Datenpanne, Datenleck, Data Breach - Die wichtigsten Infos für Unternehmen und ein Leitfaden für den Ernstfall!

Das könnte teuer werden...

Datenleck, Datenpanne, Data Breach, Datenleak - datenschutzrechtliche Vorfälle tragen verschiedenste Namen. Ihnen gemein sind  die erhebliche finanziellen, aber auch reputationstechnischen Risiken für Unternehmen. Solche Vorfälle sollten nicht auf die leichte Schulter genommen werden, denn die seit 2018 geltende Datenschutzgrundverordnung (DSGVO) sieht harte Sanktionen und hohe Ordnungsgelder für einen leichtfertigen Umgang mit personenbezogenen Daten vor. In Art. 83 I DSGVO verlangt der europäische Gesetzgeber „abschreckende“ Geldbußen. Diese können bis zu 20 Millionen Euro bzw. bis zu 4 % des weltweit erzielten Jahresumsatzes eines Unternehmens betragen. Daneben kann es zu Schadenersatzansprüchen und Abmahnungen kommen.  Vorständen oder Geschäftsführern der betroffenen Unternehmen kann eine persönliche Haftung drohen.

Es wird also deutlich: Der Gesetzgeber meint es ernst mit dem Datenschutz. Für Unternehmen ist es somit unerlässlich gut mit der Materie vertraut zu sein und besonders zu wissen, wie im Ernstfall zu handeln ist!

Wir vertreten und beraten Unternehmen im Bezug auf die DSGVO seit dem diese in Kraft getreten ist. 

Auf Basis dieser Erfahrung möchten wir Ihnen im Folgenden gerne einen umfangreichen Überblick über die Thematik verschaffen. Außerdem klären wir Sie darüber auf, wie Sie vorgehen müssen, sollte es in Ihrem Unternehmen zu einem Datenschutzvorfall kommen.

Jetzt Kontakt aufnehmen und beraten lassen!

Wann liegt ein Datenpanne vor?

Plump gesagt liegt eine Datenpanne vor, wenn personenbezogene Daten irgendwo hingelangen, wo sie nicht hingehören. Ein besonders häufiger Fall hiervon ist das sogenannte Datenleck. Dieses liegt vor, wenn vertrauliche oder sensible Daten ungewollt offengelegt werden. Die Daten von Kunden, Mitarbeitern oder Bewerbern können in die falschen Hände oder im schlimmsten Fall sogar ungeschützt ins Internet gelangen.

Eine Datenpanne kann aber auch vorliegen, wenn durch den Verlust von personenbezogenen Daten durch Löschung, dem Betroffenen beispielsweise im Rahmen eines Vertrages oder möglicher Kredite Nachteile entstehen.

Ursachen vom Datenpannen

 Die Hintergründe von datenschutzrechtlichen Vorfällen sind vielseitig. Oft entstehen sie durch menschliche Fehler, technisches Versagen, aber auch durch Handlungen krimineller Akteure.

So kann eine verwendete Software falsch konfiguriert, oder von vornherein unzureichend verschlüsselt gewesen sein, oder es wurden erforderliche Sicherheitsupdates nicht durchgeführt. Es kann auch vorkommen, dass etwa eine E-Mail an falsche Empfänger gelangt, da z.B. aus Versehen anstelle von „antworten“ auf „an alle antworten“ gedrückt wurde. Auch kann es vorkommen, dass ein Beschäftigter auf eine Phishing-E-Mail hereinfällt und so einen Zugriff auf vom Unternehmen gespeicherte Daten ermöglicht.

Kriminelle können sich durch Hackerangriffe Zugriff auf Daten verschaffen. Aber auch der Verlust oder Diebstahl eines USB-Sticks oder Notebooks kommt in Betracht, sofern die darauf gespeicherten Daten nicht ausreichend verschlüsselt sind. Zudem kann es vorkommen, dass frustrierte Mitarbeiter absichtlich Passwörter oder Daten weitergeben, um Unternehmen zu schaden.

Es ist also essenziell, dass die für die Datenverarbeitung verwendeten technischen Hilfsmittel stets dem Stand der Technik entsprechen und innerhalb eines Unternehmens Vorkehrungen getroffen werden, um die Vertraulichkeit von Informationen sicherzustellen, so zum Beispiel die Beschränkung des Zugriffs auf die notwendigen Stellen. Mitarbeiter sollten bezüglich Datensicherheit geschult und sensibilisiert werden.

