Schritten das Thema Datenschutzverletzung im Unternehmen etablieren? Finden Sie hier weitere Informationen.

Sie wünschen eine direkte Kontaktaufnahme und haben ein paar Fragen, die ggf. schnell beantwortet werden können?

Die 20 häufigsten Ursachen von Datenschutzverletzungen im Unternehmen (Teil 1)

Fehlende Regelungen im Umgang mit Informationen und Daten führen in Unternehmen automatisch zu Wildwuchs in den Fachbereichen und zur Intransparenz. Sorgen Sie dafür, dass in Ihrem Unternehmen klare Vorgaben und Konzepte etabliert werden, um Datenschutzverletzungen vorzubeugen. Auf der linken Seite sehen Sie die Ursache der Verletzungen — auf der rechten Seite klassische technische und organisatorische Maßnahmen zur Prävention.

In 4 Schritten zum professionellen Umgang mit Datenschutzverletzungen

Nachfolgend zeige ich Ihnen in 4 Schritten, wie Sie einen Prozess zum Umgang mit Datenschutzverletzungen im Unternehmen etablieren.

Schritt 1: Holen Sie einen Spezialisten an Bord — schneller geht es nicht.

Zunächst beauftragten Sie einen Spezialisten, der seit vielen Jahren nichts anderes macht. Mit einem geringen Zeitaufwand bei Ihren internen Fachbereichen werden die erforderlichen Informationen abgefragt, um in Ihrem Unternehmen die erforderlichen Prozesse zur Prävention und Handhabung von Datenschutzverletzungen zu erstellen.

Beachten Sie das Risiko für die betroffenen Personen!

Die Anzahl der zu erstellenden Dokumente sind abhängig von der Komplexität Ihres Unternehmens und dem Risiko für die Rechte und Freiheiten der betroffenen Personen. Grundsätzlich gilt: Je sensibler die Daten sind, die Sie verarbeiten, desto detaillierter und gewissenhafter müssen Ihre Maßnahmen sein.

Das Wissen für die Erstellung von fachgerechten Prozessen sollten Sie nicht durch interne Beschäftigte ohne Unterstützung aufbauen. Diese Erfahrung ist nebenberuflich nur schwer zu erlangen.

Sie haben ein Notfallmanagement bereits im Unternehmen etabliert? Dann werden Sie sicherlich für die wahrscheinlichsten Risiken einen Notfallplan erarbeitet haben. Wenn Sie noch keinen Notfallplan besitzen, sollten Sie dies ebenfalls in Angriff nehmen. Die Handhabung von Datenschutzverletzungen sollte sicherlich dazugehören.

Schritt 2: Festlegung des Prozesses und der Verantwortlichkeiten im Umgang mit Datenschutzverletzungen

Schulen Sie im zweiten Schritt Ihre Beschäftigten, was eine Datenschutzverletzung ist, was im Fall einer möglichen Datenschutzverletzung zu tun ist und wer wie wann zu kontaktieren ist.

Sie haben noch kein Partnerunternehmen gefunden, das Sie bei einem Cyberangriff unterstützt (zum Beispiel IT-Forensik)? Dann sollten Sie schon einmal eine Auswahl möglicher Spezialisten erstellen, die Sie im Notfall kontaktieren können. Freie Kapazitäten bei IT-Forensikern sind selten. Sie benötigen eine zeitnahe Unterstützung, um Spuren zu sichern und möglichst bald wieder operativ tätig zu werden.

Gestalten Sie Schulungsunterlagen, Vorlagen und Anweisungen für Ihre Beschäftigten, um das Thema Datenschutzverletzungen in Ihren Unternehmen zu verankern. Füllen Sie die Vorlagen beispielhaft einmal aus, wenn Sie bislang keine Datenschutzverletzungen hatten. Es hilft dabei, die Vorlagen praxisnah zu gestalten.

Jede Datenschutzverletzung ist anders. Definieren Sie für typische Datenschutzverletzungen stichpunktartig Gegenmaßnahmen, wie Sie vorgehen würden.

