Praxisnahe Umsetzung seit 2013
Ihr Experte für Datenschutz und Informationssicherheit
Datenschutzverletzungen
Datenschutzverletzungen: Können Sie diese 10 Fragen beantworten?
Home » Datenschutz-Grundlagen » Datenschutzverletzungen
Datenschutzverletzungen: Der Überblick
Einleitung
Wenn Sie als Unternehmen personenbezogene Daten verarbeiten und diese nicht fachgerecht schützen, sind Datenschutzverletzungen wahrscheinlich. Der Begriff „Datenschutzverletzung“ ist im Gesetzestext nur allgemein formuliert, sodass sich Ihren Beschäftigten oder Dienstleister irgendwann die Frage stellt: Haben wir jetzt eine Datenschutzverletzung und was ist zu tun?
Bei einer Verletzung der Sicherheit von Daten, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt, spricht der Gesetzgeber vereinfacht von einer Datenschutzverletzung. Typische Beispiele sind:
- Verlust oder Diebstahl mobiler Datenträger, wie zum Beispiel USB-Sticks, externe Festplatten oder Laptops
- Verlust, Diebstahl oder Verlegung von zum Beispiel Papierunterlagen, Aktenordnern oder Bewerbungsmappen
- Versehentliches Öffnen oder Verlust von Briefpost oder Paketen
- Fehlversand von E‑Mails oder Dateien an unbefugte Personen
- Verlust, Verschlüsselung oder unerlaubte Verbreitung von Daten durch Cyberangreifer oder sonstigen unbefugten Personen
Damit Sie Datenschutzverletzungen vorbeugen, Folgen für betroffene Personen durch Gegenmaßnahmen abmildern, rechtzeitig und korrekt der Aufsichtsbehörden melden und fachgerecht abarbeiten, sind geeignete Prozesse im Unternehmen zu etablieren. Die Beschäftigten müssen zum Beispiel wissen, was Datenschutzverletzungen sind und was im Eintrittsfall zu tun ist.
Auf dieser Seite finden Sie Antworten auf (fast) alle Fragen rund um das Thema „Datenschutzverletzungen“.
Hinweis: Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine konkrete Umsetzung nehmen Sie gerne Kontakt auf.
Inhalte
Datenschutzverletzungen: Das Risiko für betroffene Personen
Je sensibler die Daten der betroffenen Personen sind, desto weitreichender können die Auswirkungen bei Datenschutzverletzungen sein. Aus einem „Hier ist noch nie etwas passiert!“ wird dann die Frage gestellt: „Wie konnte das passieren?“ oder „Was haben Sie getan, um das zu verhindern?“
Beachten Sie die möglichen FOlgen
Aus Datenschutzverletzungen können sich zahlreiche nachteilige Auswirkungen für die betroffenen Personen ergeben. Neben physischen und materiellen Schäden sind auch immaterielle Schäden denkbar. Nicht immer sind diese Auswirkungen vorweg erkennbar.
Jede Datenschutzverletzung wird im Einzelfall bei den betroffenen Personen unterschiedlich hart ausfallen. Eine Auskunft am Telefon, eine Weiterleitung einer E‑Mail mit internen Informationen oder ein Verlust einer Bewerbungsmappe kann in den meisten Fällen glimpflich ablaufen. Im Einzelfall sind aber auch soziale, gesellschaftliche, gesundheitliche oder finanzielle Nachteile denkbar.
Melden Sie eine Datenschutzverletzung an die Aufsichtsbehörde oder die betroffene Person nicht rechtzeitig, kann dies zu einer Geldbuße bis zu 10.000.000 EUR oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes führen.
Sie sollten also bei Ihnen im Unternehmen Prozesse einführen und Maßnahmen etablieren, um die Anforderungen der DSGVO zu erfüllen.
Prüffragen für die Geschäftsleitung
Fragen Sie sich als Vertretung der Geschäftsleitung: Machen wir im Datenschutz alles richtig? Dann stellen Sie Ihrem Personal oder dem Datenschutzbeauftragten die folgenden Fragen und lassen sich entsprechende Nachweise vorlegen.
Auch die von Ihnen ausgewählten Auftragsverarbeiter können ein Risiko mit sich bringen. Sie als Verantwortlicher haften, wenn die von Ihnen ausgewählten Auftragsverarbeitern mit Ihren Daten nicht ordnungsgemäß umgehen. Haben Sie Ihre Auftragsverarbeiter auch in diesem Punkt geprüft und dies dokumentiert? Dann können Sie Ihr Haftungsrisiko weit minimieren.
- Ist ein dokumentierter Prozess eingerichtet worden, der eindeutige Regelungen zu Verantwortlichkeiten, Kommunikationswegen und Berichtslinien für Datenschutzverletzungen enthält und regelmäßig aktualisiert wird?
- Sind im Prozess die Identifikation und Risikobewertung von Datenschutzverletzungen, die Aufarbeitung des Sachverhaltes, die Auswahl geeigneter Maßnahmen zur Behebung und Vermeidung einer Wiederholung, zur Entscheidungsfindung der Meldepflichten und der nachgelagerten Prüfung der Verarbeitungstätigkeit und Sicherheitsmaßnahmen vorhanden?
- Gibt es Vorlagen und Musteranschreiben, die bei einer Datenschutzverletzung zur Verfügung stehen und von Ihren Beschäftigten genutzt werden müssen?
- Haben Sie Kommunikationswege im Unternehmen und bei Ihren Auftragsverarbeitern etabliert, damit Datenschutzverletzungen gemeldet werden?
- Werden alle Datenschutzverletzungen in einem zentralen Verzeichnis dokumentiert und enthält die Dokumentation sämtliche erforderlichen Angaben (siehe unten)?
