Data Breach – was ist laut EU-DSVGO zu tun?

von | Mai 7, 2018 | IT Sicherheit |

Shit happens. Stellen Sie sich vor, ein Hacker ist trotz bestmöglicher Sicherheitsvorkehrungen in Ihr Unternehmensnetzwerk eingedrungen und hat dabei Kundendaten gestohlen. Oder Ihr Datenbank-Server ist in Flammen aufgegangen. Oder Sie haben Ihr Firmenhandy mit Exchange-Zugang verloren. Sind in so einem Fall auch personenbezogene Daten  verlorengegangen, gilt es laut der am 25. Mai 2018 in Kraft tretenden EU-DSGVO bestimmte Meldepflichten einzuhalten.

Wann immer Unbefugten der Zugriff auf personenbezogene Daten möglich wird, sprechen wir von einem Data Breach. Eine solche Situation kann dazu führen, dass Betroffenen physischer, materieller oder immaterieller Schaden entsteht – ein finanzieller Verlust, Rufschädigung oder gar ein körperlicher Schaden bei Verlust bzw. Kompromittierung von medizinischen Daten. Die EU-DSGVO sieht daher eine Meldepflicht vor, d.h. Ihre nächsten Schritte sollten nun so aussehen:

Dokumentation der Schutzverletzung personenbezogener Daten

Wenn es zu einer Schutzverletzung personenbezogener Daten kommt, etwa durch einen erfolgreichen Hackerangriff, muss der Datenschutzbeauftrage (so Sie einen ernannt haben) bzw. der Verantwortliche im Unternehmen eine genaue Dokumentation aller mit diesem Sicherheitsbruch in Zusammenhang stehender Fakten erstellen.

Meldung an die Aufsichtsbehörde

Wenn die Datenschutzverletzung aller Voraussicht nach zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, muss unverzüglich, zumindest aber innerhalb von 72 Stunden – diese Frist inkludiert übrigens auch Wochenenden und Feiertage –, eine Meldung an die Aufsichtsbehörde erfolgen. Dabei müssen Sie folgende Informationen übermitteln:

  • eine Beschreibung der Art der Datenschutzverletzung (mit Angabe von Kategorien und der Anzahl der betroffenen Datensätze)
  • Namen und Kontaktdaten des Datenschutzbeauftragten
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der vorgeschlagenen oder ergriffenen Maßnahmen zur Behebung und Milderung möglicher negativer Auswirkungen

 

Meldung bei den Betroffenen

Auch an die Betroffenen muss innerhalb von 72 Stunden eine Meldung über den Data Breach erfolgen. Die Benachrichtigung muss folgende Informationen enthalten:

  • Art der Verletzung in klarer und einfacher Sprache
  • Name und Kontaktdaten des Datenschutzbeauftragten für Rückfragen
  • Beschreibung der wahrscheinlichen Folgen für den Betroffenen
  • Beschreibung der vorgeschlagenen oder ergriffenen Maßnahmen zur Behebung und Milderung möglicher negativer Auswirkungen

Wenn Sie entsprechend vorgesorgt haben, kann die Benachrichtigung der vom Data Breach betroffenen Personen entfallen. Dazu muss eine der folgenden Bedingungen zutreffen:

  • Wenn durch vorher getroffene Sicherheitsvorkehrungen der Zugriff auf die personenbezogenen Daten unmöglich gemacht wurde (z.B. Verschlüsselung).
  • Wenn durch nachträgliche Maßnahmen sichergestellt werden kann, dass das Risiko für Rechte und Freiheiten der Betroffenen aller Wahrscheinlichkeit nach nicht mehr besteht.

Auch ein unverhältnismäßig großer Aufwand – bei einer besonders hohen Zahl an Betroffenen z.B. – kann ein Befreiungsgrund für die Benachrichtigung sein. Allerdings ist die Alternative hier auch nicht gerade ein Zuckerschlecken, für die Reputation des betroffenen Unternehmens kann das der Todesstoß sein:

  • Die Benachrichtigung aller Betroffenen wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall muss aber eine öffentliche Bekanntmachung (Presse, Fernsehen, …) erfolgen, um die Betroffenen effektiv zu informieren.

Wenn Sie Ihren Dokumentations- und Datensicherungspflichten optimal nachgekommen sind, wird sich so ein Daten-Gau zumindest nicht in einen Supergau für Ihr Unternehmen entwickeln, denn dann haben Sie ja die entsprechenden Infos, was wie verlorengegangen ist bzw. kompromittiert wurde und wer dadurch auf welche Art betroffen ist, schnell bei der Hand und können entsprechend reagieren.

Bitte beachten Sie, dass dieser Artikel keinen Anspruch auf Vollständigkeit erhebt und auch keine Rechtsberatung ersetzen kann. Wenn Sie eine weitergehende, speziell auf Ihr Unternehmen bzw. Ihre Organisation zugeschnittene Beratung oder Unterstützung bei der Umsetzung der technischen Erfordernisse für Ihre IT benötigen, stehen wir Ihnen selbstverständlich gerne zur Verfügung.

a

Textquellen & Links

Ein Interview mit unserem DSGVO-Experten Marco Gschaider können Sie hier nachlesen:
blog.iphos.com

Grundsätzliche Infos zur EU-DSGVO kurz gefasst finden Sie hier:
blog.iphos.com

Wie Sie mit den Sicherheitslösungen von ESET eine bessere DSGVO-Compliance erreichen, lesen Sie hier:
blog.iphos.com

Eine Checkliste für DSGVO-konforme Webauftritte und WordPress-Blogs finden Sie hier:
blog.iphos.com