Sie haben ein internes Dokumentationssystem, zum Beispiel ein Wikipedia, ein Dokumentenmanagementsystem, Google Drive, eine NextCloud, ein Qualitätsmanagementsystem, Microsoft Teams / SharePoint oder den klassischen Aktenordner? Sie bevorzugen doch lieber Word- oder Excel-Dokumente? Sorgen Sie dafür, dass alle Unterlagen auch im Falle eines Totalausfalles verfügbar sind.

Schritt 3: Wenden Sie den Prozess bei einer Datenschutzverletzung an.

Bei einer Datenschutzverletzung ist es wichtig, die bei Ihnen im Unternehmen zuständigen Stellen unverzüglich zu informieren. Hier zählt jede Stunde, insbesondere an einem Freitagnachmittag.

Dies kann der Datenschutzbeauftragte, ein Datenschutz-Team mit verschiedenen Zuständigkeiten inkl. der Geschäftsführung oder der Servicedesk sein. Nach dem Eingang der Meldung muss eine Risikobewertung vorgenommen werden. Hier spielt die Zeit eine große Rolle.

Um eine Risikobewertung durchführen zu können, müssen sämtliche relevanten Informationen zusammengetragen werden. Hier spielen die Fachbereiche, die IT-Abteilung, externe Dienstleister oder Kunden und Geschäftspartner eine wichtige Rolle. Nur wenn der Sachverhalt komplett verstanden ist, kann eine solide und nachvollziehbare Risikobewertung stattfinden.

Nach 72 Zeitstunden muss die zuständige Aufsichtsbehörde informiert werden, wenn die Datenschutzverletzung meldepflichtig ist. Wenn hohe Risiken für die betroffenen Personen entstehen können, müssen Sie die betroffenen Personen sofort informieren. Die Mindestinhalte der Meldungen finden Sie im Bereich Details. Sofern Sie als Auftragsverarbeiter tätig sind, müssen Sie die Kunden unverzüglich informieren, damit diese Ihre Pflichten aus der DSGVO erfüllen können.

Um die Datenschutzverletzung zu beheben, müssen Sie das Problem eingrenzen und die Ursache finden. Dann wählen Sie die notwendigen Maßnahmen aus, um die Datenschutzverletzung zu beheben. Ggf. müssen Sie auch IT-Systeme vom Netz nehmen, um weitere Schäden zu begrenzen. Sofern erforderlich, spielen Sie ein aktuelles Backup ein und lassen Sie diese durch die Fachbereiche testen. Hier werden die IT-Abteilung und/oder externe Dienstleister eine wichtige Rolle spielen.

Damit eine spätere Verfolgung von Straftaten möglich ist, sichern Sie entsprechende Beweise zur Geltendmachung von Rechtsansprüchen. Informieren Sie das zuständige Landeskriminalamt. Sofern möglich, leiten Sie Gegenmaßnahmen ein, um die Datenschutzverletzung zu stoppen und weitere Auswirkungen zu minimieren. Bei einem Fehlversand von E‑Mails sind andere Maßnahmen zu treffen, als bei dem Diebstahl eines Laptops oder einem Cyberangriff auf Ihre gesamte Infrastruktur. Wenn Sie externe Unterstützung Ihres Auftragsverarbeiters oder von anderen externen Spezialisten benötigen, nehmen Sie unverzüglich Kontakt auf, um sich Ressourcen zu sichern.

Dokumentieren Sie den Vorfall von Beginn an. Die Inhalte der Dokumentation, der ggf. notwendigen Meldungen an die Aufsichtsbehörde und an die betroffenen Personen finden Sie im Bereich Details.

Schritt 4: Kontinuierliche Verbesserung beim Thema Datenschutzverletzungen.

Nachdem Sie die Datenschutzverletzung beendet haben, arbeiten Sie den Vorfall auf. Was lief gut? Was lief schlecht? Wo liegt die Ursache der Verletzung? Müssen Sie Prozesse oder IT-Systeme verändern? Benötigen Sie zusätzliche Unterstützung oder neue IT-Systeme, wie zum Beispiel eine neue Firewall? Müssen die Beschäftigten besser geschult werden?

