Wonach suchen Sie?

Skip to main content

Datenpannen und Daten­schutz­vorfälle: Erkennen und handeln

19.08.2022 | Ist der Schutz personenbezogener Daten verletzt worden, liegt i.d.R. ein Datenschutzvorfall vor. Als Verantwortlicher oder Verantwortliche verbleiben Ihnen nach Bekanntwerden des Vorfalls 72 Stunden, um diesen der zuständigen Aufsichtsbehörde für den Datenschutz zu melden.

 

Damit Sie hier richtig und gezielt handeln können, ist es empfehlenswert, die Aufnahme des Vorfalls – Festlegen der Beteiligten, Planung der Vorgehensweise zur Untersuchung und dem möglichen Einleiten von Gegenmaßnahmen, Meldung des Vorfalls an die Aufsichtsbehörde sowie ggf. an die Betroffenen – in einem Prozess festzulegen. Doch zu Beginn steht die Frage: Wie erkenne ich einen Datenschutzvorfall oder vielmehr: Wie erkennen meine Beschäftigten einen Verstoß?

 

Hintergrund

 

Eine Datenschutzverletzung (bzw. ein Datenschutzvorfall oder -verstoß) bedeutet:
Ein Sicherheitsvorfall führt zu einer zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, einer Änderung, unbefugten Offenlegung oder einem unbefugten Zugriff auf die übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten.

Nach Art. 33 DSGVO besteht die Pflicht eines jeden Verantwortlichen (d.h. der Geschäftsführung) im Falle einer Datenschutzverletzung, der Aufsichtsbehörde unverzüglich eine Meldung zu machen. Hierfür sind bei allen Aufsichtsbehörden für den Datenschutz inzwischen online Formulare vorhanden (Datenpanne melden Baden-Württemberg). Diese geben auch Aufschluss darüber, was genau zu melden ist. Somit können Sie sich im Hinblick auf Ihre Meldung im Vorfeld an den Formularen orientieren, um herauszufinden, welche Informationen und Gegenmaßnahmen zu ermitteln sind.

Der Knackpunkt ist jedoch, den Verstoß überhaupt zu erkennen. Und: Es sind nicht selten alltägliche Vorfälle, die zu einem Datenschutzverstoß führen.

Häufige Ursachen von Datenschutzverletzungen


Die Aufsichtsbehörde von Sachsen-Anhalt hat eine Übersicht über die am häufigsten vorkommenden Datenschutzverstöße zusammengestellt:

  • Irrtümliche Verwendung von Briefpost an nicht Berechtigte
     
  • Fehlerhafte Kuvertiermaschinen: Einzug von mehreren Schreiben an unterschiedliche Adressaten
     
  • Versenden von E-Mails an Nichtberechtigte durch fehlerhafte Eingabe der E-Mailadresse (oft auch durch automatisierte Vorschläge bedingt)
     
  • Fehlversand von Dokumenten per Fax durch falsche Eingabe der Fax-Nummer
     
  • E-Mail-Versand mit offenem Verteiler insbesondere bei externen Adressaten, so dass für alle Empfänger die Adressen offen liegen
     
  • Verlust / Diebstahl von Datenträgern (USB-Sticks, Festplatten)
     
  • Abhandenkommen von papierbasierten Datenträgern (Akten verlegt)
     
  • Entsorgung von Papierunterlagen mit personenbezogenen Daten im Papiermüll
     
  • Verschlüsselung des Systems von Dateien nach einem Hackerangriff
     
  • Unberechtigte Zugriffe auf personenbezogene Daten durch Beschäftigte für deren eigene private Zwecke
     
  • Angriff auf die zentrale IT-Infrastruktur durch Sicherheitslücken (z.B. Exchange-Server)
     
  • Abgreifen von Zugangsdaten durch Täuschung oder Phishing
     
  • Fremdnutzung der eigenen E-Mail-Postfächer bzw. Accounts für Spam-Mails (Bsp. Emotet)
     