Leitfaden für den Datenschutzvorfall

Was aber tun, wenn es dennoch zu einem Datenschutzvorfall kommt?

Vielleicht haben Sie in Ihrem Unternehmen selbst ein Datenleck entdeckt. Es ist aber auch gut möglich, dass Sie vom Landesdatenschutzbeauftragten zu einer Stellungnahme aufgefordert, oder von einer Betroffenen Person abgemahnt wurden.

Das Wichtigste ist nun: Ruhe bewahren!

Ja, ein unverzügliches Handeln ist jetzt erforderlich, aber mit Kopflosigkeit ist in dieser Situation niemandem geholfen!

Die weiteren Schritte lauten wie folgt:

1.  Datenleck finden, isolieren und stopfen

Zunächst einmal muss herausgefunden werden, wo die Ursache des Datenvorfalls liegt, sodass die erforderlichen Maßnahmen ergriffen werden können, um das Risiko weiterer Datenschutzverletzungen und damit einhergehender Schäden zu minimieren. Oft helfen bereits kleine Maßnahmen, wie etwa die Änderung von Passwörtern, die Installation von Sicherheitsupdates oder die Aktualisierung von Sicherheitsmaßnahmen aus. Es kann aber auch sein, dass nach einer genaueren Analyse der Situation umfangreichere Maßnahmen erforderlich sind.

Beim Auffinden von Schwachstellen können Überwachungstools oder sogenannte Penetrationstests, also simulierte Angriffe, helfen.

Sehr ratsam ist auch den „undichten“ Teil möglichst vom Rest des Systems oder Netzwerks zu isolieren. Konkret kann das etwa das Herunterfahren eines Servers, oder das Abtrennen eines verwendeten Cloud-Dienstes bedeuten.

In jedem Fall ist Ihnen dazu zu raten die ergriffenen und beabsichtigten Sicherheitsmaßnahmen genau zu dokumentieren. Die Dokumentation ist insbesondere für die anschließende Meldung bei der zuständigen Landesdatenschutzstelle notwendig und Gold wert. Damit können Sie zeigen, dass Sie es mit dem Datenschutz sehr ernst nehmen und nachdem Sie auf das Datenleck aufmerksam geworden sind alles Erforderliche getan haben, um dieses wieder zu schließen und Schaden von den Betroffenen abzuwenden.

Dabei unterstützen wir sie gerne!

2. Meldung an Landesdatenschutzbeauftragten

Normalerweise muss gem. Art. 33 DSGVO ein solcher Vorfall innerhalb von 72 Stunden nach Entdeckung an den zuständigen Landesdatenschutzbeauftragten gemeldet werden.

Müssen Sie kooperieren?

Ausnahmsweise ist eine Meldung entbehrlich, wenn die Verletzung des Schutzes personenbezogener Daten, aller Voraussicht nach nicht zu einem Risiko für die betroffene Person führt. Das wäre beispielsweise der Fall, wenn zwar ein Datenträger, wie etwa ein USB-Stick abhandenkommt, die Daten aber wirksam verschlüsselt sind.

Es ist jedenfalls nicht erforderlich, dass bereits ein Schaden eingetreten ist! In der Regel sind Sie dazu verpflichtet unverzüglich und vollständig Auskunft über den Datenschutzvorfall zu erteilen und mit der zuständigen Datenschutzbehörde zu kooperieren. Sollten Sie beispielsweise Rückfragen nicht vollständig oder fristgerecht beantworten, so kann die Behörde einen Auskunftsheranziehungsbescheid gegen Sie erlassen. Sollten Sie diesem nicht nachkommen, kann Ihnen ein Zwangsgeld drohen. Ausnahmsweise können Sie die Auskunftserteilung verweigern, sofern Sie dadurch sich selbst oder einen Angehörigen in strafrechtlicher Hinsicht beziehungsweise hinsichtlich eines Verfahrens nach dem OWiG belasten würden.

Erfahrungsgemäß ist eine enge Kooperation mit den Landesdatenschutzbeauftragten äußerst sinnvoll. Sie hilft dabei die notwendigen rechtlichen Schritte einzuleiten und sicherzustellen, dass alle gesetzlichen Anforderungen erfüllt werden. Außerdem können Behörden Unterstützung bei der forensischen Untersuchung des Vorfalls und der Behebung der Datenpanne leisten.