Bewerten Sie, ob die Meldewege eingehalten worden sind und die ergriffenen Maßnahmen wirksam waren. Lassen Sie diese Erfahrungen in Ihre bestehenden Prozesse und Schulungen einfließen, damit Sie beim nächsten Vorfall schneller und effektiver vorgehen können.

Ihre Dokumentation der Datenschutzverletzung sollte um eine Zusammenfassung, Handlungsempfehlungen oder konkrete Maßnahmen ergänzt werden. Sorgen Sie dafür, dass die Datenschutzverletzung sich nicht wiederholen kann.

Sie benötigen Unterstützung beim Thema Datenschutzverletzungen? Melden Sie sich gerne.

Die 20 häufigsten Ursachen von Datenschutzverletzungen im Unternehmen (Teil 2)

Fehlende Regelungen im Umgang mit Informationen und Daten führen in Unternehmen automatisch zu Wildwuchs in den Fachbereichen und zur Intransparenz. Sorgen Sie dafür, dass in Ihrem Unternehmen klare Vorgaben und Konzepte etabliert werden, um Datenschutzverletzungen vorzubeugen. Auf der linken Seite sehen Sie wieder die Ursache der Verletzungen — auf der rechten Seite klassische technische und organisatorische Maßnahmen zur Prävention.

Weitere Details zum Thema Datenschutzverletzungen

RIsikobewertung der Datenschutzverletzung

Damit Sie entscheiden können, ob eine Datenschutzverletzung der Aufsichtsbehörde und den betroffenen Personen gemeldet werden muss, müssen Sie eine Risikobewertung durchführen. Die Bewertung wird immer auf den konkreten Einzelfall anzuwenden sein. Im Mittelpunkt stehen dabei die potenziellen Folgen für die betroffenen Personen und die Wahrscheinlichkeit des Eintritts der Folgen. Die folgenden Kriterien sind in die Bewertung mit einzubeziehen:

Art der Datenschutzverletzung, wie z. B. Offenlegung von besonderen personenbezogenen Daten
Art, Menge und Sensibilität der Datenarten
Dauer der Datenschutzverletzung
Zeitpunkt wirksamer Gegenmaßnahmen zur Beendigung oder Minimierung der Datenschutzverletzung
Anzahl der Beteiligten, z. B. bei einer Offenlegung von Daten
Kategorien betroffener Personen, wie z. B. Schutzbefohlene, Kinder, Beschäftigte oder politisch Verfolgte
Bereits eingetretener Schaden, z. B. Passwortmissbrauch und Identitätsdiebstahl
Möglichkeiten zur Wiederherstellung des Urzustandes

Es gibt digitale oder analoge Arten von Datenschutzverletzungen. Finden Sie hier einige Beispiele:

Arten von Datenschutzverletzungen

Veröffentlichung der Daten von Beschäftigten am “Schwarzen Brett”
Bedienfehler in der Firewall oder sonstigen IT-Systemen (Hard- und Software)
Verlust oder Diebstahl von Aktenordnern, Festplatten oder USB-Sticks
Fehlerhafte Entsorgung von Datenträgern
Ungewollte Übermittlung von Daten an Unbefugte
Vorsätzliche Angriffe auf IT-Systeme
Preisgabe von Daten an Unbefugte (Social Engineering)
Veröffentlichung von Daten durch eine unzureichend getestete Software
Unbefugter Zugriff auf und Export von Informationen durch Unbefugte

Ihre Rolle bei Datenschutzverletzungen

Wenn Sie als Verantwortlicher Auftragsverarbeiter einsetzen, selbst Auftragsverarbeiter sind oder sogar mit mehreren Verantwortlichen zusammenarbeiten, müssen Sie sicherstellen, dass die Datenschutzverletzung auch mit den anderen Parteien fachgerecht abgearbeitet wird.

Notwendig ist es, vorab die Verantwortlichkeiten der jeweiligen Partei bei einer Datenschutzverletzung in der Zusammenarbeit vertraglich festzulegen. Nur so werden Missverständnisse und Unstimmigkeiten vermieden. Eine unverzügliche Meldung einer möglichen Datenschutzverletzung an die anderen Parteien hilft dabei, die zeitlichen Vorgaben zu erfüllen.

