Veröffentlicht von:

Rechtsanwalt Dr. Urs Verweyen LL.M. (NYU)

Datenpanne, Datenleck, Data Breach? Das müssen verantwortliche Unternehmen sofort zu tun!

25.01.2024
8 Minuten Lesezeit

Datenleck und Datenpanne

Ist in Ihrem Unternehmen ein Datenleck aufgetreten oder eine andere Datenpanne (Data-Breach) aufgetreten? Daten von Kunden, Mitarbeitern oder Bewerbern sind in die falschen Hände geraten oder sogar ungeschützt ins Internet? Wurden sie deswegen von ihre Landesdatenschutzbeauftragten zur Stellungnahme aufgefordert? Oder von der betroffenen Person bzw. den betroffenen Personen abgemahnt?

Wenn ja: wir sagen Ihnen, was Sie jetzt unverzüglich tun müssen, und wir unterstützen Sie dabei! Sprechen Sie uns gerne an!

Datenschutzvorfälle sind unbedingt ernst zu nehmen und es muss unverzüglich gehandelt werden! Die DSGVO (Datenschutzgrundverordnung) sieht harte Sanktionen und hohe Ordnungsgelder für einen leichtfertigen Umgang mit personenbezogenen Daten und Datenschutzvorfällen vor. Wenn nicht unverzüglich und angemessen reagiert wird, können Datenlecks zudem zu schweren, auch immateriellen Schäden bei den betroffenen Personen führen, mit der Folge entsprechend hoher Schadensersatz- und Schmerzensgeldforderungen!

Das Wichtigste: Ruhe bewahren!

Bei allem: bewahren Sie dennoch Ruhe! Ja, sie müssen jetzt unverzüglich handeln, und es gibt viel zu tun! Aber: Kopflosigkeit hilft weder den Betroffenen, noch Ihnen!

Was Sie jetzt tun müssen – die Checklist:

Datenleck feststellen und "stopfen"! Risikoanalyse durchführen!
Meldepflichten und -fristen beachten & mit Landesdatenschutzbeauftragter (Aufsichtsbehörde) zusammenarbeiten!
Ggf. alle von dem Datenschutzvorfall betroffenen Personen informieren!
Datensicherheit erhöhen, z.B. durch Anpassung der T.O.M.s (Technisch-Organisatorische Maßnahmen), Mitarbeiterschulungen, Beauftragung/Bestellung Datenschutzbeauftragten etc.

Wir sagen Ihnen, was Sie jetzt unverzüglich tun müssen, und wir unterstützen Sie dabei! Sprechen Sie uns gerne an!

1. Datenleck "stopfen"

Natürlich sollten Sie zunächst alles tun, um die Datenpanne abzustellen und ein etwaiges Datenleck zu "stopfen", um dadurch das Risiko, dass es zu konkreten Schäden kommt, möglichst verringern. Damit verbunden ist eine Analyse des Datenschutzvorfalls.

Die muss unverzüglich geschehen, denn je länger ein Datenleck besteht und der Datenschutzverstoß fortwirkt, desto schwerer sind die materiellen und immaterielle Schäden der von dem Data Breach betroffenen Personen, wie z.B. der Verlust der Kontrolle über persönliche Daten, Einschränkung von Rechten und Diskriminierung, Identitätsdiebstahl oder -betrug und finanzielle Verluste, Rufschädigung, Bruch des Berufsgeheimnisses, etc.

Datenpannen können aus alltäglichen Fehler resultieren, aber auch auf kriminellen Attacken auf die Unternehmenssysteme beruhen, z.B.

Verlust oder Diebstahl eines USB-Sticks, Notebooks oder sonstigen Datenträgers, wenn die Daten darauf nicht oder nur unzureichend verschlüsselt sind
Das Versenden einer E-Mail an einen oder mehrere falsche Empfänger (z.B. "cc:" statt "bcc:" oder "reply to all", statt nur eine bestimmte Person)
Fehler bei der Programmierung einer Internetseite, Bugs im Webserver, unzulässiger Einsatz von Cookies und Trackern oder die sonstige Übermittelung von personenenbezogenen Daten wie IP-Adressen in die USA ohne berechtigtes Interesse oder einer spezifischen Einwilligung
Unzureichende Absicherung von Datenbanken und Systemen, z.B. aufgrund von Software-Fehlern, Sicherheitslücke in SQL-Datenbanken
Datendiebstahl und Hacker-Angriffe, z.B. das Ausspähen von Daten (Skimming, Phishing, etc.)

