Data Breach oder Datenleck, Incident oder Vorfall – wenn es um Datenpannen geht, gibt es im Unternehmensalltag verschiedene Begriffe. Sie sind alle unterschiedlich, aber in einer Sache ähnlich. Die DSGVO verwendet hierfür in Artikel 4 Nr. 12 den feststehenden Ausdruck „Verletzung des Schutzes personenbezogener Daten“. Oftmals können sogar IT-Sicherheitslecks zu meldepflichtigen Datenschutz-Pannen werden, wie der Fall der kompromittierten Microsoft Exchange Server zeigt.
Kompromittierung durch verspätete Sicherheitsupdates
Am 5. März 2021 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) davor, dass zehntausende Microsoft Exchange Server mit hoher Wahrscheinlichkeit mit Schadsoftware infiziert wurden. Grund waren vier Schwachstellen in der Software, für die Microsoft zwei Tage zuvor Sicherheitsupdates bereitgestellt hatte. Das BSI teilte mit, dass alle Server, die keine Updates installiert hatten, somit als kompromittiert anzusehen sind. Denn werden die Sicherheitslücken ausgenutzt, können Unbefugte auf E-Mail-Konten zugreifen und Malware installieren. Dieses Beispiel zeigt eindeutig, wie schnell ein Zögern zu einer Datenschutzverletzung werden könnte.
Also was tun nach einer meldepflichtigen Datenschutzpanne?
Weil die Grundverordnung einen risikobasierten Ansatz verfolgt, handelt es sich bei einem Vorfall dann um eine Datenschutz- Verletzung, wenn er „zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Das Risiko bemisst sich zum einen in der Schwere des möglichen Schadens und zum anderen in der Wahrscheinlichkeit, dass das Ereignis samt Folgeschäden eintritt.
Wichtig ist, dass Unternehmen nach Bekanntwerden der Schutzverletzung einen kühlen Kopf bewahren und richtig reagieren. Wenn ein Auftragsverarbeiter involviert ist, muss er den Vorgang an den Verantwortlichen melden, der diesen dokumentiert. Die Dokumentation muss für die Aufsichtsbehörde die Sachlage nachvollziehbar beschreiben. Außerdem müssen die Auswirkungen der Schutzverletzung geschildert und die ergriffenen Abhilfemaßnahmen festgehalten werden.
Hierbei spielt der Faktor Zeit eine Rolle: Unternehmen müssen nach Artikel 33 DSGVO „unverzüglich und möglichst binnen 72 Stunden“ die zuständige Datenschutz-Aufsichtsbehörde informieren. Die Pflicht tritt ein, sobald dem Unternehmen bekannt wurde, dass der Schutz personenbezogener Daten verletzt wurde. Verstöße gegen Artikel 33 können mit einer Geldbuße geahndet werden.
Benachrichtigung der Betroffenen
Nach Artikel 34 DSGVO gilt es Betroffene „unverzüglich“ zu informieren. Die Benachrichtigungspflicht entfällt, wenn das Unternehmen nach Artikel 32 DSGVO bereits geeignete und erfolgreiche technisch-Maßnahmen getroffen hat, mit denen das Risiko reduziert werden konnte. Dazu gehören pünktliche Sicherheitsupdates, aber auch grundlegende Maßnahmen wie etwa die Verschlüsselung von personenbezogenen Daten. Wenn das Unternehmen den Vorfall öffentlich bekannt macht, kann es auf eine persönliche Benachrichtigung der Betroffenen verzichten, falls diese mit einem unverhältnismäßig hohen Aufwand verbunden wäre.
Nach einer Datenschutzverletzung
Nach einer Datenschutzpanne sollte ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung im Unternehmen in Gang gebracht werden, um die technischen und organisatorischen Maßnahmen in ihrer Wirksamkeit zu überprüfen, welche eine sichere Datenverarbeitung gewährleisten sollen. Die hierbei gefunden Verbesserungspotenziale müssen dann umgesetzt werden, um etwaige Schutzlücken zu schließen.
Möglicherweise muss erneut eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO vorgenommen werden und die ursprünglich vorgesehenen technischen und organisatorischen Maßnahmen neu geplant werden. Eine Pflicht zur Umsetzung dieser Maßnahmen ergibt sich aus Artikel 32 Abs. 1 DSGVO, wobei die getroffenen Maßnahmen ausreichend dokumentiert werden müssen. Diese Dokumentation kann dann jederzeit den Aufsichtsbehörden vorgelegt werden.
Fazit: Beugen Sie einer Datenschutzpanne vor!
Fest steht: Aus den immer komplexeren Bestimmungen und der voranschreitenden Digitalisierung ergeben sich Risiken für den Datenschutz. Lassen Sie es erst gar nicht drauf ankommen. Sichern und überprüfen Sie ihre Prozesse mittels einer Software. Brainloop Datenraum-Lösungen sind von Anfang an unter Sicherheitsgesichtspunkten entwickelt worden. Sie zeichnen sich durch zahlreiche Sicherheitsfunktionen wie eine durchgängige Verschlüsselung mit höchstem Standard – auf Server, mobilen Geräten und im Versand und integrierte Information-Rights-Management-Technologien aus. Verschiedene Zertifizierungen, genauso wie regelmäßige Sicherheitsaudits belegen den sicheren Betrieb und die Robustheit unserer führenden Sicherheitstechnologie.
Data Room, Digitalisierung, Good Governance
This could also be of interest:
