Datenschutz

Datenschutzverletzungen: Ursachen und mögliche Gegenmaßnahmen

22.07.2022

IITR Information[IITR – 22.07.22] „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der (…) zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ (Art. 33 Abs. 1 DSGVO)

Das Thema Datenschutzverletzung stellt für viele Unternehmen weiterhin einen Sonderfall dar, denn oftmals wird – mangels besseren Wissens – zu langsam oder falsch agiert. Durch die klare Frist von grundsätzlich 72 Stunden wurde jedoch seitens des Gesetzgebers ein Rahmen vorgegeben, der wenig Raum für Improvisation bietet. Es ist daher geboten, interne Prozesse zu implementieren, die gewährleisten, dass die Informationen an die richtige Stelle innerhalb des Unternehmens weitergeleitet werden, die wiederum weiß, wie und was kommuniziert werden sollte und wo sie gegebenenfalls weitere Hilfestellungen erfragen kann.

Nach der seit mehr als vier Jahren geltenden EU-Datenschutzgrundverordnung wird von deutschen Aufsichtsbehörden vorausgesetzt, dass sich derartige Prozesse bestmöglich etabliert haben und Mitarbeiter und Führungsebene wissen, was zu tun ist. Den Weg zu diesem Punkt bieten beispielsweise praxisnahe Schulungen, denn so kann es gelingen, dass der vorgegebene Prozess in Fleisch und Blut übergeht.

Mit der reinen Meldung ist es jedoch nicht getan, denn es wird zudem von Behördenseite erwartet, dass das Unternehmen entsprechende Maßnahmen zum Zeitpunkt der Meldung bereits getroffen hat, um einerseits das Ausmaß des Vorfalls so gering wie möglich zu halten und andererseits um einen erneuten Vorfall dieser Art vermeiden zu können.

Die Datenschutzaufsichtsbehörde als Ratgeber

Die Datenschutzaufsichtsbehörde aus Sachsen-Anhalt hat nun ein Kurzpapier veröffentlicht, dass die verschiedenen Ursachen von Datenschutzverletzungen aufzählt und hierfür entsprechende Maßnahmen angedeutet, die den Unternehmen ein nützliches Werkzeug an die Hand geben, in welchen Fällen wie agiert werden muss. – Selbstverständlich sind die aufgezeigten Maßnahmen nicht abschließend und sollten von Fall zu Fall ergänzt oder intensiviert werden.

Fehlversand von E-Mails

Nahezu ein Klassiker unter den Datenschutzverletzungen ist die E-Mail, die fälschlicherweise an den falschen Empfänger versendet wurde. Besonders datenschutzrechtlich relevant sind solche Mails immer dann, wenn diese oder der Anhang personenbezogene Daten beispielsweise anderer Kunden enthalten.

Die Aufsichtsbehörden erwarten in solchen Fällen, dass der Fehladressat umgehend zum Löschen aufgefordert wird und man sich diese Löschung bestätigen lässt.

Auf die Zukunft gerichtet, sollte darauf hingewiesen werden, wo möglich die Antwortfunktion bzw. ein elektronisches Adressbuch zu nutzen. Außerdem könne man die Anlagen oder idealerweise die gesamte E-Mail verschlüsseln. Im Übrigen sei auch eine Nachrichtenabwicklung über webbasierte Kundenportale denkbar.

Abhandenkommen elektronischer Datenträger

Deutlich seltener sollte es vorkommen, dass komplette Datenträger verloren gehen oder gestohlen werden. Aber auch in solchen Fällen gilt es entsprechende Maßnahmen zu ergreifen.

Um schlimmeres zu verhindern könnte – soweit möglich – eine umgehende Fernlöschung vorgenommen werden. Außerdem könne man die Mitarbeiter sensibilisieren und bei Straftatverdacht eine polizeiliche Anzeige erstatten.