  • Anfertigen von Fotografien von Beschäftigten durch Beschäftigte bzw. das Unternehmen und unberechtigte Veröffentlichung (in sozialen Netzwerken)
     
  • Aufzeichnung von Gesprächen (in Konferenz, am Telefon oder in Videokonferenzen)
     
  • Veröffentlichung personenbezogener Daten ohne Rechtsgrundlage (z.B. soziale Medien)
     
  • Datenschutzvorfälle beim Auftragsverarbeiter (IT-/Software-Service-Dienstleister, Aktenentsorger, Hoster etc.)
     
  • Unbefugte Datenverarbeitung (ohne Rechtsgrundlage, ohne Zweck, Zuwiderhandlung gegen Vorgaben, Missachtung des Zwecks) oder Offenlegung personenbezogener Daten durch Beschäftigte
     
  • Versehentlicher öffentlicher Zugang zu internen Datenbeständen mit Personenbezug (unzureichende Firewall, Sicherheitslücken)

 

Was das für Ihr Unternehmen bedeutet


Anhand der aufgeführten Datenschutzvorfälle ist zu sehen, wie alltäglich manche dieser Vorfälle sind. Gerade im Umgang mit E-Mails tritt oft ein Fehlverhalten der Beschäftigten des eigenen Unternehmens auf. Es sind demnach nicht immer die großen externen Hackerangriffe, die zu einem Teil- oder Totalausfall der Systeme führen und damit für jeden auch ohne Schulungsmaßnahmen klar erkennbar sind als Cyberangriff, IT-Sicherheitsverstoß und Datenschutzvorfall.

Was Sie tun können
 

  • Sensibilisieren Sie Ihre Beschäftigten in Bezug auf die genannten Beispiele.
     
  • Richten Sie zusammen mit einem Datenschutzbeauftragten einen Prozess ein, der die Durchführung der Maßnahmen im Zusammenhang mit dem Datenschutzvorfall sicherstellt.
     
  • Ermitteln Sie für die genannten Fälle unmittelbare Maßnahmen.
     
  • Stellen Sie sicher, dass Sie zu den genannten Fällen bereits geeignete technische und organisatorische Gegenmaßnahmen zur Prävention eingerichtet haben.

 

Die Experten von ORGATEAM unterstützen Sie

Die ORGATEAM Unternehmensberatung GmbH unterstützt Sie gerne bei Fragen zum Datenschutz und der Informationssicherheit sowie bei Compliance-Themen wie der Einhaltung des Geschäftsgeheimnisgesetzes (GeschGehG) oder des Hinweisgeberschutzes (gibt es bislang nur als EU-Richtlinie, da das nationale Gesetz noch nicht verabschiedet ist).


Wir helfen Ihnen dabei, die Maßnahmen zur Vermeidung der Fallstricke umzusetzen. So werden Sie nachweisen können, in keinerlei Hinsicht verantwortlich zu sein für den Umstand, durch den der Schaden eingetreten ist, d.h. Sie werden die Schadensersatzforderung abwenden können.

NEWSLETTER-ANMELDUNG

Mit unserem Newsletter erhalten Sie regelmäßig Neuigkeiten zu unserem Unternehmen und unseren Dienstleistungen sowie Infos zu unseren Veranstaltungen. Mit Absenden des Anmeldeformulars erhalten Sie eine weitere Mail zur Bestätigung Ihrer Einwilligung für das Zusenden des Newsletters. Dies wird von uns dokumentiert für evtl. Nachweise auf Ihre Anfrage hin. Falls innerhalb von drei Tagen keine Bestätigung vorliegt, wird die Anfrage gelöscht. Sie können der Zusendung des Newsletters jederzeit im Newsletter widersprechen. Weitere Infos in der Datenschutzerklärung unter „Newsletter“.

* Pflichtfelder