- Gibt es Vorgaben, wer der Aufsichtsbehörde und den betroffenen Personen wann welche Mindestinformationen zur Verfügung stellt, entsprechen diese den Pflichtvorgaben und können diese eingehalten werden?
- Sind Regelungen vorhanden, die eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme ermöglichen, wenn die individuelle Information an betroffene Person zu einem unverhältnismäßigen Aufwand führen?
- Enthalten alle Vereinbarungen mit Auftragsverarbeitern Regelungen zum fachgerechten Umgang mit Datenschutzverletzungen und sind die relevanten Beschäftigten angemessen geschult worden?
- Sind Prozesse, Verantwortlichkeiten und Schnittstellen definiert, die es Ihnen ermöglichen, Datenschutzverletzungen Ihrer Auftragsverarbeiter zu erkennen, zu bewerten, nachweisbar zu dokumentieren und ggf. der Aufsichtsbehörde zu melden bzw. die Betroffenen zu benachrichtigen?
- Haben Sie einen Prozess eingerichtet, der regelmäßig prüft, ob alle Datenschutzverletzungen der Fachbereiche gemeldet wurden bzw. ob es keine Datenschutzverletzungen gab (Negativmeldung)?
Sie wünschen eine direkte Kontaktaufnahme und haben ein paar Fragen, die ggf. schnell beantwortet werden können?
Die 20 häufigsten Ursachen von Datenschutzverletzungen im Unternehmen (Teil 1)
Fehlende Regelungen im Umgang mit Informationen und Daten führen in Unternehmen automatisch zu Wildwuchs in den Fachbereichen und zur Intransparenz. Sorgen Sie dafür, dass in Ihrem Unternehmen klare Vorgaben und Konzepte etabliert werden, um Datenschutzverletzungen vorzubeugen. Auf der linken Seite sehen Sie die Ursache der Verletzungen — auf der rechten Seite klassische technische und organisatorische Maßnahmen zur Prävention.
- Fehlende Regelungen oder nicht fachgerecht durchgeführte Entsorgung von Papier und Aktenordnern.
- Sicherer Standort, Mülltrennung, Schredder, verschlossene Behälter, Fachfirma für Entsorgung, Dienstanweisungen oder Richtlinien, regelmäßige Stichproben, Clean-Desk-Policy, Vermeidung von Papierunterlagen
- Nicht fachgerechte Aufbewahrung von Akten, Lagerung von Akten im Keller mit ungeregeltem Zutritt.
- Verschließbare Behältnisse, Aussonderung, Datenlöschung, Zutrittsregelungen, Dienstanweisungen, Vermeidung von Aktensammlungen oder Einsatz von externen Spezialfirmen
- Nicht angemessene Passwörter für Benutzer und Administratoren für sämtliche IT-Systeme.
- Inventur aller IT-Systeme (einschl. WLAN, Datenbanken, Unix, Firewall, Windows, externe Dienste) und Regelung von Passwörtern gemessen am Schutzbedarf (Identitäts- und Berechtigungsmanagement)
- Fehlendes Berechtigungskonzept für die Fachbereiche in den IT-Systemen und Anwendungen.
- Einführung von Berechtigungskonzepten einschl. Vergabe, Veränderungen und Löschen von Zugriffsrechten, Einsatz von Sicherheitssoftware, regelmäßige Überprüfung auf Wirksamkeit, Deaktivierung von Berechtigungen bei längerer Inaktivität
- Daten von z. B. Standardanwendungen werden auf unterschiedlichen IT-Systemen und bei externen Dienstleistern unstrukturiert und ohne Kontrollmöglichkeit gespeichert.
- Zentrale Datenablage nach Fachbereiche oder Projekten, Zugriffsberechtigungen, Datensynchronisierung, Anonymisierung von Daten oder automatisierte Löschfristen, Ablage bzw. Speicherkonzept
In 4 Schritten zum professionellen Umgang mit Datenschutzverletzungen
Nachfolgend zeige ich Ihnen in 4 Schritten, wie Sie einen Prozess zum Umgang mit Datenschutzverletzungen im Unternehmen etablieren.
Schritt 1: Holen Sie einen Spezialisten an Bord — schneller geht es nicht.
Zunächst beauftragten Sie einen Spezialisten, der seit vielen Jahren nichts anderes macht. Mit einem geringen Zeitaufwand bei Ihren internen Fachbereichen werden die erforderlichen Informationen abgefragt, um in Ihrem Unternehmen die erforderlichen Prozesse zur Prävention und Handhabung von Datenschutzverletzungen zu erstellen.
Beachten Sie das Risiko für die betroffenen Personen!
Die Anzahl der zu erstellenden Dokumente sind abhängig von der Komplexität Ihres Unternehmens und dem Risiko für die Rechte und Freiheiten der betroffenen Personen. Grundsätzlich gilt: Je sensibler die Daten sind, die Sie verarbeiten, desto detaillierter und gewissenhafter müssen Ihre Maßnahmen sein.
Das Wissen für die Erstellung von fachgerechten Prozessen sollten Sie nicht durch interne Beschäftigte ohne Unterstützung aufbauen. Diese Erfahrung ist nebenberuflich nur schwer zu erlangen.
Sie haben ein Notfallmanagement bereits im Unternehmen etabliert? Dann werden Sie sicherlich für die wahrscheinlichsten Risiken einen Notfallplan erarbeitet haben. Wenn Sie noch keinen Notfallplan besitzen, sollten Sie dies ebenfalls in Angriff nehmen. Die Handhabung von Datenschutzverletzungen sollte sicherlich dazugehören.
