Praxisnahe Umsetzung seit 2013

Ihr Experte für Datenschutz und Informationssicherheit

Datenschutz­verletzungen

Datenschutzverletzungen: Können Sie diese 10 Fragen beantworten?

Datenschutz­verletzungen: Der Überblick

Einleitung

Wenn Sie als Unternehmen personenbezogene Daten verarbeiten und diese nicht fachgerecht schützen, sind Datenschutzverletzungen wahrscheinlich. Der Begriff „Datenschutzverletzung“ ist im Gesetzestext nur allgemein formuliert, sodass sich Ihren Beschäftigten oder Dienstleister irgendwann die Frage stellen: Haben wir jetzt eine Datenschutzverletzung und was ist zu tun?

Bei einer Verletzung der Sicherheit von Daten, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt, spricht der Gesetzgeber vereinfacht von einer Datenschutzverletzung. Typische Beispiele sind:

Damit Sie Datenschutzverletzungen vorbeugen, Folgen für betroffene Personen durch Gegenmaßnahmen abmildern, rechtzeitig und korrekt der Aufsichtsbehörden melden und fachgerecht abarbeiten, sind geeignete Prozesse im Unternehmen zu etablieren. Die Beschäftigten müssen zum Beispiel wissen, was Datenschutzverletzungen sind und was im Eintrittsfall tun ist.

Auf dieser Seite finden Sie Antworten auf (fast) alle Fragen rund um das Thema „Datenschutzverletzungen“.

Hinweis: Diese Informationen stellen keine Rechtsberatung dar, sondern geben Anregungen zur Umsetzung. Für eine konkrete Umsetzung nehmen Sie gerne Kontakt auf.

Inhalte

Datenschutzverletzungen: Das Risiko für betroffene Personen

Je sensibler die Daten der betroffenen Personen sind, desto weitreichender können die Auswirkungen bei Datenschutzverletzungen sein. Aus einem „Hier ist noch nie etwas passiert!“ wird dann die Frage gestellt: „Wie konnte das passieren?“ oder „Was haben Sie getan, um das zu verhindern?“

Beachten Sie die möglichen FOlgen

Aus Datenschutzverletzungen können sich zahlreiche nachteilige Auswirkungen für die betroffenen Personen ergeben. Neben physischen und materiellen Schäden sind auch immaterielle Schäden denkbar. Nicht immer sind diese Auswirkungen vorweg erkennbar.

Jede Datenschutzverletzung wird im Einzelfall bei den betroffenen Personen unterschiedlich hart ausfallen. Eine Auskunft am Telefon, eine Weiterleitung einer E-Mail mit internen Informationen oder ein Verlust einer Bewerbungsmappe kann in den meisten Fällen glimpflich ablaufen. Im Einzelfall sind aber auch soziale, gesellschaftliche, gesundheitliche oder finanzielle Nachteile denkbar.

Melden Sie eine Datenschutz­verletzung an die Aufsichtsbehörde oder die betroffene Person nicht rechtzeitig, kann dies zu einer Geldbuße bis zu 10.000.000 EUR oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes führen.

Sie sollten also bei Ihnen im Unternehmen Prozesse einführen und Maßnahmen etablieren, um die Anforderungen der DSGVO zu erfüllen.

Prüffragen für die Geschäftsleitung

Fragen Sie sich als Vertretung der Geschäftsleitung: Machen wir im Datenschutz alles richtig? Dann stellen Sie Ihrem Personal oder dem Datenschutzbeauftragten die folgenden Fragen und lassen sich entsprechende Nachweise vorlegen.

Auch die von Ihnen ausgewählten Auftragsverarbeiter können ein Risiko mit sich bringen. Sie als Verantwortlicher haften, wenn die von Ihnen ausgewählten Auftragsverarbeitern mit Ihren Daten nicht ordnungsgemäß umgehen. Haben Sie Ihre Auftragsverarbeiter auch in diesem Punkt geprüft und dies dokumentiert? Dann können Sie Ihr Haftungsrisiko weit minimieren.

compliance-im-datenschutz
Sie kennen das Thema bereits und wollen mehr Details wissen? Hier erhalten Sie mehr Infor­mationen zum Thema Daten­schutz­ver­letzung!
Sie wollen in 4 Schritten das Thema Daten­schutz­verletzung im Unter­nehmen etablieren? Finden Sie hier weitere Informationen.