Wann wird Ihnen eine Datenschutzverletzung „bekannt“?

Da in Art. 33 Abs. 1 DSGVO binnen einer 72 Zeitstundenfrist die Meldung an die für Sie zuständige Datenschutzaufsichtsbehörde erfolgen muss, ist der Zeitpunkt der Erkenntnis festzulegen. Haben Sie als Verantwortlicher eine Gewissheit, dass eine Datenschutzverletzung entstanden ist, für die Sie verantwortlich sind, beginnt die Uhr zu laufen. Es gibt ganz unterschiedliche Interpretationen, wann der Zeitpunkt der Erkennung oder des Fristablaufs erreicht ist. Hier kann sich ggf. ein kleiner zeitlicher Spielraum für Sie ergeben.

In einigen Fällen wird Ihnen sofort klar sein, ob Sie nun eine Datenschutzverletzung haben, die ggf. der Aufsichtsbehörde und den betroffenen Personen zu melden ist. In anderen Situationen ist das aber nicht immer klar. Hier müssen Sie dann weitere Informationen hinzuziehen oder abwarten, bis Sie eine konkrete Aussage treffen können. Eine vorsorgliche Meldung an die Aufsichtsbehörde kann dabei sinnvoll sein, um im Nachgang keine Geldbusse zu erhalten.

Wenn Sie zum Beispiel von den betroffenen Personen oder anderen externen Personen direkt informiert werden und Nachweise geschickt bekommen, dass Sie eine Datenschutzverletzung erlitten haben, gilt der Eingang der Informationen als Zeitstempel. Nach einer Überprüfung des Sachverhaltes sollte Sie Ihren Ablaufplan zur Handhabung einer Datenschutzverletzung umsetzen.

Beispiele für nachgelagerte Aktivitäten zur Optimierung

Wie bei jedem Sicherheitsvorfall sollten Sie prüfen, ob die Ursache in der Organisation und/oder in der Technik lag. Flüchtigkeitsfehler von Beschäftigten oder fehlende Vorgaben führen häufig zu Datenschutzverletzungen.

Eine Risikominimierung ist im Nachgang durch technische und organisatorische Maßnahmen zu erzielen. Wie bereits erwähnt, sollten Sie im Rahmen Ihres Prozesses zur Bewältigung von Datenschutzverletzungen eine Risikobewertung vornehmen und über eine geeignete Risikobewertungsmatrix verfügen, die Ihnen bei der Bewältigung von Datenschutzverletzungen im Alltag hilft. Auf diese Weise können Sie die Auswirkungen von Sicherheitsverletzungen abschätzen und Ihre Melde- und Aufzeichnungspflichten erfüllen.

Ein paar technische und organisatorische Maßnahmen zur Prävention gleicher oder ähnlicher Datenschutzverletzungen sind:

Schulung der Beschäftigten bei der Ausübung Ihrer Tätigkeiten
Auffrischungskurse für ausgewählte Beschäftigte
Kontrolle und Begleitung bei der Ausübung der Tätigkeiten
Erstellung oder Konkretisierung von Richtlinien oder Anweisungen
Einführung einer Vertrauenskultur
Wertschätzung bei unklaren Prozessen und Verantwortlichkeiten
Anpassung von Systemeinstellungen (z. B. Unterbindung von “Autoausfüllen”-Funktionen)
Unterbindung von Funktionen von IT-Systemen

Inhalte der Meldung der Datenschutzverletzung an die Aufsichtsbehörde

Die folgenden Informationen sind der zuständigen Aufsichtsbehörde zu melden. Meist stellen die Aufsichtsbehörden elektronische Formulare zur Verfügung, die für die Meldung genutzt werden sollen. Je nach Bundesland sind noch weitere Informationen hinzuzuziehen. Je nach Wissensstand können auch weitere Informationen im Nachgang ergänzt werden.

