Pra­xis­na­he Umset­zung seit 2013

Ihr Exper­te für Daten­schutz und Informationssicherheit

Datenschutz­verletzungen

Daten­schutz­ver­let­zun­gen: Kön­nen Sie die­se 10 Fra­gen beantworten?

Datenschutz­verletzungen: Der Überblick

Ein­lei­tung

Wenn Sie als Unter­neh­men per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten und die­se nicht fach­ge­recht schüt­zen, sind Daten­schutz­ver­let­zun­gen wahr­schein­lich. Der Begriff „Daten­schutz­ver­let­zung“ ist im Geset­zes­text nur all­ge­mein for­mu­liert, sodass sich Ihren Beschäf­tig­ten oder Dienst­leis­ter irgend­wann die Fra­ge stellt: Haben wir jetzt eine Daten­schutz­ver­let­zung und was ist zu tun?

Bei einer Ver­let­zung der Sicher­heit von Daten, die zur Ver­nich­tung, zum Ver­lust, zur Ver­än­de­rung oder zur unbe­fug­ten Offen­le­gung von per­so­nen­be­zo­ge­nen Daten führt, spricht der Gesetz­ge­ber ver­ein­facht von einer Daten­schutz­ver­let­zung. Typi­sche Bei­spie­le sind:

Damit Sie Daten­schutz­ver­let­zun­gen vor­beu­gen, Fol­gen für betrof­fe­ne Per­so­nen durch Gegen­maß­nah­men abmil­dern, recht­zei­tig und kor­rekt der Auf­sichts­be­hör­den mel­den und fach­ge­recht abar­bei­ten, sind geeig­ne­te Pro­zes­se im Unter­neh­men zu eta­blie­ren. Die Beschäf­tig­ten müs­sen zum Bei­spiel wis­sen, was Daten­schutz­ver­let­zun­gen sind und was im Ein­tritts­fall zu tun ist.

Auf die­ser Sei­te fin­den Sie Ant­wor­ten auf (fast) alle Fra­gen rund um das The­ma „Daten­schutz­ver­let­zun­gen“.

Hin­weis: Die­se Infor­ma­tio­nen stel­len kei­ne Rechts­be­ra­tung dar, son­dern geben Anre­gun­gen zur Umset­zung. Für eine kon­kre­te Umset­zung neh­men Sie ger­ne Kon­takt auf.

Inhalte 

Daten­schutz­ver­let­zun­gen: Das Risi­ko für betrof­fe­ne Personen 

Je sen­si­bler die Daten der betrof­fe­nen Per­so­nen sind, des­to weit­rei­chen­der kön­nen die Aus­wir­kun­gen bei Daten­schutz­ver­let­zun­gen sein. Aus einem „Hier ist noch nie etwas pas­siert!“ wird dann die Fra­ge gestellt: „Wie konn­te das pas­sie­ren?“ oder „Was haben Sie getan, um das zu verhindern?“

Beach­ten Sie die mög­li­chen FOlgen

Aus Daten­schutz­ver­let­zun­gen kön­nen sich zahl­rei­che nach­tei­li­ge Aus­wir­kun­gen für die betrof­fe­nen Per­so­nen erge­ben. Neben phy­si­schen und mate­ri­el­len Schä­den sind auch imma­te­ri­el­le Schä­den denk­bar. Nicht immer sind die­se Aus­wir­kun­gen vor­weg erkennbar.

Jede Daten­schutz­ver­let­zung wird im Ein­zel­fall bei den betrof­fe­nen Per­so­nen unter­schied­lich hart aus­fal­len. Eine Aus­kunft am Tele­fon, eine Wei­ter­lei­tung einer E‑Mail mit inter­nen Infor­ma­tio­nen oder ein Ver­lust einer Bewer­bungs­map­pe kann in den meis­ten Fäl­len glimpf­lich ablau­fen. Im Ein­zel­fall sind aber auch sozia­le, gesell­schaft­li­che, gesund­heit­li­che oder finan­zi­el­le Nach­tei­le denkbar.

Mel­den Sie eine Datenschutz­verletzung an die Auf­sichts­be­hör­de oder die betrof­fe­ne Per­son nicht recht­zei­tig, kann dies zu einer Geld­bu­ße bis zu 10.000.000 EUR oder bis zu 2 % des gesam­ten welt­weit erziel­ten Jah­res­um­sat­zes führen.

Sie soll­ten also bei Ihnen im Unter­neh­men Pro­zes­se ein­füh­ren und Maß­nah­men eta­blie­ren, um die Anfor­de­run­gen der DSGVO zu erfüllen.

Prüf­fra­gen für die Geschäftsleitung

Fra­gen Sie sich als Ver­tre­tung der Geschäfts­lei­tung: Machen wir im Daten­schutz alles rich­tig? Dann stel­len Sie Ihrem Per­so­nal oder dem Daten­schutz­be­auf­trag­ten die fol­gen­den Fra­gen und las­sen sich ent­spre­chen­de Nach­wei­se vorlegen.