Sie wünschen eine direkte Kontaktaufnahme und haben ein paar Fragen, die ggf. schnell beantwortet werden können?

In 4 Schritten zum professionellen Umgang mit Datenschutzverletzungen

Nachfolgend zeige ich Ihnen in 4 Schritten, wie Sie einen Prozess zum Umgang mit Datenschutzverletzungen im Unternehmen etablieren.

Schritt 1: Holen Sie einen Spezialisten an Bord – schneller geht es nicht.

Zunächst beauftragten Sie einen Spezialisten, der seit vielen Jahren nichts anderes macht. Mit einem geringen Zeit­aufwand bei Ihren internen Fach­bereichen werden die erforderlichen Informationen abgefragt, um in Ihrem Unter­nehmen die erforder­lichen Prozesse zur Prävention und Hand­habung von Daten­schutz­verletzungen zu erstellen.

Beachten Sie das Risiko für die betroffenen Personen!

Die Anzahl der zu erstellenden Dokumente sind abhängig von der Komplexität Ihres Unternehmens und dem Risiko für die Rechte und Freiheiten der betroffenen Personen. Grundsätzlich gilt: Je sensibler die Daten sind, die Sie verarbeiten, desto detaillierter und gewissenhafter müssen Ihre Maßnahmen sein. 

Das Wissen für die Erstellung von fachgerecht erstellten Prozessen sollten Sie nicht durch interne Beschäftigte ohne Unterstützung aufbauen. Diese Erfahrung ist nebenberuflich nur schwer zu erlangen.

Sie haben ein Notfallmanagement bereits im Unternehmen etabliert? Dann werden Sie sicherlich für die wahrscheinlichsten Risiken einen Notfallplan erarbeitet haben. Wenn Sie noch keinen Notfallplan erstellt haben, sollten Sie dies ebenfalls in Angriff nehmen. Die Handhabung von Datenschutz­verletzungen sollte sicherlich dazugehören.

Schritt 2: Festlegung des Prozesses und der Verantwortlichkeiten im Umgang mit Datenschutzverletzungen

Schulen Sie im zweiten Schritt Ihre Beschäftigten, was eine Datenschutz­verletzung ist, was im Fall einer möglichen Datenschutz­verletzung zu tun ist und wer wie wann zu kontaktieren ist.

Sie haben noch kein Partnerunternehmen gefunden, das Sie bei einem Cyberangriff unterstützt (z. B. IT-Forensik)? Dann sollten Sie schon einmal eine Auswahl möglicher Spezialisten erstellen, die Sie im Notfall kontaktieren können. Freie Kapazitäten bei IT-Forensikern sind selten. Sie benötigen eine zeitnahe Unterstützung, um Spuren zu sichern und möglichst bald wieder operativ tätig zu werden.

Gestalten Sie Schulungs­unterlagen, Vorlagen und Anweisungen für Ihre Beschäftigten, um das Thema Datenschutz­verletzungen in Ihren Unter­nehmen zu verankern. Füllen Sie die Vorlagen beispiel­haft einmal aus, wenn Sie bislang keine Datenschutz­verletzungen hatten. Es hilft dabei, die Vorlagen praxis­nah zu gestalten.

Jede Datenschutzverletzung ist anders. Definieren Sie für typische Datenschutzverletzungen stichpunktartig Gegenmaßnahmen, wie Sie vorgehen würden.

Sie haben ein internes Dokument­ations­system, z. B. ein Wikipedia, ein Dokumenten­management­system, Google Drive, eine NextCloud, ein Qualitäts­management­system, Microsoft Teams / SharePoint oder den klassischen Aktenordner? Sie bevorzugen doch lieber Word- oder Excel-Dokumente? Sorgen Sie dafür, dass alle Unterlagen auch im Falle eines Totalausfalles verfügbar sind.

Die 20 häufigsten Ursachen von Datenschutzverletzungen im Unternehmen (Teil 1)

Fehlende Regelungen im Umgang mit Informationen und Daten führen in Unternehmen automatisch zu Wildwuchs in den Fachbereichen und zur Intransparenz. Sorgen Sie dafür, dass in Ihrem Unternehmen klare Vorgaben und Konzepte etabliert werden, um Datenschutzverletzungen vorzubeugen. Im Teil 2 erhalten Sie weitere Informationen.

