Umgang mit Datenpannen nach Art. 33 DSGVO und ErwgGr.

HMDATA Datenschutz-Newsletter 05/2023, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Die Einschläge kommen näher - das aktuell äußerst aggressive Cyber-Umfeld spürt schonungslos die Schwächen der eigenen IT auf. Aber auch die zunehmende Digitalisierung und die Automatisierung der Prozesse erhöht schlicht und einfach die Eintrittswahrscheinlichkeit von Datenpannen, wenn man nicht mit eigenem Know-How Schritt hält und den "Stand der Technik" nach Art. 25 Abs. 1 DSGVO erfüllt.
Dazu gehört auch die intensive Schulung und Sensibilisierung der Mitarbeiter für die IT-Sicherheit und sichere Nutzung digitaler Medien, Betriebssystemen, Anwendungssoftware und IT-Endgeräte. Das Motto "wird schon gut gehen" hat seit Anfang 2022 Monaten definitiv ausgedient, zumal man sich nicht auf einem einmal durchgeführten Sicherheits-Audit ausruhen kann sondern kontinuierlich die Systeme und Software überprüfen und sich über aktuelle Sicherheitsanforderungen informieren muss.

Man kann also hervorragend durch Prävention und Sensibilisierung eine Cyber-Schutzmauer aufbauen, die den gängigen Cyber-Attacken Stand hält. Letztlich wissen aber alle, dass es eine 100%ige Sicherheit nicht gegeben kann, vor allem nicht aus betriebswirtschaftlicher Sicht.

Und somit kommt zwangsläufig: die Datenpanne.

Welche Datenpannen können meinen Betrieb treffen?

Eigentlich gilt es, mit einer ausreichend hohen digitalen Schutzmauer unterhalb des "Hacker-Radars" zu fliegen, also keine Schwachstellen nach außen erkennbar zeigen.
Bei den "Hard-Targets" heißt das, eine professionelle und überwachte aktuelle Firewall und ein aktuelles Update-Management aller betriebenen IT-Systeme (also auch Mobile Endgeräte, Peripherie, Netzwerktechnik, Drucker, Scanner, VoIP-Telefonanalge, IoT-Geräte usw.) und insb. der Server-Betriebssysteme.
Und bei den zunehmenden Attacken auf die "Soft-Targets" - also Mitarbeiter - heißt dies Prävention durch ständige Schulung und Sensibilisierung.

Aus der langjährigen empirischen Erfahrung mit unzähligen Datenpannen sind also die Top-5 der häufigsten Datenpannen:

• ausgehende E-Mails (falsche Daten an falsche Empfänger, bspw. durch Auto-Vervollständigen-Funktion von Outlook)
• eingehende E-Mails (Schadcode, Fake-President, Phishing)
• mangelnde Updates
• veraltete bzw. nicht gewartete IT-Systeme
• fehlendes Update-Management

Grundsätzlich ist bei einer Datenpanne aber immer die Schwere zu betrachten, es geht nach ErwgGr. 85 um "...

einen physischen, materiellen oder immateriellen Schaden für natürliche Personen ..., wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person."

Warum sollte ich auf Datenpannen vorbereitet sein?

Grundsätzlich gilt natürlich: jede durch Prävention vermiedene Datenpanne ist hilfreich. Trotzdem ist kein Betrieb vor Datenpannen sicher.
Die Erfahrung besagt aber, dass Betriebe, die ein Incident-Management betreiben, Notfallpläne vorhalten, einen professionellen IT-Dienstleister haben oder auf die Unterstützung eines Cyber-Versicherers sind, klar einen Vorteil haben.
Zum einen vermeidet dies den berühmten "Hühnerhaufen" falls eine Datenpanne einen Betrieb unvorbereitet trifft, zum anderen liefert eine gute Vorbereitung das Wichtigste Gut bei der Bewältigung einer Datenpanne: Zeit.

Die ist nicht nur zur Eindämmung des Schadens wichtig, sondern auf Grund von Art. 33 Abs. 1 Satz 1 DSGVO mit kurzen Fristen zur Pflichtmeldung versehen:

"Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde ..."

Die Meldepflicht kann nach Satz 2 "Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen." auch ausgesetzt werden, allerdings muss zuvor eine Begründung der Nichtmeldung und vor allem eine Einschätzung durch den Verantwortlichen (Inhaber, Geschäftsführer, Vorstand) getroffen werden "... dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt ...".

Das ist nur möglich, wenn man zeitnah zur Feststellung der Datenpanne einen umfangreichen und genauen Überblick über das Ausmaß der Datenpanne erhält, was ohne Vorbereitung oft schlicht nicht möglich ist. Der Umfang der Meldung ist ebenso kein Wunschkonzert, auch hier sind die formalen Kriterien nach Art. 33 Abs. 3 DSGVO einzuhalten - was ohne Vorbereitung ebenfalls vermutlich nicht korrekt durchgeführt wird.
Natürlich kann man den genauen Schadenverlauf und -hergang der Datenpanne nach Art. 33 Abs. 4 auch Nachmelden, wichtig ist dann diese nach der Erstmeldung nachzureichen, sobald genauere Informationen vorliegen.

Und ganz wichtig: das Melden einer Datenpanne führt auf Grund der in der DSGVO geregelten Selbstbelastungspflicht durch die Meldung nie zu einem Bußgeld - außer, der Inhalt der Meldung offenbart grundlegendere und weitere Verstöße (bspw. "E-Mail-Fehlversand, weil die Mitarbeiter nicht geschult sind" führt nicht zu einem Bußgeld wegen des E-Mail-Fehlversandes, sondern auf Grund der Pflichtverletzung bei der Mitarbeiter-Qualifizierung)
Den Behörden geht es nicht um "Abzocke", sondern um einen statistischen Überblick über die Datenpannen in Unternehmen und ggf. auch Hilfestellung zur Prävention.

Wann muss ich melden?

Die Entscheidung über die Meldung einer Datenpanne trifft alleine der Verantwortliche. ErwgGr. 87 Satz 1 gibt an:

"Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbehörde und die betroffene Person umgehend unterrichten zu können."

Es sollten hierbei "... die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen für die betroffene Person berücksichtigt werden."

Insofern ist also jeder einzelne Fall gesondert zu betrachten, es kommt immer auf die Art der Daten an, die Anzahl der Betroffenen, den Umfang der kompromittierten Daten, die Art der Offenlegung, den Datenpannenhergang, usw.
Sollte daraus die Erkenntnis erfolgen, dass eine Meldung nicht zu erfolgen hat, muss nach Art. 33 Abs. 5 trotzdem dokumentiert werden.
Dies dient natürlich zur Erfüllung des administrativen Zweckes, viel mehr ist es aber das wichtigste Hilfsmittel um innerbetrieblich Rückmeldung auf die Qualität der Dienstleistung zu erhalten und das Mitarbeiter-Team präventiv für die Zukunft zu sensibilisieren.