Beschreibung der Art der Datenschutzverletzung
Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen
Angabe der Kategorien von Daten und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
Beschreibung der von Ihnen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Milderung der Datenschutzverletzung
Sofern erforderlich — eine nachvollziehbare Begründung für eine verspätete Meldung, zum Beispiel bei mehreren Datenschutzverletzungen zur gleichen Zeit.

Inhalte der Meldung der Datenschutzverletzung an die betroffenen Personen

Die folgenden Informationen sind den betroffenen Personen zu melden, wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen entstehen können.

Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
Beschreibung der von Ihnen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Milderung der Datenschutzverletzung
Mögliche Eigenschutzmaßnahmen zur Minimierung der eigenen Risiken

Eine direkte Kontaktaufnahme mit den betroffenen Personen ist nicht erforderlich, wenn Ihnen ein unverhältnismäßig hoher Aufwand entstehen würde. In diesem Fall müssen Sie die betroffenen Personen indirekt informieren, zum Beispiel über eine öffentliche Bekanntmachung in der Tagespresse. Bleiben Sie transparent und klar in der Kommunikation und holen Sie sich Unterstützung von entsprechenden PR-Agenturen.

Je nach Personengruppe können auch mehrsprachige Informationen notwendig werden. Dabei stehen zum Beispiel folgende Kanäle zur Verfügung.

Direkte Kommunikation per E‑Mail, SMS oder sonstigen Medien
Banner oder Anzeigen auf sozialen Medien oder in Zeitungen / Zeitschriften, die geeignet sind, um die betroffenen Personen zu erreichen.
Briefpost, wenn zum Beispiel nur die postalische Adresse bekannt ist.

Dabei sollten Sie in Zusammenarbeit mit der Aufsichtsbehörde der Zeitpunkt festgelegt werden. Nicht immer ist es sinnvoll, Informationen zu verschicken, wenn der Sachverhalt noch nicht klar ist.

Die 20 häufigsten Ursachen von Datenschutzverletzungen im Unternehmen (Teil 3)

Fehlende Regelungen im Umgang mit Informationen und Daten führen in Unternehmen automatisch zu Wildwuchs in den Fachbereichen und zur Intransparenz. Sorgen Sie dafür, dass in Ihrem Unternehmen klare Vorgaben und Konzepte etabliert werden, um Datenschutzverletzungen vorzubeugen. Auf der linken Seite sehen Sie wieder die Ursache der Verletzungen — auf der rechten Seite klassische technische und organisatorische Maßnahmen zur Prävention.

Kontinuierliche Verbesserung auch bei Datenschutzverletzungen

Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, lernen und anpassen. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unternehmens permanent infrage und startet im Unternehmen einen wiederkehrenden Regelkreis zur Verbesserung der Abläufe und Prozesse.

Auch beim Thema Datenschutzverletzungen gibt es einen stetigen Verbesserungsprozess durch regelmäßige Aktualisierungen und feste Einbindung im Gestaltungsprozess von Geschäftsprozessen.

Bleiben SIe aktuell!

Erstellen auch Sie einen Regelkreis, damit der Prozess für Datenschutzverletzungen korrekt erstellt wird, den richtigen Detailgrad hat, vom Fachbereich verstanden und aktuell gehalten wird.

Plan

Festlegung des Prozesses zur Erkennung und Handhabung von Datenschutzverletzungen

Umsetzung der Prozesse für Datenschutzverletzungen im Unternehmen

Act

Aktualisierung und Anpassung des Prozesses im Bereich Datenschutzverletzungen

Check

Prüfung der Aktualität und Richtigkeit des Prozesses für Datenschutzverletzungen oder bei konkreten Fällen

Die 20 häufigsten Ursachen von Datenschutzverletzungen im Unternehmen (Teil 4)

Fehlende Regelungen im Umgang mit Informationen und Daten führen in Unternehmen automatisch zu Wildwuchs in den Fachbereichen und zur Intransparenz. Sorgen Sie dafür, dass in Ihrem Unternehmen klare Vorgaben und Konzepte etabliert werden, um Datenschutzverletzungen vorzubeugen. Auf der linken Seite sehen Sie wieder die Ursache der Verletzungen — auf der rechten Seite klassische technische und organisatorische Maßnahmen zur Minierung der Eintrittswahrscheinlichkeit.