Anbei finden Sie die häufigsten Ursachen, die in Unternehmen immer wieder zu Datenschutzverletzungen führen. Es werden ergänzend Maßnahmen dargestellt, um die Eintrittswahrscheinlichkeit von Datenschutzverletzungen zu verringern. Im zweiten Teil erhalten Sie weitere Beispiele.

Schritt 3: Wenden Sie den Prozess bei einer Datenschutzverletzung an.

Bei einer Datenschutzverletzung ist es wichtig, die bei Ihnen im Unternehmen zuständige Stellen unverzüglich  zu informieren. Hier zählt jede Stunde, insbesondere an einem Freitagnachmittag.

Dies kann der Datenschutzbeauftragte, ein Datenschutz-Team mit verschiedenen Zuständigkeiten inkl. der Geschäftsführung oder der Servicedesk sein. Nach dem Eingang der Meldung muss eine Risikobewertung vorgenommen werden. Hier spielt die Zeit eine große Rolle. 

Um eine Risikobewertung durchführen zu können, müssen sämtliche relevanten Informationen zusammengetragen werden. Hier spielen die Fachbereiche, die IT-Abteilung, externe Dienstleister oder Kunden und Geschäftspartner eine wichtige Rolle. Nur wenn der Sachverhalt komplett verstanden ist, kann eine solide und nachvollziehbare Risikobewertung stattfinden.

Nach 72 Zeitstunden muss die zuständige Aufsichtsbehörde informiert werden, wenn die Datenschutz­verletzung meldepflichtig ist. Wenn hohe Risiken für die betroffenen Personen entstehen können, müssen Sie die betroffenen Personen sofort informieren. Die Mindest­inhalte der Meldungen finden Sie im Bereich Details. Sofern Sie als Auftragsverarbeiter tätig sind, müssen Sie die Kunden unverzüglich informieren, damit diese Ihre Pflichten aus der DSGVO erfüllen können.

Um die Datenschutzverletzung zu beheben, müssen Sie das Problem eingrenzen und die Ursache finden. Dann wählen Sie die notwendigen Maßnahmen aus, um die Datenschutzverletzung zu beheben. Ggf. müssen Sie auch IT-Systeme vom Netz nehmen, um weitere Schäden zu begrenzen. Sofern erforderlich, spielen Sie ein aktuelles Backup ein und lassen Sie diese durch die Fachbereiche testen. Hier werden die IT-Abteilung und/oder externe Dienstleister eine wichtige Rolle spielen.

Damit eine spätere Verfolgung von Straf­taten möglich ist, sichern Sie entsprechende Beweise zur Geltendmachung von Rechtsansprüchen. Informieren Sie das zuständige Landeskriminalamt. Sofern möglich, leiten Sie Gegen­maßnahmen ein, um die Datenschutz­verletzung zu stoppen und weitere Aus­wirkungen zu minimieren. Bei einem Fehlversand von E-Mails sind andere Maßnahmen zu treffen, als bei dem Diebstahl eines Laptops oder einem Cyberangriff auf Ihre gesamte Infrastruktur. Wenn Sie externe Unterstützung Ihres Auftragsverarbeiters oder von anderen externen Spezialisten benötigen, nehmen Sie unverzüglich Kontakt auf, um sich Ressourcen zu sichern.

Dokumentieren Sie den Vorfall von Beginn an. Die Inhalte der Dokument­ation, der ggf. notwendigen Meldungen an die Aufsichtsbehörde und an die betroffenen Personen finden Sie im Bereich Details.

Schritt 4: Kontinuierliche Verbesserung beim Thema Datenschutzverletzungen.

Nachdem Sie die Daten­schutz­verletz­ung beendet haben, arbeiten Sie den Vorfall auf. Was lief gut? Was lief schlecht? Wo liegt die Ursache der Verletzung? Müssen Sie Prozesse oder IT-Systeme verändern? Benötigen Sie zusätzliche Unterstützung oder neue IT-Systeme, wie z. B. eine neue Firewall? Müssen die Beschäftigten besser geschult werden?