 Trotzdem sollte im Einzelfall geprüft werden, ob eines der erwähnten Aussageverweigerungsrechte besteht und ob es sinnvoll ist von diesem Gebrauch zu machen.

Was muss die Meldung beim Landesdatenschutzbeauftragten enthalten?

Folgende Punkte sind in der Meldung an die Datenschutzbehörde zu thematisieren:

1. Beschreibung der Art der Verletzung (z. B. Verlust von Daten)
2. Betroffene Gruppen (z. B. Mitarbeiter, Kunden)
3. Ungefähre Anzahl der betroffenen Personen, betroffene Datensätze und deren Umfang
4. Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle
5. Mögliche Folgen der Datenschutzverletzung (z. B. Abbuchungen durch die unbefugte Offenlegung von Bank- und Kreditkartendaten)
6. Maßnahmen zur Behebung der Verletzung und zur Minderung der Folgen
7. Bereits ergriffene Maßnahmen zur Risikominderung
8. Noch ausstehende Maßnahmen zur weiteren Risikominimierung

Nicht erforderlich ist, dass alle Informationen, die in der Meldung enthalten sein müssen sofort nach Bekanntwerden des Vorfalls übermittelt werden. Gem. Art. 33 Abs. 4 DSGVO ist ein stufenweises Vorgehen möglich. In der Praxis lassen sich die oben genannten Punkte oft nicht ohne Weiteres in kurzer Zeit feststellen. Wichtig ist aber, dass innerhalb der ersten 72 Stunden nach Bekanntwerden eine Erstmeldung bei der Behörde abgeben wird. Insoweit gilt Schnelligkeit vor Vollständigkeit. Die Erstmeldung ist dann im weiteren Verlauf stetig immer dann unverzüglich zu ergänzen, wenn das betroffene Unternehmen über neue Informationen verfügt. Eine besondere Form ist für die Meldung nicht vorgesehen. Demnach kann in dringenden Fällen durchaus eine telefonische Kontaktaufnahme vorgenommen werden. Darauf sollte dann eine ausführlich schriftliche Meldung, etwa per Brief oder Fax erfolgen.

Folgen mangelhafter Kooperation

Die Meldepflichten der DSGVO werden besonders durch kleine und mittelständische Unternehmen oft unterschätzt, mitunter mit drastischen Folgen in Form scharfer Sanktionen durch die Datenschutzbehörden und Schadenersatzforderungen durch Betroffene. Zu späte oder unvollständige Meldungen können theoretisch zu einem Bußgeld von bis zu 10 Millionen Euro, bzw. 2% des jährlichen, weltweiten Jahresumsatzes führen.

Was tun, wenn eine Sanktion verhängt wird?

Das Ausmaß möglicher Sanktionen hängt  von verschiedenen Faktoren wie Schwere und Gewicht des Datenschutzverstoßes, dem Verhalten des Verletzers und der Art der Daten ab und kann von einer einfachen Verwarnung bis zu einer drastischen Geldbuße reichen.

Wenn gegen Sie eine Sanktion verhängt wurde, so sollte geprüft werden, ob diese rechtmäßig ist oder ob dagegen Widerspruch eingelegt werden kann. Auch eine vermeintlich harmlose Verwarnung sollte ernst genommen werden, da sie unter Umständen gravierende Folgen bei einem erneuten Datenschutzverstoß haben kann, indem sie zum Beispiel bei der Bemessung des Ordnungsgeldes ins Gewicht fällt.

Hier Kontakt aufnehmen, wenn eine Sanktion gegen Ihr Unternehmen verhängt wurde!

3. Benachrichtigung Betroffener 

Bei Datenschutzvorfällen, die mit einem hohen Risiko für betroffene Personen, wie etwa Kunden oder Mitarbeiter, einhergehen sind auch die betroffenen Personen gem. Art. 34 DSGVO von Ihnen zu benachrichtigen!

Hier ist eine möglichst transparente Kommunikation sinnvoll, um Vertrauen zu wahren. Gegebenenfalls können den Betroffenen auch Hinweise gegeben werden, wie sie ihre Daten nun schützen können. Sie können beispielsweise zu Änderung ihrer Passwörter angewiesen werden.

