Blog Post
Meldung von Datenschutzverletzungen – Leitlinien
Zu oft sind Datenschutzverletzungen auf vermeidbare interne Fehler zurückzuführen. Dieses Problem und daraus resultierende Reputationsschäden bereiten Geschäftsführungsverantwortlichen zunehmend Kopfzerbrechen. Die größte Sorge ist häufig, dass über den finanziellen Schaden hinaus katastrophale Folgen drohen. Wenn personenbezogene Daten tausender Kunden und Geschäftspartner von einer Datenpanne betroffen sind, müssen die Unternehmen auch massive rechtliche Konsequenzen fürchten. So können Betroffene klagen oder DSGVO-Verstöße zur Anzeige bringen. Dieser Artikel zeigt auf, was es unbedingt zu beachten gilt und welche Maßnahmen nötig sind, um die Folgerisiken einzudämmen und sicherzustellen, dass im Falle einer Datenschutzverletzung die Meldepflichten erfüllt werden.
Im Dezember des vergangenen Jahres veröffentlichte der Europäische Datenschutzausschuss Leitlinien zu konkreten Beispielen großer Datenschutzvorfälle der letzten Zeit, samt Handlungsempfehlungen für solche und ähnliche Fälle (Guidelines 01/2021 on Examples regarding Personal Data Breach Notification).
In dem Bericht wird als Beispiel eine Cyberattacke auf eine Online-Banking-Website einer Bank beschrieben. Ziel des Angriffs war der Zugriff auf sämtliche Benutzerkennungen, denen ein bestimmtes triviales Passwort zugewiesen ist. Aufgrund einer Sicherheitslücke der Website konnte der Angreifer in einigen Fällen personenbezogene Kundendaten (etwa Vorname, Nachname, Geschlecht, Geburtsdatum und ort, Steuernummer, Identifizierungscodes) selbst dann abgreifen, wenn das verwendete Passwort gar nicht stimmte oder das Bankkonto nicht mehr aktiv war. Konten von 100.000 Kunden waren durch den Angriff gefährdet; bei ca. 2.000 Konten gelang es dem Angreifer, sich erfolgreich einzuloggen.
Die Bank wurde auf den Angriff aufmerksam, weil ihr Sicherheitszentrum eine große Zahl von Login-Versuchen auf der Website feststellte. Der Datenverantwortliche reagierte darauf mit einer Login-Sperrung und Zurücksetzung der Passwörter der gehackten Konten. Nur die betroffenen Kunden wurden über die Datenpanne informiert – eine Meldung an die nationale Aufsichtsbehörde blieb aus. Da finanzielle Daten betroffen waren, handelte es sich um einen besonders ernsten Vorfall.
Meldepflichten gemäß DSGVO
Im vorgenannten Fall wird die nichterfolgte Meldung an die nationale Aufsichtsbehörde mit hoher Wahrscheinlichkeit eine Untersuchung der Angelegenheit sowie ernsthafte Konsequenzen für die Bank nach sich ziehen. Datenverantwortliche sind gemäß Artikel 24 (1), 25 (1) and 32 (1) DSGVO verpflichtet, bestimmte Maßnahmen zum Schutz personenbezogener Daten umzusetzen. Artikel 33 schreibt vor, dass Datenschutzverletzungen der nationalen Aufsichtsbehörde zu melden sind – in Deutschland dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit oder den zuständigen staatlichen Behörden. Des Weiteren müssen Datenverantwortliche alle potenziell betroffenen Personen informieren; dazu zählen in bestimmten Fällen auch Personen, deren Daten nicht gehackt wurden.
Das genannte Beispiel ist mit Sicherheit kein Einzelfall. Im vergangenen Jahr wurden dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 10.106 Datenschutzvorfälle gemeldet . Unter anderem haben Unternehmen aus der Telekommunikationsbranche sowie Postdienstleister die Meldung von Datenschutzverletzungen versäumt.
Die 72-Stunden-Regel
Gemäß Definition in Artikel 4 (12) DSGVO ist eine „‚Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“ Das Spektrum von Datenschutzverletzungen ist breit und beschränkt sich übrigens nicht auf die digitale Welt. Darunter fallen beispielsweise auch die Veröffentlichung personenbezogener Daten im Internet oder am schwarzen Brett, die unsachgemäße Entsorgung von Datenträgern und Unterlagen, der Missbrauch von Zugriffsrechten und die nicht ordnungsgemäße Vernichtung von Daten.
Der Datenverantwortliche einer Organisation gemäß Artikel 4 DSGVO ist laut Artikel 33 DSGVO verpflichtet, eine Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde zu melden. Dies muss (ebenfalls gemäß Artikel 33) „unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde“ erfolgen, „es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“
Inhalt der Meldung
Laut DSGVO muss eine Meldung einer Datenschutzverletzung zumindest folgende Informationen enthalten:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Können diese Informationen nicht vollständig innerhalb der angegebenen Frist bereitgestellt werden, kann der Verantwortliche dies schrittweise tun. Des Weiteren muss detailliert dokumentiert werden, was genau mit den Daten passiert ist. Außerdem müssen betroffenen Personen unverzüglich über eine Verletzung des Schutzes ihrer personenbezogenen Daten informiert werden, wenn diese voraussichtlich ein Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat.
Mehr als 1 Mrd. Euro an Bußgeldern wegen DSGVO-Verstößen
Organisationen, die die Meldepflichten bezüglich Datenschutzverletzungen nicht einhalten, drohen hohe Geldbußen. Für die besonders schweren, in der DSGVO unter Artikel 83 (5) aufgeführten Verstöße werden Geldbußen von bis zu 20 Mio. Euro oder von bis zu 4% des gesamten von der Organisation weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist.
Berichten zufolge wurden im vergangenen Jahr 434 Geldbußen im Volumen von insgesamt 1,3 Mrd. Euro wegen DSGVO-Verstößen verhängt.. Euro. Zu bedenken gilt es in diesem Zusammenhang auch, dass rund ein Drittel der Organisationen in Deutschland noch nicht ganz „DSGVO-Ready“ sind. Aus diesen Gründen ist es äußerst wichtig, die Anforderungen der DSGVO, einschließlich der Meldepflichten, genau zu kennen – nicht nur, um Geldbußen zu vermeiden, sondern auch, um personenbezogene Daten auf eine rechtskonforme Weise zu schützen, die die Interessen der Kunden und Geschäftspartner wahrt und den Ruf der Organisation sichert.
The views expressed herein are those of the author(s) and not necessarily the views of FTI Consulting, its management, its subsidiaries, its affiliates, or its other professionals.