Auch die von Ihnen aus­ge­wähl­ten Auf­trags­ver­ar­bei­ter kön­nen ein Risi­ko mit sich brin­gen. Sie als Ver­ant­wort­li­cher haf­ten, wenn die von Ihnen aus­ge­wähl­ten Auf­trags­ver­ar­bei­tern mit Ihren Daten nicht ord­nungs­ge­mäß umge­hen. Haben Sie Ihre Auf­trags­ver­ar­bei­ter auch in die­sem Punkt geprüft und dies doku­men­tiert? Dann kön­nen Sie Ihr Haf­tungs­ri­si­ko weit minimieren.

compliance-im-datenschutz
Sie ken­nen das The­ma bereits und wol­len mehr Details wis­sen? Hier erhal­ten Sie mehr Infor­mationen zum The­ma Datenschutzverletzung! 
Sie wol­len in 4 Schrit­ten das The­ma Daten­schutz­verletzung im Unter­nehmen eta­blie­ren? Fin­den Sie hier wei­te­re Informationen. 

Sie wün­schen eine direk­te Kon­takt­auf­nah­me und haben ein paar Fra­gen, die ggf. schnell beant­wor­tet wer­den können?

In 4 Schrit­ten zum pro­fes­sio­nel­len Umgang mit Datenschutzverletzungen

Nach­fol­gend zei­ge ich Ihnen in 4 Schrit­ten, wie Sie einen Pro­zess zum Umgang mit Daten­schutz­ver­let­zun­gen im Unter­neh­men etablieren.

Schritt 1: Holen Sie einen Spe­zia­lis­ten an Bord — schnel­ler geht es nicht.

Zunächst beauf­trag­ten Sie einen Spe­zia­lis­ten, der seit vie­len Jah­ren nichts ande­res macht. Mit einem gerin­gen Zeit­aufwand bei Ihren inter­nen Fach­bereichen wer­den die erfor­der­li­chen Infor­ma­tio­nen abge­fragt, um in Ihrem Unter­nehmen die erforder­lichen Pro­zes­se zur Prä­ven­ti­on und Hand­habung von Daten­schutz­verletzungen zu erstellen.

Beach­ten Sie das Risi­ko für die betrof­fe­nen Personen!

Die Anzahl der zu erstel­len­den Doku­men­te sind abhän­gig von der Kom­ple­xi­tät Ihres Unter­neh­mens und dem Risi­ko für die Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen. Grund­sätz­lich gilt: Je sen­si­bler die Daten sind, die Sie ver­ar­bei­ten, des­to detail­lier­ter und gewis­sen­haf­ter müs­sen Ihre Maß­nah­men sein. 

Das Wis­sen für die Erstel­lung von fach­ge­rech­ten Pro­zes­sen soll­ten Sie nicht durch inter­ne Beschäf­tig­te ohne Unter­stüt­zung auf­bau­en. Die­se Erfah­rung ist neben­be­ruf­lich nur schwer zu erlangen.

Sie haben ein Not­fall­ma­nage­ment bereits im Unter­neh­men eta­bliert? Dann wer­den Sie sicher­lich für die wahr­schein­lichs­ten Risi­ken einen Not­fall­plan erar­bei­tet haben. Wenn Sie noch kei­nen Not­fall­plan besit­zen, soll­ten Sie dies eben­falls in Angriff neh­men. Die Hand­ha­bung von Datenschutz­verletzungen soll­te sicher­lich dazugehören.

Schritt 2: Fest­le­gung des Pro­zes­ses und der Ver­ant­wort­lich­kei­ten im Umgang mit Datenschutzverletzungen

Schu­len Sie im zwei­ten Schritt Ihre Beschäf­tig­ten, was eine Datenschutz­verletzung ist, was im Fall einer mög­li­chen Datenschutz­verletzung zu tun ist und wer wie wann zu kon­tak­tie­ren ist.

Sie haben noch kein Part­ner­un­ter­neh­men gefun­den, das Sie bei einem Cyber­an­griff unter­stützt (zum Bei­spiel IT-Foren­sik)? Dann soll­ten Sie schon ein­mal eine Aus­wahl mög­li­cher Spe­zia­lis­ten erstel­len, die Sie im Not­fall kon­tak­tie­ren kön­nen. Freie Kapa­zi­tä­ten bei IT-Foren­si­kern sind sel­ten. Sie benö­ti­gen eine zeit­na­he Unter­stüt­zung, um Spu­ren zu sichern und mög­lichst bald wie­der ope­ra­tiv tätig zu werden.

Gestal­ten Sie Schulungs­unterlagen, Vor­la­gen und Anwei­sun­gen für Ihre Beschäf­tig­ten, um das The­ma Datenschutz­verletzungen in Ihren Unter­nehmen zu ver­an­kern. Fül­len Sie die Vor­la­gen beispiel­haft ein­mal aus, wenn Sie bis­lang kei­ne Datenschutz­verletzungen hat­ten. Es hilft dabei, die Vor­la­gen praxis­nah zu gestalten.

Jede Daten­schutz­ver­let­zung ist anders. Defi­nie­ren Sie für typi­sche Daten­schutz­ver­let­zun­gen stich­punkt­ar­tig Gegen­maß­nah­men, wie Sie vor­ge­hen würden.