In folgenden Beispielfällen besteht in der Regel die Pflicht neben den Datenschutzbehörden auch die Betroffenen über die Datenpanne zu unterrichten:

• Cyberattacke, wenn Hacker z.B. Nutzernamen, Passwörter oder anderen Kundendaten eines Online-Shops erbeuten
• Ransomware-Attacken (Datenverschlüsselung zur Erpressung), es sei denn, die Daten können aus einem aktuellen Backup wiederhergestellt werden
• Das Versenden von E-Mails an mehrere Empfänger mit offen einsehbarem Mailverteiler (cc: statt bcc:), insb. bei großem Empfänger-Kreis und entsprechend hoher Anzahl Betroffener und/oder wenn die E-Mail sensible Inhalte enthält
• Versenden eine E-Mail mit personenbezogenen Daten an den falschen Empfänger
• Kunden können fremde Kundendaten einsehen, z.B. aufgrund eines Programmierfehlers/Bugs

Außerdem können Unterrichtungspflichten bestehen, wenn besondere Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DSGVO betroffen sind. Das sind zum Beispiel ^{“Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit" hervorgehen und alle "genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person".} Bei der Verarbeitung solcher Informationen ist mithin äußerste Vorsicht geboten.

Ob eine konkrete Datenpanne ein hohes Risiko für die betroffenen Personen darstellt, muss in jedem Einzelfall genau geprüft werden. 

Nicht außer Acht zu lassen ist zudem der gravierende Reputationsverlust, der Ihrem Unternehmen in Falle eines schlechten Managements einer Datenpanne bei Kunden, Mitarbeitern und Geschäftspartnern droht. Demgegenüber können entschlossene, wirksame und transparente Maßnahmen und eine proaktive, offene Kommunikation dazu beitragen, Vertrauen zu erhalten, oder wiederherzustellen.

4. Lernen für die Zukunft 

Wenn Sie und Ihr Unternehmen das Gröbste durchstanden haben, sollten Sie die Gelegenheit nutzen und Ihre Sicherheitsmaßnahmen nachhaltig verbessern, damit in Zukunft solche Datenschutzvorfälle möglichst nicht mehr auftreten!

Dabei können die Ergebnisse der Analyse des Datenlecks zugrunde gelegt werden. Aber auch jenseits der identifizierten Schwachstellen sollte das Datensicherheitskonzept unter die Lupe genommen und gegebenenfalls überarbeitet werden. So kann zum Beispiel ein umfassendes Update oder Upgrade Ihrer IT-Infrastruktur oder anderer Technisch-Organisatorischer-Maßnahmen (T.O.M.s) erforderlich sein. Neben der Schulung von Mitarbeitern kann auch die Einstellung von technischen oder juristischen Experten, sowie die Bestellung eines internen oder externen Datenschutzbeauftragten sinnvoll sein.

Zur Wahrheit gehört aber auch, dass absolute Sicherheit im Bereich des Datenschutzes nicht existiert. Dementsprechend ist es ratsam durch Notfallpläne und eine Datenschutz-Task-Force auf den Ernstfall vorbereitet zu sein!

Hilfe vom Experten: Vy - Brix Lange Verweyen 

Als erfahrene Datenschutz-Anwälte bieten wir folgende Leistungen an:

• Datenschutz-Audit, z.B. Prüfung und Beratung zu Technisch-Organisatorischen Maßnahmen T.O.M.s
• Unterstützung bei Datenschutz-Compliance, z.B. eines Datenschutzkonzepts, von Datenschutzerklärungen, Verzeichnis von Verarbeitungstätigkeiten und Auftragsdatenverarbeitungs-Verträgen gem. Art. 28 Abs. 3 DSGVO
• Beratung zu Arbeitsnehmerdatenschutz und Beschäftigtendatenschutz und zur Datenübertragung/Datenaustausch zwischen Konzern-Unternehmen
• Datenschutzkonforme Einführung von Softwarelösungen wie MS Office 365, MS Teams u.a., Erstellung von Betriebsvereinbarungen und Verhandlung mit Betriebsrat und Arbeitnehmervertreter
• Unterstützung bei der Erteilung von Auskunft nach § 15 DSGVO und der Erfüllung von anderen Betroffenenrechten
• Prüfung der Rechtmäßigkeit und Verhältnismäßigkeit von Sanktionen (z.B. Verwarnung, Bußgeld) und der Erfolgsaussichten von Rechtsmitteln (z.B. Widerspruch)
• Und natürlich: Soforthilfe und umfassende Unterstützung bei Datenpanne, Datenleck & Data Breach!

Wir freuen uns auf Ihre Anfrage!