Unbefugter Zugang:
Personen (Besucher, Mitarbeiter etc.) können
an einen PC herantreten und dort Daten einsehen. Aber auch Mitar-
beiter könnten aufgrund eines fehlenden Berechtigungskonzepts auf
Daten zugreifen, die nicht für sie bestimmt sind. Beispiel: Ein Haus-
meister greift auf Daten der Lohnbuchhaltung zu.
Warum überhaupt melden?
Die Wichtigkeit zur Meldung von Datenpannen liegt auf der Hand. Nicht
nur in finanzieller Hinsicht. Identitätsdiebstahl, Betrug, Verleumdung bis
hin zur Diskriminierung würden einen Schaden für den Betroffenen be-
deuten. Die Meldung einer Datenpanne soll in erster Linie helfen, schnells-
tens auf etwaige unberechtigte Nutzung seiner Daten zu reagieren. Meist
erfährt der Betroffene es eigentlich als Letzter, wenn seine Daten ver-
nichtet, verloren oder unberechtigt offengelegt worden sind. Daher ist es
wichtig, dass Unternehmen eine Datenpanne zum einen frühzeitig erken-
nen und zum anderen verantwortungsbewusst an die für das jeweilige
Land zuständige Aufsichtsbehörde und den Betroffenen melden.
72 Stunden! Die Uhr tickt
Erlangt ein Verantwortlicher Kenntnis über die Verletzung des Schutzes
personenbezogener Daten, so muss er dies nach Art. 33 DSGVO inner-
halb 72 Stunden an die hiesige Aufsichtsbehörde melden.
Wie muss die Meldung erfolgen?
Es gilt folgende Grundregel: kein Schnellschuss! Die 72 Stunden reichen
in der Regel gut aus, um alle relevanten Informationen dazu einzuholen.
Die Bewertung eines solchen Vorfalls sollte nie von einer einzigen Per-
son vorgenommen werden. Ein Datenschutzbeauftragter (DSB) hat in
der Regel hierfür Formulare innerhalb des Unternehmens bereitgestellt,
die eine entsprechende Meldekette bilden, um z. B. das Ausmaß, den
Umfang und die Schwere der Datenpanne im Vorfeld abzuschätzen.
Generell müssen Zeitpunkt und die Beschreibung des Vorfalls, die be-
troffenen Systeme, die Art der betroffenen Daten, die Anzahl der be-
troffenen Personen und die ersten Gegenmaßnahmen, die zur Abhilfe
ergriffen wurden, mitgeteilt werden.
Alle Fakten und Informationen gesammelt? Dann auf der Web-
seite der hiesigen Aufsichtsbehörde online melden.
In der Regel bieten nahezu alle Aufsichtsbehörden der jeweiligen Bun-
desländer ein Online-Formular an, mithilfe dessen Sie eine korrekte
Meldung der Datenpanne direkt auf der Weboberfläche vornehmen
können. Vereinzelt bieten die Behörden auch ein PDF-Dokument zur
Meldung an, welches dann heruntergeladen und ausgefüllt werden
muss und anschließend zurück an die Behörde gesandt wird.
■
Datenpanne – „Ups ...
das war der Falsche“
Reinhold Okon, München
Dies waren die Worte eines Mitarbeiters in einer Hausverwal-
tung, als er bemerkte, dass er eine E-Mail mit vertrauenswür-
digem Inhalt an eine falsche E-Mail-Adresse übersandt hatte.
Inhalt der E-Mail waren sehr persönliche Informationen, die nur
für eine besondere Person bestimmt war. Der Mitarbeiter löste
hier eine klassische Datenschutzverletzung aus.
Nach knapp einem Jahr Datenschutzgrundverordnung (DSGVO) lässt sich
eines deutlich erkennen: Die Meldungen von Datenpannen (Art. 33 Abs.
1 DSGVO) an die Aufsichtsbehörden haben sich zum Teil verzehnfacht.
Der Grund dafür ist, dass die DSGVO eine klare Abgrenzung zur Melde-
pflicht von Datenpannen gegenüber dem alten BDSG vorsieht.
Nach Art. 4 Nr. 12 DSGVO wird eine Datenpanne so definiert:
Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der
Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung,
zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw.
zum unbefugten Zugang zu personenbezogenen Daten führt, die über-
mittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Und wenn man die gesetzliche Definition etwas genauer anschaut,
dann wird schnell klar, dass sozusagen jedes Versehen im Umgang mit
personenbezogenen Daten eigentlich eine „Verletzung des Schutzes
personenbezogener Daten“ darstellen kann.
Was ist Vernichtung, Verlust, Veränderung und eine unbefugte
Offenlegung und unbefugter Zugang zu Daten?
Dies lässt sich relativ einfach erklären:
Vernichtung:
Alle personenbezogenen Daten, die gänzlich zerstört
worden sind. Dabei ist es unerheblich, ob es sich um elektronische
oder um Daten auf Papier handelt.
Verlust:
Die Daten sind nicht gänzlich zerstört, nur es besteht keine
Möglichkeit, auf die Daten zuzugreifen. Einfaches Beispiel: Ein Troja-
ner, der Daten verschlüsselt (Ransomware). Die Daten sind zwar noch
da, aber man kann (vorerst) nicht damit arbeiten.
Veränderung:
Daten werden in ihrem ursprünglichen Inhalt verän-
dert. Die Echtheit der Daten ist nicht mehr gegeben. Somit sind diese
Daten nicht mehr zuverlässig.
Unbefugte Offenlegung:
Unberechtigte erhalten Daten, die nicht
für sie bestimmt waren.
■
■
■
■
4
Verwalterthema
des Monats
Diese Definition lässt viel Spielraum für eine weite Auslegung. Denn
hier ist es gegenüber dem alten BDSG nicht mehr wichtig, um wel-
che Daten es sich handelt – wie etwa Gesundheitsdaten, genetische
oder politische Meinungen, sexuelle Ausrichtung –, sondern dass es
sich um personenbezogene Daten handelt.
HINWEIS: WEITE AUSLEGUNG
Beispiel: Eigentümerliste
Eine Eigentümerliste mit postalischen Daten wurde versehentlich
auf der Internetseite für Jedermann veröffentlicht. Die erste Gegen-
maßnahme wäre, das Dokument von der Seite zu entfernen oder
gar die Webseite gänzlich vorübergehend zu deaktivieren.
Wichtig ist, die 72 Stunden tatsächlich nach Bekanntwerden des
Vorfalls einzuhalten. So ist eine Meldung einer Datenpanne auch
dann noch vorzunehmen, wenn sich diese möglicherweise schon
vor einigen Wochen oder Monaten ereignete, aber jetzt erst be-
kannt wurde. Wird die Frist von 72 Stunden überschritten, muss die
Verzögerung schlüssig begründet werden. Eine Meldung muss in
jedem Fall erfolgen.
ACHTUNG: 72 STUNDEN-FRIST