Clever sein — Binden Sie den DSB unverzüglich bei Datenschutzverletzungen mit ein!

Wenn Sie einen Datenschutzbeauftragten im Unternehmen etabliert haben, ist er unverzüglich bei Verdacht einer Datenschutzverletzung in den gesamten Prozess mit einzubinden. Aufgrund seiner Erfahrung hilft er Ihnen bei der Risikobewertung, Kommunikation und Dokumentation der Datenschutzverletzung.

Sie sollten die Kontaktdaten des Datenschutzbeauftragten auch der Aufsichtsbehörde oder den betroffenen Personen mitteilen. Bei der Abarbeitung der Folgen einer Datenschutzverletzung spielt der Datenschutzbeauftragte eine wichtige Rolle.

Häufige Fragen zum Thema Datenschutzverletzungen

Jedes Unternehmen, welches personenbezogene Daten regelmäßig verarbeitet, wird mit dem Thema Datenschutzverletzungen zu tun haben. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein paar Antworten auf die häufigsten Fragen:

Was ist eine Datenpanne / Datenschutzverletzung

Unter einer Datenschutzverletzung bzw. Datenpanne versteht man eine Verletzung des Schutzes personenbezogener Daten, die

- zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten oder
- zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Hierzu zählen unter anderem der Verlust von Datenträgern oder Geräten, auf denen Daten unverschlüsselt gespeichert sind, das Bekanntwerden von Passwörten und der unberechtigte Zugriff auf Daten oder Datenabflüsse durch Softwarefehler.

Welche Folgen haben Verstöße gegen die DSGVO bei einer Datenschutzverletzung?

Wer eine Datenschutzverletzung nicht oder verspätet meldet, riskiert ein Bußgeld. Gemäß Art. 83 Nr. 4 DSGVO sind Bußgelder bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Vorjahresumsatzes möglich.

Welche Kategorien von Datenschutzverletzungen gibt es?

Beispiele von Kategorien von Datenschutzverletzungen sind:

- Unbewusste/unbeabsichtigte Veröffentlichung von personenbezogenen Daten im Internet
- Hackerangriff, Schadsoftware, Phishing-Angriffe
- Unbefugte erhalten Zugang zu Daten in einem geschlossenen System
- Missbrauch von Zugriffsrechten
- Unverschlüsselter E‑Mail-Versand
- E‑Mail-Fehlleitungen
- Herausgabe von Informationen am Telefon an Unbefugte
- Weiterleitung eines langen E‑Mail-Verlaufes mit Informationen, die nicht für den Empfängerkreis vorgesehen ist.

Welche Fragen sind bei einer Datenpanne / Datenschutzverletzung zu beantworten?

Sobald Sie Kenntnis von einer Datenschutzverletzung oder Datenpanne erlangen, beantworten Sie folgende Fragen:

- Was ist eigentlich passiert?
- Sind personenbezogenene Daten betroffen?
- Welche Kategorien von Personen sind betroffen?
- Wie viele Datensätze sind betroffen?
- Sind wir der Verantwortliche der Datenverarbeitung? Wenn nicht, sind wir Auftragsverarbeiter und müssen den Vorfall dem / den Verantwortlichen melden?
- Sind noch Gegenmaßnahmen möglich, um das Risiko zu reduzieren?
- Wie hoch ist das Risiko des Vorfalls und welche Auswirkungen sind zu erwarten (Identitätsdiebstahl, finanzielles Risiko, Imageschaden, existenzielle Probleme, Mobbing/Bloßstellung)?
- Ist die Aufsichtsbehörde zu informieren?
- Ist das Risiko so hoch, dass auch die Betroffenen selbst zu informieren sind?

Wie erfolgt die Meldung einer Datenpanne / Datenschutzverletzung?

Um der zuständigen Aufsichtsbehörde zu melden, gibt es meist Meldeformulare auf den Webseiten der Aufsichtsbehörden.

BfDI — Landesbehörden (bund.de)

Welche Kontrollfragen sollte man sich bei einer Datenschutzverletzung stellen?