Zur Behebung von Datenlecks reichen manchmal schon "kleine" Maßnahmen wie z.B. die Installation von Sicherheitsupdates oder Patches, die Änderung von Passwörtern, oder die Aktualisierung von Sicherheitsrichtlinien aus; oft ergibt die genauere Analyse jedoch, dass umfangreichere Maßnahmen erforderlich sind.

Tipp:

Vergessen Sie nicht, genau zu dokumentieren, welche Sicherungsmaßnahmen Sie unmittelbar ergriffen haben und welche weiteren Maßnahmen noch geplant und angestoßen sind! Diese Dokumentation ist v.a für die anschließende Meldung an die zuständige Landesdatenschutzbeauftragte erforderlich und Gold wert, da Sie damit auch zeigen können, dass Sie den Datenschutz sehr erst nehmen und unverzüglich nach Entdeckung des Data Breach alles Erforderliche getan haben, um die Betroffenen zu schützen und das Datenleck zu schließen!

Gerne unterstützen wie Sie dabei!

2. Meldung an Landesdatenschutzbeauftragten

I.d.R. muss die Datenpanne bzw. das Datenleck unverzüglich, spätestens innerhalb von 72 Stunden nach Entdeckung des Vorfalls, an den zuständigen Landesdatenschutzbeauftragten als zuständiger Datenschutzbehörde gemeldet werden, Art. 33 DSGVO.

Zuständig ist z.B. in Berlin die Berliner Beauftragte für Datenschutz und Informationsfreiheit.

a. Ausnahme: kein Risiko

Eine Meldung kann nur dann, ausnahmsweise, unterbleiben, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die betroffenen Personen führt. Das kann z.B. der Fall sein, wenn die Daten auf einem verlorengegangen oder gestohlenen USB-Stick nach dem Stand der Technik wirksam verschlüsselt wurden. Ob ein Schaden bereits eingetreten ist, spielt hingegen keine Rolle.

In der Regel müssen Sie unverzüglich und vollständig Auskunft über den Datenschutzvorfall erteilen und mit der zuständigen Datenschutzaussichtsbehörde kooperieren, z.B. Nachfragen beantworten. Wenn Rückfragen nicht vollständig oder nicht fristgerecht beantwortet werden, kann die Datenschutzaufsichtsbehörde einen Auskunftsherzanziehungsbescheid gegen Sie erlassen, der z.B. durch Verhängung eines Zwangsgeldes vollstreckt werden kann. Nur dann, wenn Sie sich (oder Angehörige) durch eine Auskunftserteilung der Gefahr strafrechtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeit (OWiG) aussetzen würden, können Sie die Auskunftserteilung verweigern.

Tipp:

Nach unserer Erfahrung ist eine enge Kooperation mit den Landesdatenschutzbeauftragten sinnvoll und kann zu einer sehr hilfreichen Unterstützung durch die Datenschutzbeauftragten bei der Behebung von Datenlecks und Datenpannen und der Absicherung Ihres Unternehmens gegen künftige Datenschutzvorfälle führen. Hilfreich ist dabei die schon angesprochene Dokumentation von bereits umgesetzten und geplanten Sicherungsmaßnahmen (s. Ziff. 1)!

Zu prüfen ist aber, ob im Einzelfall Aussageverweigerungsrechte bestehen und wahrgenommen werden sollten!

Gerne unterstützen wie Sie dabei!

b. Sanktionen?

Die Datenschutzaussichtsbehörde wird dann i.d.R. aufsichtsrechtliche Sanktionen verhängen, die je nach Schwere und Gewicht des Datenschutzverstoßes, der Art der betroffenen Daten, dem Verhalten des Verletzers, früheren Verstößen, etc. von einfachen Verwarnungen und Anweisungen bis zu drastischen Geldbußen von "bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs", je nachdem, welcher der Beträge höher ist, reichen können!

Tipp:

Wenn die zuständige Datenschutzbehörde eine Sanktion gegen sie verhängt, z.B. eine Verwarnung ausspricht oder sogar ein Ordnungsgeld verhängt, sollte geprüft werden, ob dies rechtmäßig erfolgt ist oder ob dagegen Widerspruch eingelegt werden kann. Auch eine einfache, harmlos anmutende Verwarnung hat u.U. später gravierende Auswirkungen, da sie bei einem erneuten Data Breach z.B. bei der Bemessung eines Ordnungsgelds erschwerend ins Gewicht fallen kann!

