Datenpanne – was Du jetzt tun musst!

Datenpanne: Was tun? Hilfreiche Tipps im Fall der Fälle

Ob durch Cyberkriminalität, unsachgemäßen Umgang oder technische Mängel – der weltweite Schaden aufgrund von Datenpannen steigt seit 2011 kontinuierlich an. Je größer das Unternehmen oder die Organisation, desto mehr Schaden entsteht dabei durchschnittlich. Gleichzeitig sind die Bestimmungen zum Umgang mit personenbezogenen Daten durch die Einführung der Datenschutz-Grundverordnung (DSGVO) strenger geworden, unter anderem durch eine Meldepflicht bei den Datenschutzbehörden. Doch wann liegt überhaupt eine meldepflichtige Datenpanne vor – und wie gehen Sie in Ihrem Unternehmen damit um?

Nach einer Untersuchung des amerikanischen Ponemon Institutes im Auftrag von IBM sind die Schadenssummen im Gesundheitssektor am größten: Durchschnittlich ist dort im Jahr 2022 pro Datenpanne ein Schaden von umgerechnet rund 9,1 Millionen Euro entstanden. Auch die Bereiche Finanzen, Technologie, Dienstleistungen und Industrie sind stark betroffen. Hier entstehen im Schnitt zwischen umgerechnet vier und 5,5 Millionen Euro Schaden pro Panne. Beträge, die viele Unternehmen schlichtweg ruinieren können.

Wie genau eine Datenpanne definiert ist, wie Sie sich in einem solchen Fall verhalten und wann Unternehmen für Datenpannen haften müssen, erfahren Sie in diesem Artikel.

 

Was ist eine Datenpanne?

Datenpannen kommen in Unternehmen häufiger vor, als bekannt ist. In der Vergangenheit blieben viele davon allerdings ohne Reaktion – seitens der Mitarbeiter:innen oder sogar der Unternehmensführung. Das Bewusstsein oder das technische Verständnis dafür fehlte, wann überhaupt eine Datenpanne vorliegt.

Gleichzeitig sah die EU-Datenschutzrichtlinie von 1995 bis in das Jahr 2018  weniger strenge Sanktionen beim laxen Umgangs mit sensiblen Daten vor, wie zum Beispiel mit denen von Kund:innen. Zudem mussten die Mitgliedsstaaten die Richtlinie erst in nationale Gesetze übertragen, was Deutschland im Rahmen des Bundesdatenschutzgesetzes nur unzureichend umsetzte.

Die Einführung der EU-weiten Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 ist hingegen EU-weit bindend. Seitdem hat sich das Bewusstsein für und der Umgang mit Datenpannen verbessert. Dies liegt unter anderem daran, dass die Regelungen erheblich schärfer sind, nach denen Unternehmen oder andere Organisationen mit personenbezogenen Daten umgehen dürfen.

Nun drohen ernsthafte juristische und finanzielle Konsequenzen, wenn ein Unternehmen oder eine andere Organisation die Bestimmungen der DSGVO und Maßnahmen zur Data Loss Prevention, also dem Schutz vor Datenverlust, nicht ernst nehmen.

Zu diesem Zweck definiert die DSGVO sehr deutlich, wann eine Datenpanne vorliegt. Eine Datenpanne ist eine

„Verletzung des Schutzes personenbezogener Daten“: eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“ Artikel 4, Nummer 12, Datenschutz-Grundverordnung.

Dabei ist allerdings nicht automatisch jede Datenpanne im Sinne der DSGVO relevant. Kommt es zur versehentlichen Weitergabe oder Veröffentlichung von nicht personenbezogenen Daten, bleibt dies in Bezug auf die DSGVO rechtlich ohne Konsequenzen.

Gleichwohl kann es andere finanzielle und juristische Auswirkungen nach sich ziehen, die ebenso geschäftsschädigend sein können. Beispiele dafür sind die versehentliche Veröffentlichung von in der Entwicklung befindlichen Produkten oder die Weitergabe von internen Informationen bei der Zusammenarbeit mit Geschäftspartnern.