Schritt 2: Festlegung des Prozesses und der Verantwortlichkeiten im Umgang mit Datenschutzverletzungen
Schulen Sie im zweiten Schritt Ihre Beschäftigten, was eine Datenschutzverletzung ist, was im Fall einer möglichen Datenschutzverletzung zu tun ist und wer wie wann zu kontaktieren ist.
Sie haben noch kein Partnerunternehmen gefunden, das Sie bei einem Cyberangriff unterstützt (zum Beispiel IT-Forensik)? Dann sollten Sie schon einmal eine Auswahl möglicher Spezialisten erstellen, die Sie im Notfall kontaktieren können. Freie Kapazitäten bei IT-Forensikern sind selten. Sie benötigen eine zeitnahe Unterstützung, um Spuren zu sichern und möglichst bald wieder operativ tätig zu werden.
Gestalten Sie Schulungsunterlagen, Vorlagen und Anweisungen für Ihre Beschäftigten, um das Thema Datenschutzverletzungen in Ihren Unternehmen zu verankern. Füllen Sie die Vorlagen beispielhaft einmal aus, wenn Sie bislang keine Datenschutzverletzungen hatten. Es hilft dabei, die Vorlagen praxisnah zu gestalten.
Jede Datenschutzverletzung ist anders. Definieren Sie für typische Datenschutzverletzungen stichpunktartig Gegenmaßnahmen, wie Sie vorgehen würden.
Sie haben ein internes Dokumentationssystem, zum Beispiel ein Wikipedia, ein Dokumentenmanagementsystem, Google Drive, eine NextCloud, ein Qualitätsmanagementsystem, Microsoft Teams / SharePoint oder den klassischen Aktenordner? Sie bevorzugen doch lieber Word- oder Excel-Dokumente? Sorgen Sie dafür, dass alle Unterlagen auch im Falle eines Totalausfalles verfügbar sind.
Schritt 3: Wenden Sie den Prozess bei einer Datenschutzverletzung an.
Bei einer Datenschutzverletzung ist es wichtig, die bei Ihnen im Unternehmen zuständigen Stellen unverzüglich zu informieren. Hier zählt jede Stunde, insbesondere an einem Freitagnachmittag.
Dies kann der Datenschutzbeauftragte, ein Datenschutz-Team mit verschiedenen Zuständigkeiten inkl. der Geschäftsführung oder der Servicedesk sein. Nach dem Eingang der Meldung muss eine Risikobewertung vorgenommen werden. Hier spielt die Zeit eine große Rolle.
Um eine Risikobewertung durchführen zu können, müssen sämtliche relevanten Informationen zusammengetragen werden. Hier spielen die Fachbereiche, die IT-Abteilung, externe Dienstleister oder Kunden und Geschäftspartner eine wichtige Rolle. Nur wenn der Sachverhalt komplett verstanden ist, kann eine solide und nachvollziehbare Risikobewertung stattfinden.
Nach 72 Zeitstunden muss die zuständige Aufsichtsbehörde informiert werden, wenn die Datenschutzverletzung meldepflichtig ist. Wenn hohe Risiken für die betroffenen Personen entstehen können, müssen Sie die betroffenen Personen sofort informieren. Die Mindestinhalte der Meldungen finden Sie im Bereich Details. Sofern Sie als Auftragsverarbeiter tätig sind, müssen Sie die Kunden unverzüglich informieren, damit diese Ihre Pflichten aus der DSGVO erfüllen können.
Um die Datenschutzverletzung zu beheben, müssen Sie das Problem eingrenzen und die Ursache finden. Dann wählen Sie die notwendigen Maßnahmen aus, um die Datenschutzverletzung zu beheben. Ggf. müssen Sie auch IT-Systeme vom Netz nehmen, um weitere Schäden zu begrenzen. Sofern erforderlich, spielen Sie ein aktuelles Backup ein und lassen Sie diese durch die Fachbereiche testen. Hier werden die IT-Abteilung und/oder externe Dienstleister eine wichtige Rolle spielen.
Damit eine spätere Verfolgung von Straftaten möglich ist, sichern Sie entsprechende Beweise zur Geltendmachung von Rechtsansprüchen. Informieren Sie das zuständige Landeskriminalamt. Sofern möglich, leiten Sie Gegenmaßnahmen ein, um die Datenschutzverletzung zu stoppen und weitere Auswirkungen zu minimieren. Bei einem Fehlversand von E‑Mails sind andere Maßnahmen zu treffen, als bei dem Diebstahl eines Laptops oder einem Cyberangriff auf Ihre gesamte Infrastruktur. Wenn Sie externe Unterstützung Ihres Auftragsverarbeiters oder von anderen externen Spezialisten benötigen, nehmen Sie unverzüglich Kontakt auf, um sich Ressourcen zu sichern.
Dokumentieren Sie den Vorfall von Beginn an. Die Inhalte der Dokumentation, der ggf. notwendigen Meldungen an die Aufsichtsbehörde und an die betroffenen Personen finden Sie im Bereich Details.
Schritt 4: Kontinuierliche Verbesserung beim Thema Datenschutzverletzungen.
Nachdem Sie die Datenschutzverletzung beendet haben, arbeiten Sie den Vorfall auf. Was lief gut? Was lief schlecht? Wo liegt die Ursache der Verletzung? Müssen Sie Prozesse oder IT-Systeme verändern? Benötigen Sie zusätzliche Unterstützung oder neue IT-Systeme, wie zum Beispiel eine neue Firewall? Müssen die Beschäftigten besser geschult werden?
Sie benötigen Unterstützung beim Thema Datenschutzverletzungen? Melden Sie sich gerne.
