Auf Datenpannen richtig reagieren

Trotz aller Sicherungsmaßnahmen kann es im Unternehmen zu einer Datenpanne kommen. In diesem Fall ist eine schnelle und korrekte Reaktion notwendig. Bei Nichteinhaltung der Datenschutzgesetze drohen hohe Strafen (Artikel 83 Abs. 4,5 DSGVO, § 42 BDSG n.F.) und alle betroffenen Personen haben außerdem das Recht auf Schadenersatz. Die folgenden Informationen helfen Ihnen, für diesen Fall vorbereitet zu sein:

Beispiele für Datenpannen sind:

• Hacking
• Einbruch mit Diebstahl von Daten
• Befall durch Ransomware
• Ein Systemzusammenbruch
• Die absichtliche oder unabsichtliche Veränderung von Daten
• Die unbeabsichtigte Löschung von Daten
• Die Löschung von Daten durch eine nicht autorisierte Person
• Der Verlust eines mobilen Datenträgers (Handy, Stick, Pad, etc.)
• Der Verlust von Dokumenten mit persönlichen Daten bei Postversand
• Der Verlust eines Schlüssels zur Entschlüsselung
• Die unbefugte Weitergabe von Daten
• Die versehentliche Übermittlung von Daten an den falschen Empfänger
• …

• Sichern Sie ab, dass Ihre Mitarbeiter für den Umgang mit Datenpannen geschult sind. Ihren Mitarbeitern sollte klar sein, dass im Falle einer Datenpanne eine schnelle Weiterleitung des Vorfalls notwendig ist. Mitarbeiter reagieren oft verzögert, weil sie Konsequenzen wegen eigenem Verschulden befürchten. Stellen Sie sicher, dass Ihre Mitarbeiter wissen, dass Datenpannen oft unverschuldet entstehen und dass durch zügiges Handeln viel Schaden abgewendet werden kann.

• Falls es in Ihrem Unternehmen einen Datenschutzbeauftragten gibt, informieren Sie ihn umgehend.

• Wenn eine Datenpanne zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, muss unverzüglich (möglichst binnen 72 Stunden) die zuständige Datenschutzaufsichtsbehörde informiert werden.  Die Frist beginnt mit der Feststellung der Datenpanne. Diese Aufgabe sollte vom Datenschutzbeauftragten oder der Unternehmensleitung übernommen werden. Diese Pflicht besteht unabhängig davon, ob die Datenpanne verschuldet oder unbeabsichtigt entstanden ist. Ausnahmen von dieser Meldepflicht, zum Beispiel für kleine Unternehmen, gibt es nicht. Einer verspäteten Meldung muss eine Begründung für die Verzögerung beigelegt werden. Je länger die Frist überschritten wurde, desto ausführlicher sollte Ihre Begründung sein. Die Behörden halten auf ihrer Website Formulare bereit, die die notwendigen Angaben zur Datenpanne abfragen. Informationen können gemäß Art. 33 Abs. 4 DSGVO auch später nachgereicht werden, sofern dies nicht anders möglich ist. Es gilt: Schnelligkeit vor Vollständigkeit. Immer dann, wenn neue relevante Informationen bekannt werden, müssen Sie innerhalb von 72 Stunden eine Folgemeldung machen, die einen Verweis auf die vorangegangenen Meldungen enthält. Bei vorsätzlichen Angriffen sollten Sie ein Einschalten der Strafverfolgung erwägen.

• Alle betroffenen Personen, denen durch die Datenpanne ein hohes Risiko für ihre Rechte und Freiheiten entsteht, müssen informiert werden, aber erst dann, wenn Ihnen die Datenschutzbehörde das Einverständnis dazu gibt. Diese Regelung gibt den Behörden die Möglichkeit, einen Hackerangriff vor dem Bekanntwerden in der Öffentlichkeit zu verfolgen.
Die Mitteilung muss in einer klaren und einfachen Sprache verfasst werden und so übersichtlich sein, dass sich der Inhalt direkt erfassen lässt. Eine Verwendung der Meldung an die Aufsichtsbehörden ist deshalb nicht sinnvoll. Die Information muss den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle, die Art der Datenschutzverletzung, die Beschreibung der wahrscheinlichen Folgen der Datenpanne und mögliche Selbstschutzmaßnahmen für die betroffene Person sowie eine Information über die ergriffenen Maßnahmen des Unternehmens enthalten.
Ist der Aufwand für die Benachrichtigung unverhältnismäßig, kann stattdessen eine öffentliche Bekanntmachung erfolgen. Dies wäre zum Beispiel der Fall, wenn keine Kontaktdaten vorhanden sind, wenn nur veraltete Kontaktdaten vorhanden sind oder wenn sich die Anzahl der Betroffenen nicht ermitteln lässt. Ziehen Sie eine öffentliche Bekanntmachung in Erwägung, dann sollten Sie die Auswirkungen auf das Unternehmens-Image berücksichtigen.

• Im Falle einer Auftragsverarbeitung hat der Auftragsverarbeiter die Pflicht den Verantwortlichen zu unterstützen. Die Behörden oder betroffene Personen muss der Auftragsverarbeiter nicht benachrichtigen. Eventuell können Sie die Unterstützungspflicht im Auftragsverarbeitungsvertrag in Hinblick auf die bereitzustellenden Informationen, den Umfang der Schutzmaßnahmen, die Weitergabe entstandener Kosten, etc. genauer konkretisieren.

• Halten Sie Erfahrungen aus der Bewältigung früherer Datenpannen sorgfältig fest, um Ihren Dokumentationspflichten nachzukommen. Dies wird Ihnen auch dabei helfen festzustellen, welche Maßnahmen bei einer akuten Datenpanne notwendig, sinnvoll und hilfreich sind.