Beispiele für Datenpannen

Übliche Datenpannen sind unter anderem:

  • die unverschlüsselte Weiterleitung von Daten in E-Mails oder anderen Systemen, wie etwa im Customer-Relationship-Management (CRM),
  • die bewusste oder versehentliche Veröffentlichung personenbezogener Daten,
  • der Datenverlust durch ein entwendetes oder verlorenes Speichermedium (wie Speicherkarten, USB-Sticks, Festplatten),
  • die missbräuchliche Verwendung von Zugriffsrechten,
  • der unberechtigte Zugang zu Unternehmensdaten durch Dritte,
  • der Zugriff auf Daten durch Cyberkriminelle, wie etwa durch Schadsoftware oder Phishing-Angriffe,
  • die fehlerhafte Löschung beziehungsweise Entsorgung von Speichermedien.

 

Bis wann müssen Sie einen Datenschutzvorfall melden?

Wenn es in Ihrem Unternehmen zu einer Datenpanne gekommen ist, besteht dann eine Meldepflicht, wenn ein möglicher Verlust personenbezogener Daten vorliegt. Laut DSGVO greift in diesem Fall eine generelle Meldepflicht. Das Gesetz schreibt in diesem Zusammenhang vor, dass Sie die Datenverletzung im besten Fall sofort, aber spätestens binnen 72 Stunden der zuständigen Aufsichtsbehörde melden müssen. Nur in begründeten Ausnahmefällen ist dies auch später möglich.

Für die Meldung einer Datenpanne in Unternehmen und Organisationen haben die meisten Landesbehörden für Datenschutz entsprechende Online-Formulare eingerichtet. Dort müssen Sie neben dem Namen Ihres Unternehmens und entsprechender Ansprechpartner:innen vor allem die Art und den Zeitpunkt der Datenpanne melden. Auch die Anzahl der möglicherweise von der Datenschutzverletzung betroffenen Personen sowie gegebenenfalls bereits von Ihnen ergriffene Gegenmaßnahmen müssen Sie hier angeben.

Die Meldung ist damit jedoch noch nicht abgeschlossen. Sie als verursachendes Unternehmen können das Ausmaß einer Datenschutzverletzung zu diesem Zeitpunkt möglicherweise noch nicht vollends abschätzen. Aus diesem Grund erhalten Sie nach Abgabe der Meldung in der Regel ein Aktenzeichen, unter dem Sie zu späteren Zeitpunkten ergänzende Angaben bei der Behörde vornehmen können.

Wichtig zu wissen: Im Fall eines besonders hohen Risikos der Datenpanne müssen Sie auch die betroffenen Personen über den Vorfall informieren. Die DSGVO schreibt dies zum Beispiel in Fällen vor, in den Cyberkriminelle Zugriff auf Namen, Passwörter oder andere Daten von Kund:innen hatten. Auch hier müssen Sie den Betroffenen die Kontaktdaten der zuständigen Person für Datenschutz in Ihrem Unternehmen und einer weiteren Anlaufstelle nennen. Daneben sollten Sie eine möglichst genaue Beschreibung des Vorfalls sowie möglicherweise daraus resultierende Konsequenzen schildern.

Was passiert, wenn ein Unternehmen eine Datenpanne nicht meldet?

Die oben genannten Maßnahmen zur Meldung einer Datenpanne sind zwingend vorgeschrieben. Beim Versäumnis einer Meldung droht Unternehmen ein Bußgeld von bis zu 20 Millionen Euro oder bis zu zwei Prozent des weltweiten Vorjahresumsatzes. Die Höhe richtet sich nach der Schwere, der Art und der Dauer des Vorfalls sowie dem Grad an Fahrlässigkeit oder gegebenenfalls Vorsatz vonseiten des verursachenden Unternehmens (DSGVO, Art. 83, Nr. 4).