Gerne prüfen wir, ob Sanktionen (z.B. Verwarnung, Bußgeld), die gegen Sie verhängt wurden, rechtmäßig sind und legen ggf. Widerspruch für Sie ein!

Die Meldepflichten der DSGVO werden in der Praxis oft unterschätzt. Kleinen und Mittelständischen Unternehmen sind oft nicht gut auf einen Datenschutz-GAU vorbereitet, und reagieren verspätet, hektisch und unüberlegt. Dadurch riskieren Sie unnötig scharfe Sanktionen durch die Landesdatenschutzbeauftragten und unnötige Schadensersatzforderungen der Betroffenen! Daher: "Horror-Szenarien" frühzeitig mit den zuständigen Personen im Unternehmen und mit fachkundiger Unterstützung von außen durchspielen!

3. Betroffene benachrichtigen?

Ist der Datenschutzvorfall mit einem hohen Risiko für die davon betroffenen Personen (z.B. Kunden, Mitarbeiter ) verbunden, müssen Sie u.U. auch die Betroffenen benachrichtigen!

In folgenden Beispielsfällen besteht i.d.R. eine Meldepflicht an die Aufsichtsbehörde (s. Ziff. 2) und es kann darüber hinaus die Pflicht bestehen, auch die Betroffenen zu unterrichten:

Cyberattacke, wenn Hacker z.B. Nutzernamen, Passwörter oder anderen Kundendaten eines Online-Shops erbeuten
Ransomware-Attacken (Datenverschlüsselung zur Erpressung), es sei denn, die Daten können aus einem aktuellen Backup wiederhergestellt werden
Das Versenden von Emails an mehrere Empfänger mit offen einsehbarem Mailverteiler (cc: statt bcc:), insb. bei großem Empfänger-Kreis und entsprechend hoher Anzahl Betroffener und/oder wenn die Email sensible Inhalte enthält
Versenden eine Email mit personenbezogenen Daten an den falschen Empfänger
Kunden können fremde Kundendaten einsehen, z.B. aufgrund eines Programmierfehlers/Bugs

In der Regel wird eine Pflicht zur Unterrichtung der Betroffenen zudem dann bestehen, wenn besonderer Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DSGVO betroffen sind, also "Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit" hervorgehen und alle "genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person". Bei der Erhebung und Verarbeitung von Art. 9-Daten ist also besondere Vorsicht und Sorgfalt geboten!

Tipp:

Ob ein konkreter Data Breach für die davon Betroffenen ein hohes Risiko darstellt, und sie daher über den Datenschutzvorfall unterrichtet werden müssen, ist in jedem Einzelfall genau zu prüfen; die aufgeführten Beispiele können hier nur erste Anhaltspunkte liefern.

Dies gilt um so mehr, als die von einem Datenschutzvorfall Betroffenen umfangreiche Betroffenenrechte haben, und zwar u.U. auch auf Ersatz der ihnen durch einen Datenschutzvorfall entstandenen materiellen und immateriellen Schäden ("Schmerzensgeld")!

Entsprechende Forderungen Betroffener können dabei leicht erhebliche Ausmaße erreichen, insb. wenn von einem Data Breach viele Personen betroffen sind und der Verstoß schwer wiegt, z.B. weil besonders sensible Daten i.S.v. Art. 9 DSGVO betroffen sind. Die Gerichte sprechen den Betroffenen bereits bei einfachen Verstößen einige Hundert Euro Schadensersatz/Schmerzensgeld zu, bei gravierenden Verstößen und sensiblen Daten i.S.v. Art. 9 DSGVO sogar mehrere Tausend Euro, und das in jedem Einzelfall!

Denken Sie aber auch an den gravierenden Reputationsverlust, den Sie durch das schlechte Management eines Datenschutzvorfalls bei Kunden, Mitarbeitern und Geschäftspartnern erleiden! Hingegen können Sie durch entschlossene, wirksame Maßnahmen und eine transparente, offene Kommunikation verlorenes Vertrauen unter Umständen sogar zurückgewinnen!

4. Sicherheitsmaßnahmen verbessern

Schließlich, wenn das Gröbste durchgestanden ist: Nutzen Sie die Gelegenheit, um Ihre Sicherheitsmaßnahmen nachhaltig zu verbessern und Ihre Systeme gegen erneute Datenschutzvorfälle abzusichern!

Das kann z.B. ein umfassende Update und Upgrade Ihrer IT-Infrastruktur und anderer T.O.M.s (Technisch-Organisatorische Maßnahmen), die Schulung von Mitarbeitern und die Verteilung konkreter Verantwortlichkeiten umfassen, ebenso wie ggf. die Einstellung von juristischen und technischen Experten für IT-Sicherheit und/oder die Bestellung eines internen oder externen Datenschutzbeauftragten.