Die 20 häufigsten Ursachen von Datenschutzverletzungen im Unternehmen (Teil 2)
Fehlende Regelungen im Umgang mit Informationen und Daten führen in Unternehmen automatisch zu Wildwuchs in den Fachbereichen und zur Intransparenz. Sorgen Sie dafür, dass in Ihrem Unternehmen klare Vorgaben und Konzepte etabliert werden, um Datenschutzverletzungen vorzubeugen. Auf der linken Seite sehen Sie wieder die Ursache der Verletzungen — auf der rechten Seite klassische technische und organisatorische Maßnahmen zur Prävention.
- Speicherung von Daten verschiedener Kunden auf einem Server in einer Datenbank. Verwaltung von Benutzerkonten mehrerer Kunden in einem Verzeichnisdienst z. B. Active-Directory.
- Physikalische oder virtuelle Trennung der IT-Komponenten, transparentes Rechtemanagement, 4‑Augenprinzip bei Administration der Datenverarbeitungssysteme oder Kontrolle durch den Auftraggeber
- Fehlende Löschkonzepte für die in Fachanwendungen oder mit Standardsoftware z. B. Microsoft 365 gespeicherten Daten. Die Löschung der Dateien lassen sich mit einfachen Mitteln wieder herstellen.
- Definition von Schutzklassen, Einsatz physikalischer Löschtools, wie z. B. Secure Eraser oder Ontrack, Festlegung von Löschkonzepten, eigene Datenträgervernichtung oder eine Aussonderung über eine externe geeignete Entsorgungsfirma
- Durch ein ungehindertes Anschließen von USB-Sticks oder andere Speichermedien an IT-Systeme können unbemerkt Dateien mit Geschäftsdaten oder ausführbare Programme kopiert werden.
- Inventarisierung der Speichermedien, Device-Management mit Sicherheitssoftware oder Verschlüsselung der Daten
- Die Art und Weise der Nutzung von mobilen Geräten sowie die mit ihnen verarbeiteten Daten sind nicht genau bekannt.
- Internetanbindung nur über betrieblich geschützte Netze, Verschlüsselung der Festplatten, Device-Management, Schnittstellen, Synchronisierung der Daten, Dienstanweisung für die Nutzung von mobilen Geräten
- Es gibt keine Vorgaben, welche Sicherheitsfunktionen auf dem Smartphone umzusetzen sind. Die auf dem Smartphone gespeicherten Daten sind nicht verschlüsselt. Private Daten, wie z. B. Bilder werden auf dienstlichen Betriebsmitteln gespeichert.
- Einführung eines Mobile-Device-Management, zentrale Regulierung von Apps und E‑Mails, Verschlüsselung der Daten, Trennung von privaten und geschäftlichen Daten
Weitere Details zum Thema Datenschutzverletzungen
RIsikobewertung der Datenschutzverletzung
Damit Sie entscheiden können, ob eine Datenschutzverletzung der Aufsichtsbehörde und den betroffenen Personen gemeldet werden muss, müssen Sie eine Risikobewertung durchführen. Die Bewertung wird immer auf den konkreten Einzelfall anzuwenden sein. Im Mittelpunkt stehen dabei die potenziellen Folgen für die betroffenen Personen und die Wahrscheinlichkeit des Eintritts der Folgen. Die folgenden Kriterien sind in die Bewertung mit einzubeziehen:
- Art der Datenschutzverletzung, wie z. B. Offenlegung von besonderen personenbezogenen Daten
- Art, Menge und Sensibilität der Datenarten
- Dauer der Datenschutzverletzung
- Zeitpunkt wirksamer Gegenmaßnahmen zur Beendigung oder Minimierung der Datenschutzverletzung
- Anzahl der Beteiligten, z. B. bei einer Offenlegung von Daten
- Kategorien betroffener Personen, wie z. B. Schutzbefohlene, Kinder, Beschäftigte oder politisch Verfolgte
- Bereits eingetretener Schaden, z. B. Passwortmissbrauch und Identitätsdiebstahl
- Möglichkeiten zur Wiederherstellung des Urzustandes
Es gibt digitale oder analoge Arten von Datenschutzverletzungen. Finden Sie hier einige Beispiele:
Arten von Datenschutzverletzungen
- Veröffentlichung der Daten von Beschäftigten am “Schwarzen Brett”
- Bedienfehler in der Firewall oder sonstigen IT-Systemen (Hard- und Software)
- Verlust oder Diebstahl von Aktenordnern, Festplatten oder USB-Sticks
- Fehlerhafte Entsorgung von Datenträgern
- Ungewollte Übermittlung von Daten an Unbefugte
- Vorsätzliche Angriffe auf IT-Systeme
- Preisgabe von Daten an Unbefugte (Social Engineering)
- Veröffentlichung von Daten durch eine unzureichend getestete Software
- Unbefugter Zugriff auf und Export von Informationen durch Unbefugte
Ihre Rolle bei Datenschutzverletzungen
Wenn Sie als Verantwortlicher Auftragsverarbeiter einsetzen, selbst Auftragsverarbeiter sind oder sogar mit mehreren Verantwortlichen zusammenarbeiten, müssen Sie sicherstellen, dass die Datenschutzverletzung auch mit den anderen Parteien fachgerecht abgearbeitet wird.
Notwendig ist es, vorab die Verantwortlichkeiten der jeweiligen Partei bei einer Datenschutzverletzung in der Zusammenarbeit vertraglich festzulegen. Nur so werden Missverständnisse und Unstimmigkeiten vermieden. Eine unverzügliche Meldung einer möglichen Datenschutzverletzung an die anderen Parteien hilft dabei, die zeitlichen Vorgaben zu erfüllen.
Wann wird Ihnen eine Datenschutzverletzung „bekannt“?