Bewerten Sie, ob die Meldewege einge­halten worden sind und die ergriffenen Maßnahmen wirksam waren. Lassen Sie diese Erfahr­ungen in Ihre besteh­enden Prozesse und Schulungen einfließen, damit Sie beim nächsten Vorfall schneller und effektiver vor­gehen können.
Ihre Dokumentation der Datenschutz­verletzung sollte um eine Zusammen­fassung, Handlungs­empfehlungen oder konkrete Maß­nahmen ergänzt werden. Sorgen Sie dafür, dass die Datenschutzverletzung sich nicht wiederholen kann.
Weitere Vorgehensweise beim Datenschutz

Sie benötigen Unterstützung beim Thema Datenschutzverletzungen? Melden Sie sich gerne.

Die 20 häufigsten Ursachen von Datenschutzverletzungen im Unternehmen (Teil 2)

Fehlende Regelungen im Umgang mit Informationen und Daten führen in Unternehmen automatisch zu Wildwuchs in den Fachbereichen und zur Intransparenz. Sorgen Sie dafür, dass in Ihrem Unternehmen klare Vorgaben und Konzepte etabliert werden, um Datenschutzverletzungen vorzubeugen.

Anbei finden Sie weitere Mängel, die in Unternehmen immer wieder zu Datenschutzverletzungen führen. Es werden passende Maßnahmen dargestellt, um die Eintrittswahrscheinlichkeit von Datenschutzverletzungen zu verringern. Im dritten Teil finden Sie weitere Beispiele.

Kundenstimmen

Zufriedene Kunden empfehlen meine Dienstleistung weiter. Überzeugen Sie sich.

Interner DSB aus Hamburg

IT Grosshandel

Mit einer hohen datenschutz­rechtlichen, organisatorischen und sicherheits­relevanten Kompetenz hat Herr Niehoff unser Unter­nehmen schnell und mit außer­ordentlicher Unter­stützung bei der Umsetzung der DSGVO unterstützt. Das Coaching hat sich bezahlt gemacht.

Geschäftsführer aus Hamburg

Testexperten KLE GmbH

Wir hatten die Herausforderung, dass wir nach der Erstellung & Umsetzungen der DSGVO-Richtlinien eine ernsthafte Prüfung im Bereich der DSGVO brauchten. Herr Niehoff hat uns das Ganze sehr gut erläutert und super unterstützt. Wir möchten uns an dieser Stelle für die hervorragende Zusammenarbeit bedanken!

Chief Digital Officer aus Lüneburg

Öffentliche Verwaltung

Sie schaffen es, dieses Thema so interessant zu verpacken, dass ich trotzdem am Ende mit einem Lächeln aus den Meetings gehe.

Sekretariat

Rechtsanwaltskanzlei

Außerdem hat unsere Bearbeit­erin unserer Homepage Ihre Anweisungen sehr gelobt! Sie schreibt: „Kompliment an dieser Stelle an ihren Datenschutz­beauftragten, ich habe selten so fundierte Anweisungen bekommen, bei denen ich zu 100% mitgehe.“ Auch ich kann Ihnen an dieser Stelle mitteilen, dass sie mir sehr verständlich aufzeigen, was ich im Datenschutzdschungel nach und nach alles bearbeiten muss. Danke dafür! 😊

Fachkunde

Die Gestaltung einer datenschutz­konformen Organisation verbessert sofort die Sicher­heit Ihres Unter­nehmens. Lassen Sie uns deshalb jetzt über Ihre laufenden oder zukünftigen Pro­jekte sprechen und die Umsetz­ung unter Einhaltung aller datenschutzrechtlichen Bestimmungen planen.

Im Laufe der Jahre habe ich mir ein fundiertes Wissen im Bereich des Datenschutzes und der Informationssicherheit angeeignet. Eine permanente Weiterbildung ist für mich selbstverständlich. Ich halte meine Mandanten auf dem neuesten Stand.

fachkundenachweis-niehoff (Benutzerdefiniert)

Die 20 häufigsten Ursachen von Datenschutzverletzungen im Unternehmen (Teil 3)

Fehlende Regelungen im Umgang mit Informationen und Daten führen in Unternehmen automatisch zu Wildwuchs in den Fachbereichen und zur Intransparenz. Sorgen Sie dafür, dass in Ihrem Unternehmen klare Vorgaben und Konzepte etabliert werden, um Datenschutzverletzungen vorzubeugen.

Anbei finden Sie weitere Mängel, die in Unternehmen immer wieder zu Datenschutzverletzungen führen. Es werden passende Maßnahmen dargestellt, um die Eintrittswahrscheinlichkeit von Datenschutzverletzungen zu verringern. Im vierten Teil finden Sie weitere Beispiele.

Weitere Details zum Thema Datenschutz­verletzungen

RIsikobewertung der Datenschutzverletzung

Damit Sie entscheiden können, ob eine Datenschutzverletzung der Aufsichts­behörde und den betroffenen Personen gemeldet werden muss, müssen Sie eine Risiko­bewertung durchführen. Die Bewertung wird immer auf den konkreten Einzelfall anzuwenden sein. Im Mittelpunkt stehen dabei die potenziellen Folgen für die betroffenen Personen und die Wahrscheinlichkeit des Eintritts der Folgen. Die folgenden Kriterien sind in die Bewertung mit einzubeziehen:

Es gibt digitale oder analoge Arten von Datenschutzverletzungen. Finden Sie hier einige Beispiele:

Arten von Datenschutzverletzungen

Ihre Rolle bei Datenschutzverletzungen

Wenn Sie als Verantwortlicher Auftrag­sverarbeiter einsetzen, selbst Auftrags­verarbeiter sind oder sogar mit mehreren Verantwort­lichen zusammenarbeiten, müssen Sie sicherstellen, dass die Datenschutz­verletzung auch mit den anderen Parteien fachgerecht abgearbeitet wird.

Notwendig ist es, vorab die Verantwortlich­keiten der jeweiligen Partei bei einer Datenschutz­verletzung in der Zusammen­arbeit vertraglich festzulegen. Nur so werden Missverständnisse und Unstimmig­keiten vermieden. Eine unverzügliche Meldung einer möglichen Datenschutz­verletzung an die anderen Parteien hilft dabei, die zeitlichen Vorgaben zu erfüllen.

Wann wird Ihnen eine Datenschutzverletzung „bekannt“?

Da in Art. 33 Abs. 1 DSGVO binnen einer 72 Zeitstunden­frist die Meldung an die für Sie zuständige Datenschutz­aufsichts­behörde erfolgen muss, ist der Zeitpunkt der Erkenntnis festzulegen. Haben Sie als Verantwortlicher eine Gewissheit, dass eine Datenschutz­verletzung entstanden ist, für die Sie verantwortlich sind, beginnt die Uhr zu laufen. Es gibt ganz unterschiedliche Interpretationen, wann der Zeitpunkt der Erkennung oder des Fristablaufs erreicht ist. Hier kann sich ggf. ein kleiner zeitlicher Spielraum für Sie ergeben.

In einigen Fällen wird Ihnen sofort klar sein, ob Sie nun eine Datenschutzverletzung haben, die ggf. der Aufsichtsbehörde und den betroffenen Personen zu melden ist. In anderen Situationen ist das aber nicht immer klar. Hier müssen Sie dann weitere Informationen hinzuziehen oder abwarten, bis Sie eine konkrete Aussage treffen können. Eine vorsorgliche Meldung an die Aufsichtsbehörde kann dabei sinnvoll sein, um im Nachgang keine Geldbusse zu erhalten.

Wenn Sie z. B. von den betroffenen Personen oder anderen externen Personen direkt informiert werden und Nachweise geschickt bekommen, dass Sie eine Datenschutzverletzung erlitten haben, gilt der Eingang der Informationen als Zeitstempel. Nach einer Überprüfung des Sachverhaltes sollte Sie Ihren Ablaufplan zur Handhabung einer Datenschutzverletzung umsetzen.

Beispiele für nachgelagerte Aktivitäten zur Optimierung

Wie bei jedem Sicherheitsvorfall sollten Sie prüfen, ob die Ursache in der Organisation und/oder in der Technik lag. Flüchtigkeitsfehler von Beschäftigten oder fehlende Vorgaben führen häufig zu Datenschutzverletzungen.

Eine Risikominimierung ist im Nachgang durch technische und organisatorische Maßnahmen zu erzielen. Wie bereits erwähnt, sollten Sie im Rahmen Ihres Prozesses zur Bewältigung von Datenschutz­verletzungen eine Risiko­bewertung vornehmen und über eine geeignete Risiko­bewertungs­matrix verfügen, die Ihnen bei der Bewältigung von Datenschutz­verletzungen im Alltag hilft. Auf diese Weise können Sie die Auswirkungen von Sicherheits­verletz­ungen abschätzen und Ihre Melde- und Aufzeichnungs­pflichten erfüllen.

Ein paar technische und organisatorische Maßnahmen zur Prävention gleicher oder ähnlicher Datenschutzverletzungen sind:

Inhalte der Meldung der Datenschutzverletzung an die Aufsichtsbehörde

Die folgenden Informationen sind der zuständigen Aufsichtsbehörde zu melden. Meist stellen die Aufsichtsbehörden elektronische Formulare zur Verfügung, die für die Meldung genutzt werden sollen. Je nach Bundesland sind noch weitere Informationen hinzuzuziehen. Je nach Wissensstand können auch weitere Informationen im Nachgang ergänzt werden.

Inhalte der Meldung der Datenschutzverletzung an die betroffenen Personen

Die folgenden Informationen sind den betroffenen Personen zu melden, wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen entstehen können. 

Eine direkte Kontaktaufnahme mit den betroffenen Personen ist nicht erforderlich, wenn Ihnen ein unverhältnismäßig hoher Aufwand entstehen würde. In diesem Fall müssen Sie die betroffenen Personen indirekt informieren, z. B. über eine öffentliche Bekanntmachung in der Tagespresse. Bleiben Sie transparent und klar in der Kommunikation und holen Sie sich Unterstützung von entsprechenden PR-Agenturen.

Je nach Personengruppe können auch mehrsprachige Informationen notwendig werden. Dabei stehen z. B. folgende Kanäle zur Verfügung.

Dabei sollten Sie in Zusammenarbeit mit der Aufsichtsbehörde der Zeitpunkt festgelegt werden. Nicht immer ist es sinnvoll, Informationen zu verschicken, wenn der Sachverhalt noch nicht klar ist.

Die 20 häufigsten Ursachen von Datenschutzverletzungen im Unternehmen (Teil 4)

Fehlende Regelungen im Umgang mit Informationen und Daten führen in Unternehmen automatisch zu Wildwuchs in den Fachbereichen und zur Intransparenz. Sorgen Sie dafür, dass in Ihrem Unternehmen klare Vorgaben und Konzepte etabliert werden, um Datenschutzverletzungen vorzubeugen.

Anbei finden Sie weitere Mängel, die in Unternehmen immer wieder zu Datenschutzverletzungen führen. Es werden passende Maßnahmen dargestellt, um die Eintrittswahrscheinlichkeit von Datenschutzverletzungen zu verringern (Teil 1, Teil 2, Teil 3)

Kontinuierliche Verbesserung auch bei Datenschutzverletzungen

Verbessern bedeutet vorrangig Probleme lösen. Probleme lösen wiederum heißt, Lernen und Anpassung.  Das PDCA-Modell (Plan – Do – Check – Act) stellt die Ist-Situation des Unter­nehmens permanent infrage und startet im Unternehmen einen wieder­kehrenden Regelkreis zur Verbess­erung der Abläufe und Prozesse. 

Auch beim Thema DAtenschutzverletzungen gibt es einen stetigen Verbesserungsprozess durch regel­mäßige Aktualisierungen und feste Einbindung im Gestaltungsprozess von Geschäftsprozessen.

Bleiben SIe aktuell!

Erstellen auch Sie einen Regelkreis, damit der Prozess für Datenschutzverletzungen korrekt erstellt wird, den richtigen Detailgrad hat, vom Fachbereich verstanden und aktuell gehalten wird.

Plan

Festlegung des Prozesses zur Erkennung und Handhabung von Datenschutzverletzungen

Do

Umsetzung der Prozesse für Datenschutzverletzungen im Unternehmen

Act

Aktualisierung und Anpassung des Prozesses im Bereich Datenschutzverletzungen

Check

Prüfung der Aktualität und Richtigkeit des Prozesses für Datenschutzverletzungen oder bei konkreten Fällen

Leistungen

In den meisten Unternehmen gibt es Datenschutzverletzungen. Dann ist es erforderlich, dass zeitnah die richtigen Schritte eingeleitet werden. Finden Sie hier meine Dienstleistungen. Ich begleite Unternehmen zwischen Bremen, Hamburg, Lüneburg und der Nordheide seit vielen Jahren mit meiner Expertise im Datenschutz.

Daten­schutz­berater DSGVO

Mit einer modernen Beratung im Bereich Daten­­schutz und Informations­sicherheit sparen Sie interne Ressourcen und setzen Ihr Projekt zeitnah um.

Daten­schutz­beauftragter DSGVO

Als externer Datenschutz­­­beauftragter bietet ich Ihnen einen Rund-um-Support nach den gesetz­lichen Vorgaben. Nutzen Sie vom ersten Tag an meine lang­jährige Erfahrung.

Infor­mations­sicher­heits­beauf­tragter

Ich berate Sie in allen Bereichen der Informations­­sicherheit. Schützen Sie Ihre Daten vor den Gefähr­dungen dieser Zeit nach dem Stand der Technik.

Datenschutz-Schulungen DSGVO

Praxisnahe Schulungen im Datenschutz sind unerlässlich. Ich biete passende Präsenz­-Veranstaltungen, Webinare und E-Learning-Kurse.

Clever sein – Binden Sie den Datenschutzbeauftragten unverzüglich bei Datenschutzverletzungen mit ein!

Wenn Sie einen Datenschutzbeauftragten im Unternehmen etabliert haben, ist er unverzüglich bei Verdacht einer Datenschutzverletzung in den gesamten Prozess mit einzubinden. Aufgrund seiner Erfahrung hilft er Ihnen bei der Risikobewertung, Kommunikation und Dokumentation der Datenschutzverletzung. Sie müssen die Kontaktdaten des Datenschutzbeauftragten auch der Aufsichtsbehörde oder den betroffenen Personen mitteilen. Bei der Abarbeitung der Folgen einer Datenschutzverletzung spielt der Datenschutzbeauftragte eine wichtige Rolle.

10 Fragen zum Thema Datenschutzverletzungen

Jedes Unter­nehmen, welches personenbezogene Daten regelmäßig verarbeitet, wird mit dem Thema Datenschutzverletzungen zu tun haben. Da immer noch viel Unsicherheit in diesem Thema besteht, finden Sie hier ein paar Antworten auf die häufigsten Fragen:

Unter einer Datenschutzverletzung bzw. Datenpanne versteht man eine Verletzung des Schutzes personenbezogener Daten, die

  • - zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten oder
    - zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Hierzu zählen u. a. der Verlust von Datenträgern oder Geräten, auf denen Daten  unverschlüsselt gespeichert sind, das Bekanntwerden von Passwörten und der unberechtigte Zugriff auf Daten oder Datenabflüsse durch Softwarefehler.

Wer eine Datenschutzverletzung nicht oder verspätet meldet, riskiert ein Bußgeld. Gemäß Art. 83 Nr. 4 DSGVO sind Bußgelder bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Vorjahresumsatzes möglich.

Beispiele von Kategorien von Datenschutzverletzungen sind:

  • - Unbewusste/unbeabsichtigte Veröffentlichung von personenbezogenen Daten im Internet
  • - Hackerangriff, Schadsoftware, Phishing-Angriffe
  • - Unbefugte erhalten Zugang zu Daten in einem geschlossenen System
  • - Missbrauch von Zugriffsrechten
  • - Unverschlüsselter E-Mail-Versand
  • - E-Mail-Fehlleitungen
  • - Herausgabe von Informationen am Telefon an Unbefugte
  • Weiterleitung eines langen E-Mail-Verlaufes mit Informationen, die nicht für den Empfängerkreis vorgesehen ist.

Sobald Sie Kenntnis von einer Datenschutzverletzung oder Datenpanne erlangen, beantworten Sie folgende Fragen:

  • - Was ist eigentlich passiert?
  • - Sind personenbezogenene Daten betroffen?
  • - Welche Kategorien von Betroffenen sind betroffen?
  • - Wie viele Datensätze sind betroffen?
  • - Sind wir der Verantwortliche der Datenverarbeitung? Wenn nicht, sind wir Auftragsverarbeiter und müssen den Vorfall dem / den Verantwortlichen melden?
  • - Sind noch Gegenmaßnahmen möglich, um das Risiko zu reduzieren?
  • - Wie hoch ist das Risiko des Vorfalls und welche Auswirkungen sind zu erwarten (Identitätsdiebstahl, finanzielles Risiko, Imageschaden, existenzielle Probleme, Mobbing/Bloßstellung)?
  • - Ist die Aufsichtsbehörde zu informieren?
  • - Ist das Risiko so hoch, dass auch die Betroffenen selbst zu informieren sind?

Um der zuständigen Aufsichtsbehörde zu melden, gibt es meist Meldeformulare auf den Webseiten der Aufsichtsbehörden.

BfDI - Landesbehörden (bund.de)

 

Einige Kontrollfragen in diesem Zusammenhang sind:

  • - Was hat zu der Verletzung geführt (z. B. Fehlverhalten, Einwirkungen von
    außen, organisatorische Mängel, technische Probleme)?
  • - Was ist mit den Daten geschehen (z. B. Verlust, Löschung, Diebstahl,
    unbefugte Kenntnisnahme)?
  • - Um welche Kategorien von betroffenen Personen handelt es sich (z. B. Beschäftigte, Kunden, Mieter, Bewerber, Mandanten, Patienten, Klienten)?
  • - Um welche Kategorien personenbezogener Datensätze handelt es sich (z. B. Beschäftigtendaten, Meldedaten, Gesundheitsdaten)?
  • - Um welche Einzelangaben handelt es sich (z. B. Name, Alter, Gehaltsangaben, Kreditkartendaten, Anschrift, Diagnose)?
  • Wann ist die Verletzung eingetreten?
  • Wann kann das Risiko für die betroffenen Personen reduziert werden?

Grundsätzlich muss jede betroffene Person einzeln über die Datenschutzverletzung informiert werden. Aufgrund der Nachweispflichten sollte Sie für die 
Benachrichtigung sichere und nachvollziehbare Kanäle nutzen, wie z. B. verschlüsselten E-Mail oder per Post erfolgen. Die Benachrichtigung muss in klarer und einfacher Sprache formuliert sein. Ggf. müssen Sie mehrsprachig vorgehen.

Eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme kann erfolgen, wenn eine direkte Kontaktaufnahme nicht möglich oder unangemessen aufwändig ist.

Dokumentieren Sie jede Datenschutzverletzung. Die Dokumentation enthält dann alle mit dem Vorfall zusammenhängenden Tatsachen, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen. Beschreiben Sie die Maßnahmen so detailliert , dass die Aufsichtsbehörde feststellen kann, ob die Sicherheitslücke geschlossen wurde bzw. wie die festgestellte unrechtmäßige Kenntnisnahme für die Zukunft ausgeschlossen ist.

Wenn Sie als Auftragsverarbeiter (AV) eine Datenschutzverletzung erkennen, so müssen Sie zunächst prüfen, welche Daten verletzt worden sind. Wenn die Daten des Verantwortlichen betroffen sind, müssen sie diesen unverzüglich informieren. Schauen Sie in Ihre AV-Vereinbarung mit dem jeweiligen Verantwortlichen, welche konkreten Regelungen im Bereich Datenschutzverletzungen vereinbart worden sind. Unterstützen Sie den Verantwortlichen bei der Umsetzung seiner gesetzlichen Pflichten, die sich aus Art. 33 und Art. 34 DSGVO ergeben.

Wenn Sie als Verantwortlicher die betroffenen Personen nicht informieren, obwohl ein hohes Risiko ersichtlich war, kann dies zu physischen, materiellen oder immateriellen Schaden für natürliche Personen führen.

Dazu gehören auch z. B. die Diskriminierung von Personen, Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigung oder wirtschaftliche bzw. gesellschaftliche Nachteile für die Betroffenen.

Dementsprechend wird eine Nicht-Meldung als Ordnungswidrigkeit gewertet und kann gravierende Folgen für Ihr Unternehmen haben.

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Datenschutzverletzungen sprechen.

kontakt-niehoff-systemberatung

Aktuelle News zum Thema Daten­schutz und Infor­mations­sicherheit

In diesem Bereich finden Sie Nachrichten und Hintergrundinformationen zum Thema Datenschutz und Informationssicherheit. Sie haben ein Thema, was einen Beitrag wert wäre? Melden Sie sich gerne.