Dazu gehört schließlich auch die Erkenntnis, das es absolute Sicherheit auch im Bereich des Datenschutzes nicht gibt, sodass Sie sich z.B. durch Aufstellung entsprechender Notfallpläne und Datenschutz-Task Force frühzeitig auf die nächste Datenpanne vorbereiten sollten!

Auch dabei unterstützen wir Sie gerne!

Anwalt für Datenschutz für Kleine und Mittlere Unternehmen – bundesweit!

Unsere Leistungen im Datenschutz für Unternehmen:

Datenschutz-Audit, z.B. Prüfung und Beratung zu Technisch-Organisatorischen Maßnahmen T.O.M.s
Unterstützung bei Datenschutz-Compliance, z.B. Erstellung von Datenschutzerklärungen, Verzeichnis von Verarbeitungstätigkeiten und Auftragsdatenverarbeitungs-Verträgen gem. Art. 28 Abs. 3 DSGVO
Beratung zu Arbeitsnehmerdatenschutz und Beschäftigtendatenschutz und zur Datenübertragung/Datenaustausch zwischen Konzern-Unternehmen
Datenschutzkonforme Einführung von Softwarelösungen wie MS Office 365, MS Teams u.a., Erstellung von Betriebsvereinbarungen und Verhandlung mit Betriebsrat und Arbeitnehmervertreter
Unterstützung bei der Erteilung von Auskunft nach § 15 DSGVO und der Erfüllung von anderen Betroffenenrechten
Und natürlich: Soforthilfe und umfassende Unterstützung bei Datenpanne, Datenleck & Data Breach!

Sprechen Sie und gerne hier an!

Foto(s): unsplash

Rechtstipp aus den Rechtsgebieten

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Dr. Urs Verweyen LL.M. (NYU)

Veröffentlicht von:

Rechtsanwalt Dr. Urs Verweyen LL.M. (NYU)

Datenschutzrecht • Gewerblicher Rechtsschutz • Handelsrecht & Gesellschaftsrecht

Urheberrecht & Medienrecht • Wettbewerbsrecht • Markenrecht • IT-Recht • Kaufrecht • Designrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Dr. Urs Verweyen LL.M. (NYU)

Vertragsstrafe-Forderung von Vielfach-Abmahner ist Rechtsmissbrauch

Mit seinem schon dem Schgawort-Titel nach bezeichnenden Urteil vom 07.03.2024, Az. I ZR 83/23 – "Vielfachabmahner II" – hat der BGH eine wettbewerbsrechtliche Vertragsstrafe-Forderung des ... Weiterlesen
Erneut Klage von Rechtsanwälten Gutsch & Schlegel abgewiesen (Pink Floyd)

Mit Urteil vom 14.03.2024 (Az. 2 C 1100122) hat das Amtsgericht Erfurt eine Klage auf Schadensersatz und auf Aufwendungsersatz (Rechtsanwaltshonorar für die vorhergehende Abmahnung) der ... Weiterlesen
Abmahnungen von Rasch Rechtsanwälte aus Hamburg wegen Piraterie, Filesharing

Abmahnungen von Rasch Rechtsanwälte aus Hamburg Die Rechtsanwaltskanzlei Rasch aus Hamburg Legal (vormals Waldorf Frommer) aus München mahnt weiterhin "im großen Stil" Privatpersonen wegen sog. ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Dr. Urs Verweyen LL.M. (NYU)

Weitere

Beiträge zum Thema

Basiswissen zur Umwandlung von Unternehmen

04.01.2023

Will sich ein deutsches Unternehmen umorganisieren, spricht man von einer Umwandlung. Der Rechtsbegriff der ... Weiterlesen
Elektronisches Handelsregister: Informationen zu Unternehmen einsehen

10.01.2023

Das „Gesetz über elektronische Handelsregister und Genossenschaftsregister sowie das Unternehmensregister“ (EHUG) ... Weiterlesen
Betriebsaufspaltung: Was bedeutet das für Unternehmen?

30.01.2023

Was ist eine Betriebsaufspaltung? Bei einer Betriebsaufspaltung wird ein bestehendes Unternehmen in mindestens ... Weiterlesen

Weitere

Ihre Spezialisten

Rechtsanwalt Berlin

Rechtsanwalt Datenschutzrecht

Rechtsanwalt Berlin Datenschutzrecht