Da in Art. 33 Abs. 1 DSGVO binnen einer 72 Zeitstundenfrist die Meldung an die für Sie zuständige Datenschutzaufsichtsbehörde erfolgen muss, ist der Zeitpunkt der Erkenntnis festzulegen. Haben Sie als Verantwortlicher eine Gewissheit, dass eine Datenschutzverletzung entstanden ist, für die Sie verantwortlich sind, beginnt die Uhr zu laufen. Es gibt ganz unterschiedliche Interpretationen, wann der Zeitpunkt der Erkennung oder des Fristablaufs erreicht ist. Hier kann sich ggf. ein kleiner zeitlicher Spielraum für Sie ergeben.
In einigen Fällen wird Ihnen sofort klar sein, ob Sie nun eine Datenschutzverletzung haben, die ggf. der Aufsichtsbehörde und den betroffenen Personen zu melden ist. In anderen Situationen ist das aber nicht immer klar. Hier müssen Sie dann weitere Informationen hinzuziehen oder abwarten, bis Sie eine konkrete Aussage treffen können. Eine vorsorgliche Meldung an die Aufsichtsbehörde kann dabei sinnvoll sein, um im Nachgang keine Geldbusse zu erhalten.
Wenn Sie zum Beispiel von den betroffenen Personen oder anderen externen Personen direkt informiert werden und Nachweise geschickt bekommen, dass Sie eine Datenschutzverletzung erlitten haben, gilt der Eingang der Informationen als Zeitstempel. Nach einer Überprüfung des Sachverhaltes sollte Sie Ihren Ablaufplan zur Handhabung einer Datenschutzverletzung umsetzen.
Beispiele für nachgelagerte Aktivitäten zur Optimierung
Wie bei jedem Sicherheitsvorfall sollten Sie prüfen, ob die Ursache in der Organisation und/oder in der Technik lag. Flüchtigkeitsfehler von Beschäftigten oder fehlende Vorgaben führen häufig zu Datenschutzverletzungen.
Eine Risikominimierung ist im Nachgang durch technische und organisatorische Maßnahmen zu erzielen. Wie bereits erwähnt, sollten Sie im Rahmen Ihres Prozesses zur Bewältigung von Datenschutzverletzungen eine Risikobewertung vornehmen und über eine geeignete Risikobewertungsmatrix verfügen, die Ihnen bei der Bewältigung von Datenschutzverletzungen im Alltag hilft. Auf diese Weise können Sie die Auswirkungen von Sicherheitsverletzungen abschätzen und Ihre Melde- und Aufzeichnungspflichten erfüllen.
Ein paar technische und organisatorische Maßnahmen zur Prävention gleicher oder ähnlicher Datenschutzverletzungen sind:
- Schulung der Beschäftigten bei der Ausübung Ihrer Tätigkeiten
- Auffrischungskurse für ausgewählte Beschäftigte
- Kontrolle und Begleitung bei der Ausübung der Tätigkeiten
- Erstellung oder Konkretisierung von Richtlinien oder Anweisungen
- Einführung einer Vertrauenskultur
- Wertschätzung bei unklaren Prozessen und Verantwortlichkeiten
- Anpassung von Systemeinstellungen (z. B. Unterbindung von “Autoausfüllen”-Funktionen)
- Unterbindung von Funktionen von IT-Systemen
Inhalte der Meldung der Datenschutzverletzung an die Aufsichtsbehörde
Die folgenden Informationen sind der zuständigen Aufsichtsbehörde zu melden. Meist stellen die Aufsichtsbehörden elektronische Formulare zur Verfügung, die für die Meldung genutzt werden sollen. Je nach Bundesland sind noch weitere Informationen hinzuzuziehen. Je nach Wissensstand können auch weitere Informationen im Nachgang ergänzt werden.
- Beschreibung der Art der Datenschutzverletzung
- Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen
- Angabe der Kategorien von Daten und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
- Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
- Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
- Beschreibung der von Ihnen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Milderung der Datenschutzverletzung
- Sofern erforderlich — eine nachvollziehbare Begründung für eine verspätete Meldung, zum Beispiel bei mehreren Datenschutzverletzungen zur gleichen Zeit.
Inhalte der Meldung der Datenschutzverletzung an die betroffenen Personen
Die folgenden Informationen sind den betroffenen Personen zu melden, wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen entstehen können.
- Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
- Beschreibung der von Ihnen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Milderung der Datenschutzverletzung
- Mögliche Eigenschutzmaßnahmen zur Minimierung der eigenen Risiken
Eine direkte Kontaktaufnahme mit den betroffenen Personen ist nicht erforderlich, wenn Ihnen ein unverhältnismäßig hoher Aufwand entstehen würde. In diesem Fall müssen Sie die betroffenen Personen indirekt informieren, zum Beispiel über eine öffentliche Bekanntmachung in der Tagespresse. Bleiben Sie transparent und klar in der Kommunikation und holen Sie sich Unterstützung von entsprechenden PR-Agenturen.
Je nach Personengruppe können auch mehrsprachige Informationen notwendig werden. Dabei stehen zum Beispiel folgende Kanäle zur Verfügung.
- Direkte Kommunikation per E‑Mail, SMS oder sonstigen Medien
- Banner oder Anzeigen auf sozialen Medien oder in Zeitungen / Zeitschriften, die geeignet sind, um die betroffenen Personen zu erreichen.
- Briefpost, wenn zum Beispiel nur die postalische Adresse bekannt ist.
Dabei sollten Sie in Zusammenarbeit mit der Aufsichtsbehörde der Zeitpunkt festgelegt werden. Nicht immer ist es sinnvoll, Informationen zu verschicken, wenn der Sachverhalt noch nicht klar ist.