Präventiv für zukünftige Fälle solle Verschlusssicherheit hergestellt werden, jeglicher Datenträger möglichst verschlüsselt werden und eine Regelung dazu getroffen werden, wie mit Datenträgern umzugehen sei. Außerdem sollten Daten aus einem Backup wiederherstellbar sein.

Entsorgung von Unterlagen im (Papier-)Müll

Was wiederum häufiger vorkommt: Man schließt eine Anfrage oder ähnliches ab und der Notizzettel oder ausgedruckte Kundeninformationen landen im normalen (Papier-)Müll anstatt im Schredder.

Sollte dies passieren, so seien die Unterlagen sofern möglich sofort sicherzustellen, um entsprechend konform entsorgt zu werden.

Dafür müssten datenschutzkonforme Entsorgungsmöglichkeiten implementiert worden sein, wovon die Mitarbeiter Kenntnis haben und diese wissen, dass sie gegebenenfalls besondere Vernichtungsanforderungen prüfen und einhalten müssen.

Verschlüsselung von Dateien durch Angreifer

Das oftmals als „worst case“ bezeichnete Szenario des externen Angriffs, der ganze Systeme lahmlegen kann, schwebt als große Unbekannte über vielen Unternehmen, wobei diese bis zum Ernstfall nicht wissen, wie damit umzugehen ist.

Als Anhaltspunkte rät die Aufsichtsbehörde, bei Bemerken des Angriffs die Rechner sofort vom Netz zu trennen – jedoch nicht auszuschalten, um mögliche Spuren nicht zu verwischen, die Aufklärung über die Art des Angriffs und Schwachstellen bieten können. Sollten diese identifiziert und analysiert worden sein, so seien daraus entsprechend Konsequenzen zu ziehen, die befallenen Rechner bzw. Systeme neu zu installieren und gegebenenfalls Daten aus dem Backup wiederherzustellen.

Um solchen Angriffen bestmöglich vorzubeugen, seien detaillierte Regelungen zum Umgang mit eingehenden Dateien, E-Mailanlagen etc. zu schaffen. So seien E-Mail-Anhänge und Links nur dann zu öffnen oder anzuklicken, wenn Absender und Anhang plausibel erscheinen. Zudem sei ein Rechte- und Rollenmanagement zu implementieren, um Zugriffsrechte in der Art zu gestalten, dass lediglich ein möglichst beschränkter Datenumfang betroffen sei. Außerdem sei der Virenschutz aktuell zu halten und regelmäßig das System und seine Anwendungen zu patchen.

Eine Auflistung weiterer Beispiele findet sich hier (PDF).

Fazit

Die Aufsichtsbehörde aus Sachsen-Anhalt hat mit diesem Kurzpapier ein nützliches Werkzeug geschaffen, das für viele Unternehmen eine Grundlage zum Erarbeiten eigener individuell angepasster Konzepte bei Datenschutzverletzungen bieten kann. Viele Aspekte sind sicherlich bekannt oder beruhen auf gesundem Menschenverstand, so dass sie manchem gar unnötig vorkommen. In der Extremsituation einer Datenschutzverletzung sind jedoch gerade die einfachsten Anweisungen und Hilfestellungen am effizientesten und effektivsten, um den Schaden für Unternehmen so gering wie möglich zu halten.

Michael Wehowsky

Über den Autor - Datenschutzbeauftragter Michael Wehowsky

Herr Michael Wehowsky ist zertifizierter Datenschutzbeauftragter (udis) und zertifizierter Berater im Datenschutzrecht (FernUniversität Hagen). Darüberhinaus ist er Certified Information Privacy Professional Europe (CIPP/E) und Certified Information Privacy Technologist (CIPT), jeweils durch die iapp. - In seiner Funktion als Teil des Beratungsteams unterstützt er Unternehmen verschiedenster Ausrichtung und Größe im Datenschutz in deutscher, englischer und italienischer Sprache.

Beitrag teilen:

0 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot