Wann ein Datenverlust meldepflichtig wird (und wann nicht)

Eine Datenpanne muss gemeldet werden, wenn eine "Verletzung des Schutzes personenbezogener Daten" vorliegt und ein "Risiko für die Rechte und Freiheiten natürlicher Personen" besteht. Das betrifft Sicherheitsbrüche, die zu einer Vernichtung, einem Verlust, einer Veränderung oder einer unbefugten Offenlegung bzw. einem unbefugten Zugang zu personenbezogenen Daten geführt haben, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Die Meldung muss unverzüglich, spätestens jedoch binnen 72 Stunden nach Feststellung des Vorfalls an die zuständige Datenschutzbehörde erfolgen. In Hessen ist dies der Hessische Beauftragte für Datenschutz und Informationsfreiheit.

Eine Meldung ist nicht erforderlich, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Beispiele für Situationen, in denen keine Meldepflicht besteht, sind:

• Wenn Daten für eine gewisse Dauer offen im Internet einsehbar waren, aber nachweislich kein Zugriff stattfand (konkrete Belege wie Logfiles erforderlich).

• Wenn die Daten ohnehin öffentlich verfügbar sind oder wirksam verschlüsselt waren und daher kein Risiko besteht.

• Wenn der einzige Datenträger verloren wurde, aber wirksame Backups vorhanden sind.

Oft sind Datenverluste auf eine unbedachte Handlung zurückzuführen. Ein falscher Link ist schnell geklickt und die Folgen erst deutlich später Absehbar. Darum ist es wichtig einige Grundlagen zur Prävention zu schaffen. Es hängt im eigenen Ermessen der Geschäftsführung, wie weit diese allgemeinen Regeln im Handelsbetrieb umgesetzt werden.

1. Mitarbeitende sollten für die Risiken von Datendiebstahl sensibilisiert und in Sicherheitsverfahren geschult werden, um unbeabsichtigte Handlungen zu vermeiden 

2. Die Etablierung eines umfassenden Datenschutz-Managements, einschließlich IT-Sicherheit, Datensicherheitskonzepten und der Bestellung eines Datenschutzbeauftragten, kann dazu beitragen, Datendiebstahl zu verhindern und im Eintrittsfall schnell zu reagieren.

3. Verantwortliche Benennen und IT-Sicherheitsvorfälle proben , um den Ernstfall zu trainieren.

4. Die Implementierung von Zugriffsbeschränkungen und die Gewährung des minimal notwendigen Zugriffs auf Daten können das Risiko von Datendiebstahl verringern

5. Sichere Verbindungen und Archivierung: Die Nutzung sicherer Verbindungen, wie etwa Secure File Transfer Protocol (SFTP) und das regelmäßige Sichern und Archivieren von Daten sind wichtige Schutzmaßnahmen, um Datenverlust zu verhindern. Für die sichere Archivierung von Daten gibt es verschiedene Verfahren, die unter dem Namen Data Masking zusammengefasst werden. 

6. Überprüfung von Datenlecks: Die regelmäßige Überprüfung, ob persönliche Daten in Datenlecks enthalten sind, kann dabei helfen, frühzeitig auf einen möglichen Diebstahl von Daten aufmerksam zu werden. Eine einfache und erste Methode hierfür ist der kostenfreie Onlineservice: https://haveibeenpwned.com/

7. Updates und Patches automatisch durchführen, von Betriebssystem und Software.

8. Verbot der privaten Nutzung von Firmencomputern und Accounts.

9. Nur Dienstprogramme dürfen installiert werden, Software von Dritten ist zu verbieten.

Meldepflicht prüfen
□ Bei einer Verletzung des Schutzes personenbezogener Daten besteht eine Meldepflicht bei der zuständigen Aufsichtsbehörde, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko.

Tipp: Erste Hilfe erhalten Sie rund um die Uhr bei der Notfall-Hotline des Hessen Cyber Competence Center (H3C): o0611 353 9900

Rechtzeitigkeit der Meldung
□ Die Meldung muss unverzüglich, spätestens nach 72 Stunden nach Kenntnisnahme von den erheblichen Tatsachen, erfolgen.

□ Die Meldung an die Aufsichtsbehörde, in Hessen dem Hessischen Datenschutzbeauftragten. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Telefon: +49 611 1408-0 E-Mail: poststelle@datenschutz.hessen.de

Inhalt der Meldung
□ Die Meldung muss bestimmte Inhalte enthalten, wie die Art des Datenpanne, den Umfang der Daten, die Identifizierbarkeit der Betroffenen und die zu erwartenden Konsequenzen. Sind nicht alle Informationen sofort verfügbar, muss die Meldung schrittweise erfolgen, und fehlende Informationen sind nachzureichen.

Risikoabschätzung
□ Es muss eine Abschätzung des Risikosdurchgeführt werden, basierend auf Kriterien wie der Art des Datenpanne, dem Umfang der betroffenen Daten, der Identifizierbarkeit der Betroffenen und den zu erwartenden Konsequenzen.

Umgang mit eigenen Fehlern
□ Auch menschliches Versagen, das zu Datenpannen führt, muss berücksichtigt werden. Geeignete Schutzmaßnahmen sollten ergriffen werden, um menschliche Fehler zu vermeiden.

Dokumentation
□ Konkrete Belege wie Logfiles sind wichtig, um das Ausbleiben eines Zugriffs zu belegen. Im Zweifel ist davon auszugehen, dass eine Sicherheitslücke eine Datenpannebedeutet.

Technische und organisatorische Maßnahmen
□ Es sollte überprüft werden, ob die bestehenden Maßnahmen ausreichend sind und gegebenenfalls sollten diese angepasst werden.

Grenzüberschreitender Bezug
□ Bei EU-Auslandskunden müssen alle Aufsichtsbehörden informiert werden, in deren Zuständigkeitsbereich die Kunden ihren Wohnsitz haben.

Kundendaten können schnell in falsche Hände geraten. Etwa wenn ein Firmenlaptop in der Bahn vergessen oder ausversehen ein Ransomware-Link geklicktwird. Unternehmen müssen bei einem Datenleck unverzüglich, spätestens jedoch innerhalb von 72 Stunden, die Datenschutzbehörde informieren, wenn personenbezogene Daten betroffen sind und ein Risiko für Betroffene besteht. In Hessen ist der Hessische Beauftragte für Datenschutz zuständig. Ein Vorfall ist nicht meldepflichtig, wenn er keine Risiken für die Rechte der betroffenen Personen birgt. Unternehmen sollten in Sicherheitsmaßnahmen investieren, Mitarbeiter schulen und technische Lösungen wie SASE und ZTNA einsetzen, um solche Vorfälle zu verhindern. Im Falle einer Datenpanne sind eine Überprüfung der Meldepflicht, eine Risikoabschätzung, eine angemessene Reaktion und eine Dokumentation des Vorfalls notwendig.