Die 20 häufigsten Ursachen von Datenschutzverletzungen im Unternehmen (Teil 3)
Fehlende Regelungen im Umgang mit Informationen und Daten führen in Unternehmen automatisch zu Wildwuchs in den Fachbereichen und zur Intransparenz. Sorgen Sie dafür, dass in Ihrem Unternehmen klare Vorgaben und Konzepte etabliert werden, um Datenschutzverletzungen vorzubeugen. Auf der linken Seite sehen Sie wieder die Ursache der Verletzungen — auf der rechten Seite klassische technische und organisatorische Maßnahmen zur Prävention.
- Digitalkopierer werden durch einen IT-Dienstleister gewartet und nach mehrjähriger Nutzungszeit durch neue Geräte ausgetauscht. Die Daten auf der internen Festplatte werden nicht fachgerecht gelöscht. Vorgaben für die Benutzer der Multifunktionsgeräte gibt es nicht.
- Auswahl eines sicheren Standortes, Ausdruck nach einer Authentisierung, Ausbau der internen Festplatten, Einsatz von Schredder oder abgeschlossene Datentonne für Fehldrucke im Kopierraum, fachgerechtes Löschkonzept des IT-Dienstleisters
- Netzkomponenten, z. B. Router und Firewalls, werden mit wenig Kenntnissen oder durch den externen IT-Dienstleister remote administriert. Die Konfigurationseinstellungen werden nicht vorgegeben, dokumentiert und überprüft.
- Erstellung von Konzepten für Netzkomponenten, Sperrung externer Remotezugänge, Kontrolle der Administratoren, Protokollierung der Aktivitäten auf den Komponenten, Reaktion auf Sicherheitsvorfälle, Schulung und Sensibilisierung
- Die Datenkommunikation aller Nutzer in z. B. Schulungs‑, Besprechungs‑, Administrations‑, Entwicklungs- und Produktionsbereichen erfolgt über ein Netzsegment. Die Netzstrukturen sind nicht nachvollziehbar dokumentiert.
- Einführung einer Netzsegmentierung, Management von MAC-Adressen, Authentifizierung durch Zertifikate, geschützte Leitungen, Dokumentation, Netzpläne, Kontrolle der Netzverbindungen
- Die Betriebssysteme, Anwendungen und Sicherheitssysteme befinden sich nicht durchgängig auf allen IT-Systemen auf dem neusten Stand.
- Festlegung der Sicherheitsanforderungen für alle IT-Systeme, Einsatz aktueller Virenschutzsoftware, übergreifendes Patchmanagement, Meldung bei Infektionen
- Die Nutzung des E‑Mail-Programms liegt im Ermessen des jeweiligen Anwenders. Sensible Daten werden ungeschützt über das Internet verschickt.
- Erstellung von Richtlinien für die Verwendung von E‑Mails einschl. der privaten Nutzung, Transportverschlüsselung der E‑Mails, Sensibilisierung der Nutzer, Kontrolle des Nutzerverhaltens
Kontinuierliche Verbesserung auch bei Datenschutzverletzungen
Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, lernen und anpassen. Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unternehmens permanent infrage und startet im Unternehmen einen wiederkehrenden Regelkreis zur Verbesserung der Abläufe und Prozesse.
Auch beim Thema Datenschutzverletzungen gibt es einen stetigen Verbesserungsprozess durch regelmäßige Aktualisierungen und feste Einbindung im Gestaltungsprozess von Geschäftsprozessen.
Bleiben SIe aktuell!
Erstellen auch Sie einen Regelkreis, damit der Prozess für Datenschutzverletzungen korrekt erstellt wird, den richtigen Detailgrad hat, vom Fachbereich verstanden und aktuell gehalten wird.
Festlegung des Prozesses zur Erkennung und Handhabung von Datenschutzverletzungen
Umsetzung der Prozesse für Datenschutzverletzungen im Unternehmen
Prüfung der Aktualität und Richtigkeit des Prozesses für Datenschutzverletzungen oder bei konkreten Fällen
Die 20 häufigsten Ursachen von Datenschutzverletzungen im Unternehmen (Teil 4)
Fehlende Regelungen im Umgang mit Informationen und Daten führen in Unternehmen automatisch zu Wildwuchs in den Fachbereichen und zur Intransparenz. Sorgen Sie dafür, dass in Ihrem Unternehmen klare Vorgaben und Konzepte etabliert werden, um Datenschutzverletzungen vorzubeugen. Auf der linken Seite sehen Sie wieder die Ursache der Verletzungen — auf der rechten Seite klassische technische und organisatorische Maßnahmen zur Minierung der Eintrittswahrscheinlichkeit.
- Im Web können Mitarbeiter ohne Einschränkung surfen und Dateien herunterladen. Notebooks und Smartphones verbinden sich direkt mit dem Internet und umgehen die in der Organisation eingerichtete Firewall.
- Richtlinien für die Internettnutzung, Protokollierung und Prüfung des Datenverkehres, URL-Filterung, Einschränkung von Downloads / Streaming / Spiele, Protokollierung von Ereignissen
- Mitarbeiter von Dienstleistern und von der IT-Abteilung können sich aus der Ferne über das Internet auf IT-Systeme der Organisation anmelden und administrative Aktivitäten durchführen.
- Deaktivierung der Remotezugänge für Administratoren, Freigabe nur nach Auftrag und nach vorheriger Absprache, Protokollierung und Überwachung der Administrationsschritte
- Es ist in der Organisation nicht vollständig bekannt, welche Dienstleister im Rahmen eines Outsourcings bzw. einer Auftragsverarbeitung tätig werden.