Einige Kontrollfragen in diesem Zusammenhang sind:

- Was hat zu der Verletzung geführt (z. B. Fehlverhalten, Einwirkungen von
außen, organisatorische Mängel, technische Probleme)?
- Was ist mit den Daten geschehen (z. B. Verlust, Löschung, Diebstahl,
unbefugte Kenntnisnahme)?
- Um welche Kategorien von betroffenen Personen handelt es sich (z. B. Beschäftigte, Kunden, Mieter, Bewerber, Mandanten, Patienten, Klienten)?
- Um welche Kategorien personenbezogener Datensätze handelt es sich (z. B. Beschäftigtendaten, Meldedaten, Gesundheitsdaten)?
- Um welche Einzelangaben handelt es sich (z. B. Name, Alter, Gehaltsangaben, Kreditkartendaten, Anschrift, Diagnose)?
- Wann ist die Verletzung eingetreten?
- Wie kann das Risiko für die betroffenen Personen reduziert werden?

In welcher Form ist die betroffene Person zu benachrichtigen?

Grundsätzlich muss jede betroffene Person einzeln über die Datenschutzverletzung informiert werden. Aufgrund der Nachweispflichten sollten Sie für die Benachrichtigung sichere und nachvollziehbare Kanäle nutzen, wie zum Beispiel verschlüsselte E‑Mails oder per Post. Die Benachrichtigung muss in klarer und einfacher Sprache formuliert sein. Ggf. müssen Sie mehrsprachig vorgehen.

Eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme kann erfolgen, wenn eine direkte Kontaktaufnahme nicht möglich oder unangemessen aufwändig ist.

Wie muss eine Dokumentation der Datenschutzverletzung erfolgen?

Dokumentieren Sie jede Datenschutzverletzung. Die Dokumentation enthält dann alle mit dem Vorfall zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen. Beschreiben Sie die Maßnahmen so detailliert , dass die Aufsichtsbehörde feststellen kann, ob die Sicherheitslücke geschlossen wurde bzw. wie die festgestellte unrechtmäßige Kenntnisnahme für die Zukunft ausgeschlossen ist.

Muss der Auftragsverarbeiter die Datenschutzverletzung der Aufsichtsbehörde melden?

Wenn Sie als Auftragsverarbeiter (AV) eine Datenschutzverletzung erkennen, so müssen Sie zunächst prüfen, welche Daten verletzt worden sind. Wenn die Daten des Verantwortlichen betroffen sind, müssen sie diesen unverzüglich informieren. Schauen Sie in Ihre AV-Vereinbarung mit dem jeweiligen Verantwortlichen, welche konkreten Regelungen im Bereich Datenschutzverletzungen vereinbart worden sind. Unterstützen Sie den Verantwortlichen bei der Umsetzung seiner gesetzlichen Pflichten, die sich aus Art. 33 und Art. 34 DSGVO ergeben.

Warum ist es so wichtig, Datenschutzverstöße zu melden?

Wenn Sie als Verantwortlicher die betroffenen Personen nicht informieren, obwohl ein hohes Risiko ersichtlich war, kann dies zu physischen, materiellen oder immateriellen Schaden für natürliche Personen führen.

Dazu gehören auch z. B. die Diskriminierung von Personen, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, Rufschädigung oder wirtschaftliche bzw. gesellschaftliche Nachteile für die Betroffenen.

Dementsprechend wird eine Nicht-Meldung als Ordnungswidrigkeit gewertet und kann gravierende Folgen für Ihr Unternehmen haben.

Wenn Sie eine professionelle Unterstützung bei diesem Thema suchen, sollten wir uns kennenlernen!

Finden Sie hier eine Auswahl von Dienstleistungen und Produkten.
Mit einen Klick auf die Schaltfläche erhalten Sie mehr Informationen

Datenschutzberater DSGVO

Mit einer modernen Beratung im Bereich Datenschutz und Informationssicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um. Ich biete stundenweise eine Datenschutzberatung von A‑Z.

