Eine Datenpanne passiert schneller, als man glaubt. Denn die Schwelle ist gering. Besser ist es, die Datenpanne zu vermeiden, denn sie hat teure Folgen.
Was ist eine Datenpanne? Definition und Erklärung
Sie werden bei dieser Frage wohl eher an einen Hackerangriff, die berühmte Ransomware-Attacke mittels Verschlüsselungstrojaner oder zumindest die versehentliche Zugänglichmachung einer Datenbank im Internet denken.
Diese Definition greift aber bei Weitem zu kurz und würde Ihr Unternehmen großen Haftungsrisiken aussetzen.
Denn eine Datenpanne, wie es die Datenschutzgrundverordnung (DSGVO) versteht, ist beispielsweise auch schon der verlorene USB-Stick mit personenbezogenen Daten, das geklaute Betriebshandy oder der im ICE vergessene Firmen-Laptop.
Und es wird sogar noch umfangreicher: Denn eine Datenpanne ist auch schon die E-Mail, die an den falschen Empfänger geht (der Autovervollständigung von E-Mail-Adressen sei Dank) oder der offene E-Mail-Verteiler. Wird also eine Sammelmail statt in BCC in CC oder direkt als Empfänger an eine Vielzahl an Personen geschickt, ist das ein Vorfall, der eine Datenschutzpanne nach der DSGVO darstellt.
Liegt eine Datenpanne vor, heißt es: Schnell handeln! Denn in vielen Fällen muss eine Information über die Datenpanne erfolgen. Zumindest an die zuständige Datenschutzbehörde, gegebenenfalls auch and die betroffenen Personen.
Setzen Sie sich bei einer Datenpanne sofort mit uns in Verbindung
Die Kanzlei Schutt, Waetke Rechtsanwälte ist Ihr idealer Ansprechpartner, wenn Ihnen eine Datenpanne passiert ist. Als Datenschutzanwalt kann Ihnen Fachanwalt für IT-Recht Timo Schutt kompetent und schnell helfen.
Wie Sie eine Datenpanne vermeiden
Um Datenpannen im Unternehmen zu verhindern, gilt es, die erforderlichen technischen und organisatorischen Maßnahmen zu treffen. Die Summe dieser Maßnahmen muss geeignet sein die konkret bei Ihnen verarbeiteten Daten so sicher, wie möglich zu behandeln.
Ein Beispiel für eine technische Maßnahme wäre die Verschlüsselung von personenbezogenen Daten oder die Absicherung der Verfügbarkeit der Daten durch ein RAID-System. Eine organisatorische Maßnahme wäre beispielsweise eine konkrete Vorgabe für die Generierung eines Passworts (Anzahl der Zeichen, Mindestanzahl der Sonderzeichen o.ä.) oder auch die regelmäßige Durchführung von Mitarbeiterschulungen zur Erhöhung der Awareness.
Diese Maßnahmen müssen definiert, kommuniziert und natürlich umgesetzt sein, um die Datensicherheit und damit den Datenschutz im Unternehmen zu erhöhen. Je mehr Maßnahmen getroffen wurden, desto sicherer ist die Datenverarbeitung und desto geringer ist das Risiko, dass es zu einer Datenpanne kommt.
Eine solche Maßnahme sollte auch sein, eine Richtlinie, also eine Art Reaktionsplan für Datenpannen aufzustellen. Darin sollten die Mitarbeiter zum Einen über das Thema Datenpanne informiert und zum andere sollten Verantwortlichkeiten und Prozesse vorgegeben werden, damit eine Datenpanne erkannt und schnellstmöglich an die relevanten Stellen weitergegeben werden.
Was Sie bei einer Datenpanne tun müssen
Am besten – wie gerade oben bei der Vermeidung von Datenpannen bereits erklärt – ist es, dafür zu sorgen, dass eine Datenpanne gar nicht erst auftritt. Dazu sollte man die IT-Sicherheit erhöhen, technische und organisatorische Maßnahmen treffen und – vor allem – die Mitarbeiter sensibilisieren und schulen.
Wenn es aber doch passiert, dann muss jeder Mitarbeiter wissen, dass es eilig ist. Denn man muss eine Datenpanne melden. Es muss in einem sehr kurzen Zeitraum von nur 72 Stunden (Frist) nach Kenntnis von der Datenpanne die zuständige Datenschutzbehörde informiert werden (Meldepflicht einer Datenpanne). Nicht in jedem Fall, aber im Regelfall ist das so.
Artikel 33 Absatz 1 DSGVO sagt dazu
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“
Also muss es einen schnellen und abgestimmten Kommunikationsprozess beim Verantwortlichen geben und es muss Verhaltensmaßnahmen geben, die einzuhalten sind. Das geschieht üblicherweise durch eine „Richtlinie Datenpanne“. Darin ist auch die unverzügliche Benachrichtigung des Datenschutzbeauftragten vorzusehen. Denn er muss prüfen, ob es eine meldepflichtige Datenpanne ist oder nicht.
Neben der Meldepflicht einer Datenpanne kann es auch eine Informationspflicht der Betroffenen geben (Art. 33 Absatz 2 DSGVO). Das ist ebenfalls vom Datenschutzbeauftragten zu prüfen.
Eine nicht meldepflichtige Datenpanne, also eine solche bei der es ausnahmsweise kein Risiko für die betroffenen Personen gibt, muss übrigens trotzdem dokumentiert werden.
Beispiel für Schäden durch Datenpanne
Hat es eine Datenpanne gegeben, trifft das Unternehmen als Verantwortlicher eine Reihe von Haftungsrisiken.
Beispiele für Schäden nach einer Datenpanne können sein: Bußgelder, Schadensersatzansprüche und Schmerzensgeldzahlungen, sowie die Kosten für die Beseitigung der Sicherheitslücke und ggf. der Reparatur der an der IT oder den Systemen des Unternehmens entstandenen Schäden.
Die Verletzung der Rechte und Freiheiten der betroffenen Personen kann Folgen nach sich ziehen, die für das Unternehmen sogar existenzgefährdend sein können.
Denn eine Datenpanne bedeutet Schadensersatz. Ansprüche darauf haben alle betroffenen Personen. Der Schadensersatz kann dabei auch in Schmerzensgeld bestehen. Sind entsprechend viele Personen betroffen, kann das zu unübersehbaren Haftungssummen für das Unternehmen führen.
Dazu kommt unter Umständen ein Bußgeld, welches von der zuständigen Datenschutzbehörde verhängt wird.
Bußgelder durch Datenschutzbehörden bei Datenpannen
Regelmäßig werden aufgrund von Datenpanne Bußgelder durch die zuständige Datenschutzbehörde verhängt.
Das kann auch dann passieren, wenn eine meldepflichtige Datenpanne nicht gemeldet wurde. Kommt das anderweitig heraus, was häufig der Fall ist, dann muss das Unternehmen in der Regel mit höheren Bußgeldern rechnen, da es den Vorfall vertuschen wollte.
Die Behörde hat aber auch einen großen Ermessensspielraum. Unsere Erfahrung: Kooperiert man mit der Behörde, wurde die Datenpanne rechtzeitig und vollständig gemeldet, wurden unverzüglich Maßnahmen zur Schadensminimierung und zur Schließung der Sicherheitslücke vorgenommen und wurden ggf. die Betroffen (auch über-obligatorisch) informiert, kann das dazu beitragen, dass die Behörde wegen dieses Verhaltens auf ein Bußgeld verzichtet.