Sie haben ein inter­nes Dokument­ations­system, zum Bei­spiel ein Wiki­pe­dia, ein Dokumenten­management­system, Goog­le Dri­ve, eine Next­Cloud, ein Qualitäts­management­system, Micro­soft Teams / Share­Point oder den klas­si­schen Akten­ord­ner? Sie bevor­zu­gen doch lie­ber Word- oder Excel-Doku­men­te? Sor­gen Sie dafür, dass alle Unter­la­gen auch im Fal­le eines Total­aus­fal­les ver­füg­bar sind.

Die 20 häu­figs­ten Ursa­chen von Daten­schutz­ver­let­zun­gen im Unter­neh­men (Teil 1)

Feh­len­de Rege­lun­gen im Umgang mit Infor­ma­tio­nen und Daten füh­ren in Unter­neh­men auto­ma­tisch zu Wild­wuchs in den Fach­be­rei­chen und zur Intrans­pa­renz. Sor­gen Sie dafür, dass in Ihrem Unter­neh­men kla­re Vor­ga­ben und Kon­zep­te eta­bliert wer­den, um Daten­schutz­ver­let­zun­gen vor­zu­beu­gen. Im Teil 2 erhal­ten Sie wei­te­re Informationen.

Anbei fin­den Sie die häu­figs­ten Ursa­chen, die in Unter­neh­men immer wie­der zu Daten­schutz­ver­let­zun­gen füh­ren. Es wer­den ergän­zend Maß­nah­men dar­ge­stellt, um die Ein­tritts­wahr­schein­lich­keit von Daten­schutz­ver­let­zun­gen zu ver­rin­gern. Im zwei­ten Teil erhal­ten Sie wei­te­re Beispiele.

Schritt 3: Wen­den Sie den Pro­zess bei einer Daten­schutz­ver­let­zung an.

Bei einer Daten­schutz­ver­let­zung ist es wich­tig, die bei Ihnen im Unter­neh­men zustän­di­gen Stel­len unver­züg­lich  zu infor­mie­ren. Hier zählt jede Stun­de, ins­be­son­de­re an einem Freitagnachmittag.

Dies kann der Daten­schutz­be­auf­trag­te, ein Daten­schutz-Team mit ver­schie­de­nen Zustän­dig­kei­ten inkl. der Geschäfts­füh­rung oder der Ser­vice­de­sk sein. Nach dem Ein­gang der Mel­dung muss eine Risi­ko­be­wer­tung vor­ge­nom­men wer­den. Hier spielt die Zeit eine gro­ße Rolle. 

Um eine Risi­ko­be­wer­tung durch­füh­ren zu kön­nen, müs­sen sämt­li­che rele­van­ten Infor­ma­tio­nen zusam­men­ge­tra­gen wer­den. Hier spie­len die Fach­be­rei­che, die IT-Abtei­lung, exter­ne Dienst­leis­ter oder Kun­den und Geschäfts­part­ner eine wich­ti­ge Rol­le. Nur wenn der Sach­ver­halt kom­plett ver­stan­den ist, kann eine soli­de und nach­voll­zieh­ba­re Risi­ko­be­wer­tung stattfinden.

Nach 72 Zeit­stun­den muss die zustän­di­ge Auf­sichts­be­hör­de infor­miert wer­den, wenn die Datenschutz­verletzung mel­de­pflich­tig ist. Wenn hohe Risi­ken für die betrof­fe­nen Per­so­nen ent­ste­hen kön­nen, müs­sen Sie die betrof­fe­nen Per­so­nen sofort infor­mie­ren. Die Mindest­inhalte der Mel­dun­gen fin­den Sie im Bereich Details. Sofern Sie als Auf­trags­ver­ar­bei­ter tätig sind, müs­sen Sie die Kun­den unver­züg­lich infor­mie­ren, damit die­se Ihre Pflich­ten aus der DSGVO erfül­len können.

Um die Daten­schutz­ver­let­zung zu behe­ben, müs­sen Sie das Pro­blem ein­gren­zen und die Ursa­che fin­den. Dann wäh­len Sie die not­wen­di­gen Maß­nah­men aus, um die Daten­schutz­ver­let­zung zu behe­ben. Ggf. müs­sen Sie auch IT-Sys­te­me vom Netz neh­men, um wei­te­re Schä­den zu begren­zen. Sofern erfor­der­lich, spie­len Sie ein aktu­el­les Back­up ein und las­sen Sie die­se durch die Fach­be­rei­che tes­ten. Hier wer­den die IT-Abtei­lung und/oder exter­ne Dienst­leis­ter eine wich­ti­ge Rol­le spielen.

Damit eine spä­te­re Ver­fol­gung von Straf­taten mög­lich ist, sichern Sie ent­spre­chen­de Bewei­se zur Gel­tend­ma­chung von Rechts­an­sprü­chen. Infor­mie­ren Sie das zustän­di­ge Lan­des­kri­mi­nal­amt. Sofern mög­lich, lei­ten Sie Gegen­maßnahmen ein, um die Datenschutz­verletzung zu stop­pen und wei­te­re Aus­wirkungen zu mini­mie­ren. Bei einem Fehl­ver­sand von E‑Mails sind ande­re Maß­nah­men zu tref­fen, als bei dem Dieb­stahl eines Lap­tops oder einem Cyber­an­griff auf Ihre gesam­te Infra­struk­tur. Wenn Sie exter­ne Unter­stüt­zung Ihres Auf­trags­ver­ar­bei­ters oder von ande­ren exter­nen Spe­zia­lis­ten benö­ti­gen, neh­men Sie unver­züg­lich Kon­takt auf, um sich Res­sour­cen zu sichern.

Doku­men­tie­ren Sie den Vor­fall von Beginn an. Die Inhal­te der Dokument­ation, der ggf. not­wen­di­gen Mel­dun­gen an die Auf­sichts­be­hör­de und an die betrof­fe­nen Per­so­nen fin­den Sie im Bereich Details.

Schritt 4: Kon­ti­nu­ier­li­che Ver­bes­se­rung beim The­ma Datenschutzverletzungen.

Nach­dem Sie die Daten­schutz­verletz­ung been­det haben, arbei­ten Sie den Vor­fall auf. Was lief gut? Was lief schlecht? Wo liegt die Ursa­che der Ver­let­zung? Müs­sen Sie Pro­zes­se oder IT-Sys­te­me ver­än­dern? Benö­ti­gen Sie zusätz­li­che Unter­stüt­zung oder neue IT-Sys­te­me, wie zum Bei­spiel eine neue Fire­wall? Müs­sen die Beschäf­tig­ten bes­ser geschult werden?

Bewer­ten Sie, ob die Mel­de­we­ge einge­halten wor­den sind und die ergrif­fe­nen Maß­nah­men wirk­sam waren. Las­sen Sie die­se Erfahr­ungen in Ihre besteh­enden Pro­zes­se und Schu­lun­gen ein­flie­ßen, damit Sie beim nächs­ten Vor­fall schnel­ler und effek­ti­ver vor­gehen können. 
Ihre Doku­men­ta­ti­on der Datenschutz­verletzung soll­te um eine Zusammen­fassung, Handlungs­empfehlungen oder kon­kre­te Maß­nahmen ergänzt wer­den. Sor­gen Sie dafür, dass die Daten­schutz­ver­let­zung sich nicht wie­der­ho­len kann. 
Weitere Vorgehensweise beim Datenschutz

Sie benö­ti­gen Unter­stüt­zung beim The­ma Daten­schutz­ver­let­zun­gen? Mel­den Sie sich gerne.

Die 20 häu­figs­ten Ursa­chen von Daten­schutz­ver­let­zun­gen im Unter­neh­men (Teil 2)

Feh­len­de Rege­lun­gen im Umgang mit Infor­ma­tio­nen und Daten füh­ren in Unter­neh­men auto­ma­tisch zu Wild­wuchs in den Fach­be­rei­chen und zur Intrans­pa­renz. Sor­gen Sie dafür, dass in Ihrem Unter­neh­men kla­re Vor­ga­ben und Kon­zep­te eta­bliert wer­den, um Daten­schutz­ver­let­zun­gen vorzubeugen.

Anbei fin­den Sie wei­te­re Män­gel, die in Unter­neh­men immer wie­der zu Daten­schutz­ver­let­zun­gen füh­ren. Es wer­den pas­sen­de Maß­nah­men dar­ge­stellt, um die Ein­tritts­wahr­schein­lich­keit von Daten­schutz­ver­let­zun­gen zu ver­rin­gern. Im drit­ten Teil fin­den Sie wei­te­re Beispiele.

Die 20 häu­figs­ten Ursa­chen von Daten­schutz­ver­let­zun­gen im Unter­neh­men (Teil 3)

Feh­len­de Rege­lun­gen im Umgang mit Infor­ma­tio­nen und Daten füh­ren in Unter­neh­men auto­ma­tisch zu Wild­wuchs in den Fach­be­rei­chen und zur Intrans­pa­renz. Sor­gen Sie dafür, dass in Ihrem Unter­neh­men kla­re Vor­ga­ben und Kon­zep­te eta­bliert wer­den, um Daten­schutz­ver­let­zun­gen vorzubeugen.

Anbei fin­den Sie wei­te­re Män­gel, die in Unter­neh­men immer wie­der zu Daten­schutz­ver­let­zun­gen füh­ren. Es wer­den pas­sen­de Maß­nah­men dar­ge­stellt, um die Ein­tritts­wahr­schein­lich­keit von Daten­schutz­ver­let­zun­gen zu ver­rin­gern. Im vier­ten Teil fin­den Sie wei­te­re Beispiele.

Wei­te­re Details zum The­ma Datenschutzverletzungen

RIsi­ko­be­wer­tung der Datenschutzverletzung 

Damit Sie ent­schei­den kön­nen, ob eine Daten­schutz­ver­let­zung der Aufsichts­behörde und den betrof­fe­nen Per­so­nen gemel­det wer­den muss, müs­sen Sie eine Risiko­bewertung durch­füh­ren. Die Bewer­tung wird immer auf den kon­kre­ten Ein­zel­fall anzu­wen­den sein. Im Mit­tel­punkt ste­hen dabei die poten­zi­el­len Fol­gen für die betrof­fe­nen Per­so­nen und die Wahr­schein­lich­keit des Ein­tritts der Fol­gen. Die fol­gen­den Kri­te­ri­en sind in die Bewer­tung mit einzubeziehen:

Es gibt digi­ta­le oder ana­lo­ge Arten von Daten­schutz­ver­let­zun­gen. Fin­den Sie hier eini­ge Beispiele:

Arten von Datenschutzverletzungen 

Ihre Rol­le bei Datenschutzverletzungen

Wenn Sie als Ver­ant­wort­li­cher Auftrag­sverarbeiter ein­set­zen, selbst Auftrags­verarbeiter sind oder sogar mit meh­re­ren Verantwort­lichen zusam­men­ar­bei­ten, müs­sen Sie sicher­stel­len, dass die Datenschutz­verletzung auch mit den ande­ren Par­tei­en fach­ge­recht abge­ar­bei­tet wird.