- Eignungsfeststellung der Dienstleister, Abschluss eines Vertrages mit Regelungen über Datenschutz und IT-Sicherheit, Kontrolle der Dienstleistung und der IT-Sicherheit vor Ort
- Es werden Cloud-Dienste bei Anbietern ohne die Beachtung datenschutzrechtlicher Vorschriften genutzt. Sensible Daten werden in der Cloud verarbeitet, ohne zu wissen, an welchen Standorten sie mit welchen IT-Komponenten gespeichert werden und für wen sie dort im Zugriff stehen.
- Standortfestlegung und Vorgaben für die Systemumgebung, Verschlüsselung der Daten, Begrenzung der Berechtigungen für Personal beim Dienstleister, Protokollierung von administrativen Aktivitäten
- Es werden ohne festgelegte Regeln dienstliche bzw. geschäftliche Daten über Soziale Medien wie z.B. Xing, Facebook, Twitter oder What’sApp kommuniziert.
- Einführung von Richtlinien, Schulung und Mitarbeitersensibilisierungen
Clever sein — Binden Sie den DSB unverzüglich bei Datenschutzverletzungen mit ein!
Wenn Sie einen Datenschutzbeauftragten im Unternehmen etabliert haben, ist er unverzüglich bei Verdacht einer Datenschutzverletzung in den gesamten Prozess mit einzubinden. Aufgrund seiner Erfahrung hilft er Ihnen bei der Risikobewertung, Kommunikation und Dokumentation der Datenschutzverletzung.
Sie sollten die Kontaktdaten des Datenschutzbeauftragten auch der Aufsichtsbehörde oder den betroffenen Personen mitteilen. Bei der Abarbeitung der Folgen einer Datenschutzverletzung spielt der Datenschutzbeauftragte eine wichtige Rolle.
- Langjährige Erfahrung bei Datenschutzverletzungen
- Fokus im norddeutschen Raum
- Zeitnah verfügbar, vor Ort und digital
Häufige Fragen zum Thema Datenschutzverletzungen
Jedes Unternehmen, welches personenbezogene Daten regelmäßig verarbeitet, wird mit dem Thema Datenschutzverletzungen zu tun haben. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein paar Antworten auf die häufigsten Fragen:
Unter einer Datenschutzverletzung bzw. Datenpanne versteht man eine Verletzung des Schutzes personenbezogener Daten, die
- - zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten oder
- zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Hierzu zählen unter anderem der Verlust von Datenträgern oder Geräten, auf denen Daten unverschlüsselt gespeichert sind, das Bekanntwerden von Passwörten und der unberechtigte Zugriff auf Daten oder Datenabflüsse durch Softwarefehler.
Wer eine Datenschutzverletzung nicht oder verspätet meldet, riskiert ein Bußgeld. Gemäß Art. 83 Nr. 4 DSGVO sind Bußgelder bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Vorjahresumsatzes möglich.
Beispiele von Kategorien von Datenschutzverletzungen sind:
- - Unbewusste/unbeabsichtigte Veröffentlichung von personenbezogenen Daten im Internet
- - Hackerangriff, Schadsoftware, Phishing-Angriffe
- - Unbefugte erhalten Zugang zu Daten in einem geschlossenen System
- - Missbrauch von Zugriffsrechten
- - Unverschlüsselter E‑Mail-Versand
- - E‑Mail-Fehlleitungen
- - Herausgabe von Informationen am Telefon an Unbefugte
- - Weiterleitung eines langen E‑Mail-Verlaufes mit Informationen, die nicht für den Empfängerkreis vorgesehen ist.
Sobald Sie Kenntnis von einer Datenschutzverletzung oder Datenpanne erlangen, beantworten Sie folgende Fragen:
- - Was ist eigentlich passiert?
- - Sind personenbezogenene Daten betroffen?
- - Welche Kategorien von Personen sind betroffen?
- - Wie viele Datensätze sind betroffen?
- - Sind wir der Verantwortliche der Datenverarbeitung? Wenn nicht, sind wir Auftragsverarbeiter und müssen den Vorfall dem / den Verantwortlichen melden?
- - Sind noch Gegenmaßnahmen möglich, um das Risiko zu reduzieren?
- - Wie hoch ist das Risiko des Vorfalls und welche Auswirkungen sind zu erwarten (Identitätsdiebstahl, finanzielles Risiko, Imageschaden, existenzielle Probleme, Mobbing/Bloßstellung)?
- - Ist die Aufsichtsbehörde zu informieren?
- - Ist das Risiko so hoch, dass auch die Betroffenen selbst zu informieren sind?
Um der zuständigen Aufsichtsbehörde zu melden, gibt es meist Meldeformulare auf den Webseiten der Aufsichtsbehörden.
BfDI — Landesbehörden (bund.de)
Einige Kontrollfragen in diesem Zusammenhang sind:
- - Was hat zu der Verletzung geführt (z. B. Fehlverhalten, Einwirkungen von
außen, organisatorische Mängel, technische Probleme)? - - Was ist mit den Daten geschehen (z. B. Verlust, Löschung, Diebstahl,
unbefugte Kenntnisnahme)? - - Um welche Kategorien von betroffenen Personen handelt es sich (z. B. Beschäftigte, Kunden, Mieter, Bewerber, Mandanten, Patienten, Klienten)?
- - Um welche Kategorien personenbezogener Datensätze handelt es sich (z. B. Beschäftigtendaten, Meldedaten, Gesundheitsdaten)?
- - Um welche Einzelangaben handelt es sich (z. B. Name, Alter, Gehaltsangaben, Kreditkartendaten, Anschrift, Diagnose)?
- - Wann ist die Verletzung eingetreten?
- - Wie kann das Risiko für die betroffenen Personen reduziert werden?