Datenschutzbeauftragter DSGVO

Als externer Datenschutzbeauftragter biete ich Ihnen einen Rund-um-Support nach den gesetzlichen Vorgaben und mit diversen Zusatzdienstleistungen. Nutzen Sie vom ersten Tag an meine langjährige Erfahrung.

Informationssicherheitsbeauftragter

Ich berate Sie in allen Bereichen der Informationssicherheit. Schützen Sie Ihre Daten vor den Gefährdungen dieser Zeit nach dem Stand der Technik nach bewährten Methoden. Erfüllen Sie die Anforderungen des IT-Grundschutzes?

Datenschutzkonforme Website

Benötigen Sie regelmäßige Reports über alle Websites inkl. Unterseiten, auch in englischer Sprache? Hätten Sie gerne eine aktive Information, wenn sich die Rechtslage ändert und Sie aktiv werden müssen. Ich biete praxisnahe Maßnahmen zur Optimierung!

Videoüberwachung DSGVO

Sie planen oder besitzen eine Videoüberwachungsanlage im Betrieb? Sie benötigen mehr Details zu diesem Thema? Beachten Sie die rechtlichen Vorgaben. Finden Sie hier mehr Informationen zur praxisnahen Umsetzung von Videoüberwachungsanlagen.

Datenschutz-Schulungen DSGVO

Praxisnahe Schulungen im Datenschutz und in der Informationssicherheit sind für Unternehmen unerlässlich. Ich biete Präsenz-Veranstaltungen, Webinare und E‑Learning-Kurse an. Schulen Sie Ihre Beschäftigten zielgruppengenau und passend auf Ihr Unternehmen.

Preise Datenschutz und Informationssicherheit

“Ich biete maßgeschneiderte Lösungen für Unternehmen, denen Datenschutz und Informationssicherheit wichtig sind. Gerne nehme ich mir Zeit für eine persönliche Beratung und erstelle Ihnen unverbindlich und kostenlos ein auf Sie zugeschnittenes Angebot. Ich bevorzuge Unternehmen, die Datenschutz und Informationssicherheit umsetzen wollen. Wenn Sie eine kostengünstige Beratung von der Stange bevorzugen, passen wir nicht zusammen”.

Oliver G.(Geschäftsführer, Medien, Hamburg)

Ich setze regelmäßig digitale Projekte um. Datenschutz ist ein notwendiges Muss. Ich benötige daher einen aktiven DSB, der da ist, wenn ich ihn benötige und mit Praxiswissen zeitnah zuarbeitet. Ich will ein festes Kontingent und nicht für jeden Handschlag zusätzlich bezahlen. Am Ende wird so etwas meist teurer und aufwändiger in der Abrechnung. Herr Niehoff bringt aufgrund seiner Flexibilität mein Business voran.

Kundenstimmen

Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.

IT GROSSHANDEL (Interner DSB) Hamburg

Mit einer hohen datenschutzrechtlichen, organisatorischen und sicherheitsrelevanten Kompetenz hat Herr Niehoff unser Unternehmen schnell und mit außerordentlicher Unterstützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.

Öffentliche Verwaltung (CDO) Lüneburg

Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.

IT-Dienstleister (GF) Hamburg

Nach dem ersten Start haben wir schnell gemerkt, dass es ohne professionelle Hilfe nicht weitergeht. Herr Niehoff hat uns hier auf die richtige Spur gebracht und wir uns auch in Zukunft weiter unterstützen. Vielen Dank für die super schnelle Reaktion und Hilfe in der Krise! Wir freuen uns auch in Zukunft einen starken Partner an der Seite zu haben! Karsten Lorenzen, Geschäftsführer Testexperten KLE GmbH

Lettershop, Hamburg

Lieber Herr Niehoff, höchste Zeit mal Danke zu sagen für die stets prompte, freundliche und umfängliche Unterstützung in allen Datenschutzbelangen. Sei es vor Ort im Rahmen von Datenschutzaudits oder auch im Rahmen der vertraglichen Prüfungen. Für mich ist es sehr wertvoll, dass Sie Ihre Aussagen immer auf den Punkt bringen, so dass ich intern wie auch extern kompetent agieren kann. Auf eine weitere gemeinsame Zusammenarbeit.

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.