Not­wen­dig ist es, vor­ab die Verantwortlich­keiten der jewei­li­gen Par­tei bei einer Datenschutz­verletzung in der Zusammen­arbeit ver­trag­lich fest­zu­le­gen. Nur so wer­den Miss­ver­ständ­nis­se und Unstimmig­keiten ver­mie­den. Eine unver­züg­li­che Mel­dung einer mög­li­chen Datenschutz­verletzung an die ande­ren Par­tei­en hilft dabei, die zeit­li­chen Vor­ga­ben zu erfüllen.

Wann wird Ihnen eine Daten­schutz­ver­let­zung „bekannt“?

Da in Art. 33 Abs. 1 DSGVO bin­nen einer 72 Zeitstunden­frist die Mel­dung an die für Sie zustän­di­ge Datenschutz­aufsichts­behörde erfol­gen muss, ist der Zeit­punkt der Erkennt­nis fest­zu­le­gen. Haben Sie als Ver­ant­wort­li­cher eine Gewiss­heit, dass eine Datenschutz­verletzung ent­stan­den ist, für die Sie ver­ant­wort­lich sind, beginnt die Uhr zu lau­fen. Es gibt ganz unter­schied­li­che Inter­pre­ta­tio­nen, wann der Zeit­punkt der Erken­nung oder des Frist­ab­laufs erreicht ist. Hier kann sich ggf. ein klei­ner zeit­li­cher Spiel­raum für Sie ergeben.

In eini­gen Fäl­len wird Ihnen sofort klar sein, ob Sie nun eine Daten­schutz­ver­let­zung haben, die ggf. der Auf­sichts­be­hör­de und den betrof­fe­nen Per­so­nen zu mel­den ist. In ande­ren Situa­tio­nen ist das aber nicht immer klar. Hier müs­sen Sie dann wei­te­re Infor­ma­tio­nen hin­zu­zie­hen oder abwar­ten, bis Sie eine kon­kre­te Aus­sa­ge tref­fen kön­nen. Eine vor­sorg­li­che Mel­dung an die Auf­sichts­be­hör­de kann dabei sinn­voll sein, um im Nach­gang kei­ne Geld­bus­se zu erhalten.

Wenn Sie zum Bei­spiel von den betrof­fe­nen Per­so­nen oder ande­ren exter­nen Per­so­nen direkt infor­miert wer­den und Nach­wei­se geschickt bekom­men, dass Sie eine Daten­schutz­ver­let­zung erlit­ten haben, gilt der Ein­gang der Infor­ma­tio­nen als Zeit­stem­pel. Nach einer Über­prü­fung des Sach­ver­hal­tes soll­te Sie Ihren Ablauf­plan zur Hand­ha­bung einer Daten­schutz­ver­let­zung umsetzen.

Bei­spie­le für nach­ge­la­ger­te Akti­vi­tä­ten zur Optimierung

Wie bei jedem Sicher­heits­vor­fall soll­ten Sie prü­fen, ob die Ursa­che in der Orga­ni­sa­ti­on und/oder in der Tech­nik lag. Flüch­tig­keits­feh­ler von Beschäf­tig­ten oder feh­len­de Vor­ga­ben füh­ren häu­fig zu Datenschutzverletzungen.

Eine Risi­ko­mi­ni­mie­rung ist im Nach­gang durch tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu erzie­len. Wie bereits erwähnt, soll­ten Sie im Rah­men Ihres Pro­zes­ses zur Bewäl­ti­gung von Datenschutz­verletzungen eine Risiko­bewertung vor­neh­men und über eine geeig­ne­te Risiko­bewertungs­matrix ver­fü­gen, die Ihnen bei der Bewäl­ti­gung von Datenschutz­verletzungen im All­tag hilft. Auf die­se Wei­se kön­nen Sie die Aus­wir­kun­gen von Sicherheits­verletz­ungen abschät­zen und Ihre Mel­de- und Aufzeichnungs­pflichten erfüllen.

Ein paar tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zur Prä­ven­ti­on glei­cher oder ähn­li­cher Daten­schutz­ver­let­zun­gen sind:

Inhal­te der Mel­dung der Daten­schutz­ver­let­zung an die Aufsichtsbehörde

Die fol­gen­den Infor­ma­tio­nen sind der zustän­di­gen Auf­sichts­be­hör­de zu mel­den. Meist stel­len die Auf­sichts­be­hör­den elek­tro­ni­sche For­mu­la­re zur Ver­fü­gung, die für die Mel­dung genutzt wer­den sol­len. Je nach Bun­des­land sind noch wei­te­re Infor­ma­tio­nen hin­zu­zu­zie­hen. Je nach Wis­sens­stand kön­nen auch wei­te­re Infor­ma­tio­nen im Nach­gang ergänzt werden.

Inhal­te der Mel­dung der Daten­schutz­ver­let­zung an die betrof­fe­nen Personen

Die fol­gen­den Infor­ma­tio­nen sind den betrof­fe­nen Per­so­nen zu mel­den, wenn ein hohes Risi­ko für die per­sön­li­chen Rech­te und Frei­hei­ten der betrof­fe­nen Per­so­nen ent­ste­hen können. 

Eine direk­te Kon­takt­auf­nah­me mit den betrof­fe­nen Per­so­nen ist nicht erfor­der­lich, wenn Ihnen ein unver­hält­nis­mä­ßig hoher Auf­wand ent­ste­hen wür­de. In die­sem Fall müs­sen Sie die betrof­fe­nen Per­so­nen indi­rekt infor­mie­ren, zum Bei­spiel über eine öffent­li­che Bekannt­ma­chung in der Tages­pres­se. Blei­ben Sie trans­pa­rent und klar in der Kom­mu­ni­ka­ti­on und holen Sie sich Unter­stüt­zung von ent­spre­chen­den PR-Agenturen.

Je nach Per­so­nen­grup­pe kön­nen auch mehr­spra­chi­ge Infor­ma­tio­nen not­wen­dig wer­den. Dabei ste­hen zum Bei­spiel fol­gen­de Kanä­le zur Verfügung.

Dabei soll­ten Sie in Zusam­men­ar­beit mit der Auf­sichts­be­hör­de der Zeit­punkt fest­ge­legt wer­den. Nicht immer ist es sinn­voll, Infor­ma­tio­nen zu ver­schi­cken, wenn der Sach­ver­halt noch nicht klar ist.

Die 20 häu­figs­ten Ursa­chen von Daten­schutz­ver­let­zun­gen im Unter­neh­men (Teil 4)

Feh­len­de Rege­lun­gen im Umgang mit Infor­ma­tio­nen und Daten füh­ren in Unter­neh­men auto­ma­tisch zu Wild­wuchs in den Fach­be­rei­chen und zur Intrans­pa­renz. Sor­gen Sie dafür, dass in Ihrem Unter­neh­men kla­re Vor­ga­ben und Kon­zep­te eta­bliert wer­den, um Daten­schutz­ver­let­zun­gen vorzubeugen.

Anbei fin­den Sie wei­te­re Män­gel, die in Unter­neh­men immer wie­der zu Daten­schutz­ver­let­zun­gen füh­ren. Es wer­den pas­sen­de Maß­nah­men dar­ge­stellt, um die Ein­tritts­wahr­schein­lich­keit von Daten­schutz­ver­let­zun­gen zu ver­rin­gern (Teil 1, Teil 2, Teil 3)

Kon­ti­nu­ier­li­che Ver­bes­se­rung auch bei Datenschutzverletzungen

Ver­bes­sern bedeu­tet vor­ran­gig Pro­ble­me lösen. Pro­ble­me lösen wie­der­um heißt, ler­nen und anpas­sen. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situa­ti­on des Unter­nehmens per­ma­nent infra­ge und star­tet im Unter­neh­men einen wieder­kehrenden Regel­kreis zur Verbess­erung der Abläu­fe und Prozesse. 

Auch beim The­ma DAten­schutz­ver­let­zun­gen gibt es einen ste­ti­gen Ver­bes­se­rungs­pro­zess durch regel­mäßige Aktua­li­sie­run­gen und fes­te Ein­bin­dung im Gestal­tungs­pro­zess von Geschäftsprozessen.

Blei­ben SIe aktuell!

Erstel­len auch Sie einen Regel­kreis, damit der Pro­zess für Daten­schutz­ver­let­zun­gen kor­rekt erstellt wird, den rich­ti­gen Detail­grad hat, vom Fach­be­reich ver­stan­den und aktu­ell gehal­ten wird.

Plan

Fest­le­gung des Pro­zes­ses zur Erken­nung und Hand­ha­bung von Datenschutzverletzungen

Do

Umset­zung der Pro­zes­se für Daten­schutz­ver­let­zun­gen im Unternehmen

Act

Aktua­li­sie­rung und Anpas­sung des Pro­zes­ses im Bereich Datenschutzverletzungen

Check

Prü­fung der Aktua­li­tät und Rich­tig­keit des Pro­zes­ses für Daten­schutz­ver­let­zun­gen oder bei kon­kre­ten Fällen

Leis­tun­gen

In den meis­ten Unter­neh­men gibt es Daten­schutz­ver­let­zun­gen. Dann ist es erfor­der­lich, dass zeit­nah die rich­ti­gen Schrit­te ein­ge­lei­tet wer­den. Fin­den Sie hier mei­ne Dienst­leis­tun­gen. Ich beglei­te Unter­neh­men zwi­schen Bre­men, Ham­burg, Lüne­burg und der Nord­hei­de seit vie­len Jah­ren mit mei­ner Exper­ti­se im Datenschutz.

Cle­ver sein — Bin­den Sie den Daten­schutz­be­auf­trag­ten unver­züg­lich bei Daten­schutz­ver­let­zun­gen mit ein!

Wenn Sie einen Daten­schutz­be­auf­trag­ten im Unter­neh­men eta­bliert haben, ist er unver­züg­lich bei Ver­dacht einer Daten­schutz­ver­let­zung in den gesam­ten Pro­zess mit ein­zu­bin­den. Auf­grund sei­ner Erfah­rung hilft er Ihnen bei der Risi­ko­be­wer­tung, Kom­mu­ni­ka­ti­on und Doku­men­ta­ti­on der Daten­schutz­ver­let­zung. Sie müs­sen die Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten auch der Auf­sichts­be­hör­de oder den betrof­fe­nen Per­so­nen mit­tei­len. Bei der Abar­bei­tung der Fol­gen einer Daten­schutz­ver­let­zung spielt der Daten­schutz­be­auf­trag­te eine wich­ti­ge Rolle.

10 Fra­gen zum The­ma Datenschutzverletzungen

Jedes Unter­nehmen, wel­ches per­so­nen­be­zo­ge­ne Daten regel­mä­ßig ver­ar­bei­tet, wird mit dem The­ma Daten­schutz­ver­let­zun­gen zu tun haben. Da immer noch viel Unsi­cher­heit in die­sem The­ma besteht, fin­den Sie hier ein paar Ant­wor­ten auf die häu­figs­ten Fra­gen:

Unter einer Daten­schutz­ver­let­zung bzw. Daten­pan­ne ver­steht man eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten, die

  • - zur Ver­nich­tung, zum Ver­lust, zur Ver­än­de­rung oder zur unbe­fug­ten Offen­le­gung von per­so­nen­be­zo­ge­nen Daten oder
    - zum unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten führt, die über­mit­telt, gespei­chert oder auf sons­ti­ge Wei­se ver­ar­bei­tet wurden.

Hier­zu zäh­len unter ande­rem der Ver­lust von Daten­trä­gern oder Gerä­ten, auf denen Daten unver­schlüs­selt gespei­chert sind, das Bekannt­wer­den von Pass­wör­ten und der unbe­rech­tig­te Zugriff auf Daten oder Daten­ab­flüs­se durch Softwarefehler.

Wer eine Daten­schutz­ver­let­zung nicht oder ver­spä­tet mel­det, ris­kiert ein Buß­geld. Gemäß Art. 83 Nr. 4 DSGVO sind Buß­gel­der bis zu 10 Mil­lio­nen Euro oder bis zu zwei Pro­zent des welt­wei­ten Vor­jah­res­um­sat­zes möglich.

Bei­spie­le von Kate­go­rien von Daten­schutz­ver­let­zun­gen sind:

  • - Unbewusste/unbeabsichtigte Ver­öf­fent­li­chung von per­so­nen­be­zo­ge­nen Daten im Internet
  • - Hacker­an­griff, Schad­soft­ware, Phishing-Angriffe
  • - Unbe­fug­te erhal­ten Zugang zu Daten in einem geschlos­se­nen System
  • - Miss­brauch von Zugriffsrechten
  • - Unver­schlüs­sel­ter E‑Mail-Ver­sand
  • - E‑Mail-Fehl­lei­tun­gen
  • - Her­aus­ga­be von Infor­ma­tio­nen am Tele­fon an Unbefugte
  • - Wei­ter­lei­tung eines lan­gen E‑Mail-Ver­lau­fes mit Infor­ma­tio­nen, die nicht für den Emp­fän­ger­kreis vor­ge­se­hen ist.

Sobald Sie Kennt­nis von einer Daten­schutz­ver­let­zung oder Daten­pan­ne erlan­gen, beant­wor­ten Sie fol­gen­de Fragen:

  • - Was ist eigent­lich passiert?
  • - Sind per­so­nen­be­zo­ge­ne­ne Daten betroffen?
  • - Wel­che Kate­go­rien von Per­so­nen sind betroffen?
  • - Wie vie­le Daten­sät­ze sind betroffen?
  • - Sind wir der Ver­ant­wort­li­che der Daten­ver­ar­bei­tung? Wenn nicht, sind wir Auf­trags­ver­ar­bei­ter und müs­sen den Vor­fall dem / den Ver­ant­wort­li­chen melden?
  • - Sind noch Gegen­maß­nah­men mög­lich, um das Risi­ko zu reduzieren?
  • - Wie hoch ist das Risi­ko des Vor­falls und wel­che Aus­wir­kun­gen sind zu erwar­ten (Iden­ti­täts­dieb­stahl, finan­zi­el­les Risi­ko, Image­scha­den, exis­ten­zi­el­le Pro­ble­me, Mobbing/Bloßstellung)?
  • - Ist die Auf­sichts­be­hör­de zu informieren?
  • - Ist das Risi­ko so hoch, dass auch die Betrof­fe­nen selbst zu infor­mie­ren sind?

Um der zustän­di­gen Auf­sichts­be­hör­de zu mel­den, gibt es meist Mel­de­for­mu­la­re auf den Web­sei­ten der Aufsichtsbehörden.

BfDI — Lan­des­be­hör­den (bund.de)

 

Eini­ge Kon­troll­fra­gen in die­sem Zusam­men­hang sind:

  • - Was hat zu der Ver­let­zung geführt (z. B. Fehl­ver­hal­ten, Ein­wir­kun­gen von
    außen, orga­ni­sa­to­ri­sche Män­gel, tech­ni­sche Probleme)?
  • - Was ist mit den Daten gesche­hen (z. B. Ver­lust, Löschung, Dieb­stahl,
    unbe­fug­te Kenntnisnahme)?
  • - Um wel­che Kate­go­rien von betrof­fe­nen Per­so­nen han­delt es sich (z. B. Beschäf­tig­te, Kun­den, Mie­ter, Bewer­ber, Man­dan­ten, Pati­en­ten, Klienten)?
  • - Um wel­che Kate­go­rien per­so­nen­be­zo­ge­ner Daten­sät­ze han­delt es sich (z. B. Beschäf­tig­ten­da­ten, Mel­de­da­ten, Gesundheitsdaten)?
  • - Um wel­che Ein­zel­an­ga­ben han­delt es sich (z. B. Name, Alter, Gehalts­an­ga­ben, Kre­dit­kar­ten­da­ten, Anschrift, Diagnose)?
  • - Wann ist die Ver­let­zung eingetreten?
  • - Wie kann das Risi­ko für die betrof­fe­nen Per­so­nen redu­ziert werden?

Grund­sätz­lich muss jede betrof­fe­ne Per­son ein­zeln über die Daten­schutz­ver­let­zung infor­miert wer­den. Auf­grund der Nach­weis­pflich­ten soll­ten Sie für die Benach­rich­ti­gung siche­re und nach­voll­zieh­ba­re Kanä­le nut­zen, wie zum Bei­spiel ver­schlüs­sel­te E‑Mails oder per Post. Die Benach­rich­ti­gung muss in kla­rer und ein­fa­cher Spra­che for­mu­liert sein. Ggf. müs­sen Sie mehr­spra­chig vorgehen.

Eine öffent­li­che Bekannt­ma­chung oder eine ähn­li­che Maß­nah­me kann erfol­gen, wenn eine direk­te Kon­takt­auf­nah­me nicht mög­lich oder unan­ge­mes­sen auf­wän­dig ist.

Doku­men­tie­ren Sie jede Daten­schutz­ver­let­zung. Die Doku­men­ta­ti­on ent­hält dann alle mit dem Vor­fall zusam­men­hän­gen­den Tat­sa­chen, deren Aus­wir­kun­gen und die ergrif­fe­nen Abhil­fe­maß­nah­men. Beschrei­ben Sie die Maß­nah­men so detail­liert , dass die Auf­sichts­be­hör­de fest­stel­len kann, ob die Sicher­heits­lü­cke geschlos­sen wur­de bzw. wie die fest­ge­stell­te unrecht­mä­ßi­ge Kennt­nis­nah­me für die Zukunft aus­ge­schlos­sen ist.

Wenn Sie als Auf­trags­ver­ar­bei­ter (AV) eine Daten­schutz­ver­let­zung erken­nen, so müs­sen Sie zunächst prü­fen, wel­che Daten ver­letzt wor­den sind. Wenn die Daten des Ver­ant­wort­li­chen betrof­fen sind, müs­sen sie die­sen unver­züg­lich infor­mie­ren. Schau­en Sie in Ihre AV-Ver­ein­ba­rung mit dem jewei­li­gen Ver­ant­wort­li­chen, wel­che kon­kre­ten Rege­lun­gen im Bereich Daten­schutz­ver­let­zun­gen ver­ein­bart wor­den sind. Unter­stüt­zen Sie den Ver­ant­wort­li­chen bei der Umset­zung sei­ner gesetz­li­chen Pflich­ten, die sich aus Art. 33 und Art. 34 DSGVO ergeben.

Wenn Sie als Ver­ant­wort­li­cher die betrof­fe­nen Per­so­nen nicht infor­mie­ren, obwohl ein hohes Risi­ko ersicht­lich war, kann dies zu phy­si­schen, mate­ri­el­len oder imma­te­ri­el­len Scha­den für natür­li­che Per­so­nen führen.

Dazu gehö­ren auch z. B. die Dis­kri­mi­nie­rung von Per­so­nen, Iden­ti­täts­dieb­stahl oder ‑betrug, finan­zi­el­le Ver­lus­te, Ruf­schä­di­gung oder wirt­schaft­li­che bzw. gesell­schaft­li­che Nach­tei­le für die Betroffenen.

Dem­entspre­chend wird eine Nicht-Mel­dung als Ord­nungs­wid­rig­keit gewer­tet und kann gra­vie­ren­de Fol­gen für Ihr Unter­neh­men haben.

Kon­takt

Buchen Sie ein kos­ten­frei­es Erst­ge­spräch und las­sen Sie uns über Daten­schutz­ver­let­zun­gen sprechen.

kontakt-niehoff-systemberatung

Aktu­el­le News zum The­ma Daten­schutz und Informationssicherheit

In die­sem Bereich fin­den Sie Nach­rich­ten und Hin­ter­grund­in­for­ma­tio­nen zum The­ma Daten­schutz und Infor­ma­ti­ons­si­cher­heit. Sie haben ein The­ma, was einen Bei­trag wert wäre? Mel­den Sie sich gerne.