Grundsätzlich muss jede betroffene Person einzeln über die Datenschutzverletzung informiert werden. Aufgrund der Nachweispflichten sollten Sie für die Benachrichtigung sichere und nachvollziehbare Kanäle nutzen, wie zum Beispiel verschlüsselte E‑Mails oder per Post. Die Benachrichtigung muss in klarer und einfacher Sprache formuliert sein. Ggf. müssen Sie mehrsprachig vorgehen.
Eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme kann erfolgen, wenn eine direkte Kontaktaufnahme nicht möglich oder unangemessen aufwändig ist.
Dokumentieren Sie jede Datenschutzverletzung. Die Dokumentation enthält dann alle mit dem Vorfall zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen. Beschreiben Sie die Maßnahmen so detailliert , dass die Aufsichtsbehörde feststellen kann, ob die Sicherheitslücke geschlossen wurde bzw. wie die festgestellte unrechtmäßige Kenntnisnahme für die Zukunft ausgeschlossen ist.
Wenn Sie als Auftragsverarbeiter (AV) eine Datenschutzverletzung erkennen, so müssen Sie zunächst prüfen, welche Daten verletzt worden sind. Wenn die Daten des Verantwortlichen betroffen sind, müssen sie diesen unverzüglich informieren. Schauen Sie in Ihre AV-Vereinbarung mit dem jeweiligen Verantwortlichen, welche konkreten Regelungen im Bereich Datenschutzverletzungen vereinbart worden sind. Unterstützen Sie den Verantwortlichen bei der Umsetzung seiner gesetzlichen Pflichten, die sich aus Art. 33 und Art. 34 DSGVO ergeben.
Wenn Sie als Verantwortlicher die betroffenen Personen nicht informieren, obwohl ein hohes Risiko ersichtlich war, kann dies zu physischen, materiellen oder immateriellen Schaden für natürliche Personen führen.
Dazu gehören auch z. B. die Diskriminierung von Personen, Identitätsdiebstahl oder ‑betrug, finanzielle Verluste, Rufschädigung oder wirtschaftliche bzw. gesellschaftliche Nachteile für die Betroffenen.
Dementsprechend wird eine Nicht-Meldung als Ordnungswidrigkeit gewertet und kann gravierende Folgen für Ihr Unternehmen haben.
Wenn Sie eine professionelle Unterstützung bei diesem Thema suchen, sollten wir uns kennenlernen!
Finden Sie hier eine Auswahl von Dienstleistungen und Produkten.
Mit einen Klick auf die Schaltfläche erhalten Sie mehr Informationen
Datenschutzberater DSGVO
Mit einer modernen Beratung im Bereich Datenschutz und Informationssicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um. Ich biete stundenweise eine Datenschutzberatung von A‑Z.
Datenschutzbeauftragter DSGVO
Informationssicherheitsbeauftragter
Ich berate Sie in allen Bereichen der Informationssicherheit. Schützen Sie Ihre Daten vor den Gefährdungen dieser Zeit nach dem Stand der Technik nach bewährten Methoden. Erfüllen Sie die Anforderungen des IT-Grundschutzes?
Datenschutzkonforme Website
Benötigen Sie regelmäßige Reports über alle Websites inkl. Unterseiten, auch in englischer Sprache? Hätten Sie gerne eine aktive Information, wenn sich die Rechtslage ändert und Sie aktiv werden müssen. Ich biete praxisnahe Maßnahmen zur Optimierung!
Videoüberwachung DSGVO
Datenschutz-Schulungen DSGVO
Praxisnahe Schulungen im Datenschutz und in der Informationssicherheit sind für Unternehmen unerlässlich. Ich biete Präsenz-Veranstaltungen, Webinare und E‑Learning-Kurse an. Schulen Sie Ihre Beschäftigten zielgruppengenau und passend auf Ihr Unternehmen.
“Ich biete maßgeschneiderte Lösungen für Unternehmen, denen Datenschutz und Informationssicherheit wichtig sind. Gerne nehme ich mir Zeit für eine persönliche Beratung und erstelle Ihnen unverbindlich und kostenlos ein auf Sie zugeschnittenes Angebot.
Ich bevorzuge Unternehmen, die Datenschutz und Informationssicherheit umsetzen wollen. Wenn Sie eine kostengünstige Beratung von der Stange bevorzugen, passen wir nicht zusammen”.
Kundenstimmen
Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.
Mit einer hohen datenschutzrechtlichen, organisatorischen und sicherheitsrelevanten Kompetenz hat Herr Niehoff unser Unternehmen schnell und mit außerordentlicher Unterstützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.
Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.
Nach dem ersten Start haben wir schnell gemerkt, dass es ohne professionelle Hilfe nicht weitergeht. Herr Niehoff hat uns hier auf die richtige Spur gebracht und wir uns auch in Zukunft weiter unterstützen. Vielen Dank für die super schnelle Reaktion und Hilfe in der Krise! Wir freuen uns auch in Zukunft einen starken Partner an der Seite zu haben! Karsten Lorenzen, Geschäftsführer Testexperten KLE GmbH
Ich setze regelmäßig digitale Projekte mit anspruchsvollen Kunden um. Datenschutz ist ein notwendiges Muss. Ich benötige daher einen aktiven DSB, der da ist, wenn ich ihn benötige und mit Praxiswissen zeitnah zuarbeitet. Ich will ein festes Kontingent und nicht für jeden Handschlag zusätzlich bezahlen. Am Ende wird so etwas meist teurer und aufwändiger in der Abrechnung. Herr Niehoff bringt aufgrund seiner Flexibilität mein Business voran.
Kontakt
- Direkte Betreuung
- Zeitnahe Erstellung von Prozessen zur Erkennung und Handhabung von Datenschutzverletzungen
- Zeitnah verfügbar
Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.