Was sind Datenpannen und wann muss man diese melden?

Ein kleiner Fehler genügt, und schon geraten vertrauliche oder personenbezogene Daten in die Hände von Unbefugten. Das ist nicht nur ärgerlich, sondern zieht eine Reihe von Pflichten nach sich, die jeder Betriebsinhaber kennen sollte. Ein Experte klärt auf.

Dieser Artikel gehört zum Themen-Special Cyber-Attacken auf Handwerksbetriebe

Aktuell werden vermehrte Hackerangriffe auf kleine und mittelständische Betriebe gemeldet. Andere Einfallstore für verletzten Datenschutz sind etwa falsch versendete E-Mails oder ein verlorenes oder gestohlenes Firmenlaptop. Für den Betrieb bedeutet das, dass er die Kontrolle über wertvolle, oft sensible Daten von Kunden, Geschäftspartner oder Beschäftigten verliert. Man spricht in einem solchen Fall von einer Datenpanne, einem Datenschutzvorfall oder auch einer Datenschutzverletzung. Die Details erklärt Rechtsanwalt Axel Keller. 

Was ist eine Datenpanne?

Eine Datenpanne ist ein Ereignis, das die Sicherheit von Informationen beeinträchtigt. Dieses Ereignis führt zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung oder dem unbefugten Zugang zu personenbezogenen Daten. Die Vertraulichkeit, Integrität oder Verfügbarkeit werden verletzt. Konkret geht es um Vorfälle, bei denen eines der folgenden Ereignisse eingetreten ist:

• Jemand erlangt Kenntnis über Informationen, die er nicht wissen sollte,
  
  
•  Informationen werden unberechtigt verändert oder
  
  
•  Informationen sind nicht mehr zugänglich.

Beispiele für Datenpannen

Das Spektrum von Datenpannen ist breit gefächert. Sie sind keineswegs auf den Bereich der Informationstechnologie beschränkt. Datenschutzverletzungen können passieren durch:

• Nicht vollständig durchdachte Veröffentlichung der Daten: Etwa wenn Daten auf einer Website oder per Aushang an einem schwarzen Brett öffentlich einsehbar sind. 
  
  
• Bedienfehler: Durch Fehlbedienung einer Software werden Daten ungewollt zugänglich gemacht.
  
  
• Verlust von Zugangsmedien: Durch Verlust von Schlüsseln, Transpondern, Magnetkarten etc. können Finder unbefugt Zutritt erhalten.
  
  
• Übermittlung an falsche Empfänger: Durch irrtümlich falsche Mailadressen oder bei Nutzung eines offenen Mailverteilers können unzulässig Daten übermittelt werden.
  
  
• Verlust unverschlüsselter Datenträger: Finder können Festplatten, USB-Sticks sowie andere Datenträger in Betrieb nehmen und auslesen. 
  
  
• Fehlerhafte Entsorgung von Datenträgern: Unterlagen mit Personenbezug landen im regulären Papiermüll anstatt in dafür vorgesehenen Datenvernichtern. 
  
  
• Preisgabe von Daten an Außenstehende: Anrufer geben sich als Betroffene aus und das Unternehmen prüft nicht ausreichend, ob die Personen zum Erhalt der Information legitimiert sind.
  
  
• Angriff auf IT-Systeme: Angreifer verschaffen sich Zugriff auf die IT, um Daten zu stehlen.
  
  
• Social Engineering: Angreifer erschleichen sich Zugangsdaten zum Beispiel durch Phishing-Mails und nutzen die Daten für böswillige Zwecke.
  
  
• Datenverlust: Daten werden durch Einbruch oder Brand zerstört oder gestohlen. 

Was tun im Ernstfall?

Betriebe sollten idealerweise bereits vorher interne Prozesse etabliert haben: Ein vermuteter oder festgestellter Datenschutzvorfall sollte möglichst schnell dem Vorgesetzten, Abteilungsleiter und der Geschäftsführung gemeldet werden. Dann kann diese frühzeitig Gegenmaßnahmen ergreifen. Am besten erstellen Betriebsinhaber für dieses Vorgehen eine Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten.

Liegt eine Datenpanne vor, müssen die Verantwortlichen entscheiden, ob eine Meldepflicht bei der Aufsichtsbehörde besteht. Insbesondere bei einem persönlichen Risiko für die von dem Vorfall betroffenen Personen und auch bei sehr umfangreichen und sensiblen Datensätzen ist eine Meldung meist unumgänglich. Letztendlich muss die Geschäftsführung  die Meldung bei der zuständigen Aufsichtsbehörde vornehmen. Die zuständigen Aufsichtsbehörden stellen hierfür entsprechende Online-Formulare bereit. Der Datenschutzbeauftragte kann unterstützend hinzugezogen werden.

72 Stunden Zeit für die Meldung der Datenpanne

Achtung: Die Frist bis zur Meldung beträgt 72 Stunden ab Kenntnis des Vorfalls! Wochenende oder Feiertage unterbrechen die Frist nicht. Genauso wenig wie Urlaub und Krankheit: die Frist läuft weiter! 

Was passiert, wenn die Meldung zu spät kommt?

Wer die Meldefrist verletzt, riskiert ein Bußgeld. Für die Meldepflicht ist es nicht relevant, ob der Vorfall beabsichtigt herbeigeführt wurde oder nicht. Wer hinsichtlich der Meldepflicht Zweifel hat, sollte fachkundigen Rat einholen. Auch im Zweifelsfall  kann eine Meldung bei der Aufsichtsbehörde sinnvoll sein: Denn die Behörde gibt mitunter wichtige Ansatzpunkte für die Aufarbeitung des Vorfalls und für präventive Maßnahmen. Außerdem gibt es dann kein Bußgeld wegen unterlassener Meldung. Die Konsequenzen einer verspäteten Meldung oder eines unterschätzten Risikos trägt allein das verantwortliche Unternehmen.

Fazit: Schnelles Handeln ist nötig

Ein Datenschutzvorfall kann jederzeit unerwartet auftreten. Wer vorher einen Arbeitsablauf dafür einrichtet, sich mit dem Thema auseinandersetzt und sich von einem Datenschutzbeauftragten unterstützen lässt, ist gut gewappnet. Am besten ist es natürlich Prävention. Dafür sollte jeder Betriebsinhaber Richtlinien für seine Beschäftigten etablieren, strukturierte interne Abläufe definieren und Mitarbeiterschulungen durchführen. 

Hier gibt es eine ausführliche Hilfestellung für den Umgang mit Datenschutzvorfällen. Zusätzlich finden Sie > hier eine kurze Notfall-Checkliste für den Ernstfall. Bestenfalls drucken Sie sich diese Informationen aus und legen diese so bereit, dass sie auch bei einem IT-Systemausfall erreichbar ist.

Quelle: Ecovis

Die Berater in den Handwerkskammern helfen Ihnen bei Rechtsfragen gerne weiter!

DHB jetzt auch digital!Einfach hier klicken und für das digitale Deutsche Handwerksblatt (DHB) registrieren!