Darüber hinaus haften Sie als Unternehmen für alle weiteren materiellen und immateriellen Schäden, die den Betroffenen entstehen. Dies können neben anderen, vielleicht sogar sehr großen Unternehmen auch enorm viele Einzelpersonen sein, etwa beim Verlust von Kundendaten. Nehmen Sie eine Datenpanne und die geschilderten Fristen also keinesfalls auf die leichte Schulter.

 

So verhalten Sie sich im Fall einer Datenpanne

Wie erwähnt ist nach der Entdeckung einer Datenpanne schnelles Handeln gefragt und sogar gesetzlich vorgeschrieben. Diese Maßnahmen sollten Sie konkret ergreifen, wenn in Ihrem Unternehmen eine Datenpanne entdeckt worden ist:

  • Analyse: Welche Systeme sind genau betroffen? Sind durch die Datenpanne die Persönlichkeitsrechte Dritter verletzt worden? Welche Schäden sind den Betroffenen möglicherweise schon entstanden? Können Sie diese Fragen nicht genau beantworten, ziehen Sie am besten externe Datenschutzexpert:innen hinzu.
  • Gegenmaßnahmen: Unmittelbar folgend auf die Analyse sollten Sie dringend Schritte unternehmen, um das Datenleck zu schließen und mögliche Rechtsverletzungen zu beenden. Damit können unterschiedliche Maßnahmen einhergehen, die Ihre IT-Verantwortlichen koordinieren sollten: mit den von den Maßnahmen betroffenen Mitarbeiter:innen sowie im Zweifelsfall mit Dienstleistern wie etwa Ihren Internet-Providern und Cloud-Hosting-Anbietern.
  • Meldepflicht überprüfen: Klären Sie mit externen Datenschutzbeauftragten, ob aufgrund der Datenpanne eine Meldepflicht vorliegt, weil etwa Persönlichkeitsrechte verletzt wurden.
  • Meldung: Falls dies der Fall ist, melden Sie die Panne innerhalb von 72 Stunden der zuständigen Datenschutzbehörde Ihres Bundeslandes. Mehr zum Ablauf einer Meldung haben Sie bereits weiter oben erfahren.
  • Evaluation: Wenn die Sofortmaßnahmen abgeschlossen sind, sollten Sie die Vorkommnisse intern aufarbeiten. Beziehen Sie sämtliche interne Verantwortliche und Betroffene sowie idealerweise auch externe Datenschutzexpert:innen in diesen Prozess ein. Analysieren Sie, aus welchem Grund es zu einer Datenpanne kommen konnte.
  • Konsequenzen: Je nach Ausgang der Evaluation sollten Sie sicherstellen, dass sich künftig keine derartigen Vorfälle wiederholen. Die Gründe für die Datenpanne können viele Ursachen haben und entsprechend unterschiedliche Konsequenzen nach sich ziehen. Mithilfe einer externen Beratung könnten Sie beispielsweise die Datensicherheit in Ihrem Unternehmensnetzwerk verbessern, etwa durch Zwei-Faktor-Authentifizierung (2FA) und ein Zero-Trust-Konzept. Lagen der Datenpanne menschliche Fehler zugrunde, empfehlen sich Sicherheitsschulungen für Ihre Belegschaft. Auch das Hinzuziehen von zusätzlicher Datenschutz- und Security-Expert:innen in Ihre täglichen Geschäftsprozesse kann nützlich sein; falls Sie festgestellt haben, dass es Ihrem Unternehmen daran mangelt. Diese simulieren zum Beispiel im sogenannten Threat Modeling, welche Gefahren Ihrer IT-Architektur drohen. Generell sind aber sämtliche dieser Maßnahmen empfehlenswert, um Datenpannen möglichst komplett zu verhindern.
  • Welche rechtlichen Konsequenzen kann eine Datenpanne nach sich ziehen?

    Datenpannen können für Unternehmen wie erwähnt schwerwiegende Konsequenzen zur Folge haben. Die verpflichtende Meldung an die Datenschutzbehörden bedeutet bereits, dass ein Unternehmen oder eine Organisation DSGVO-relevante Versäumnisse einräumt, die automatisch auch juristische Auswirkungen haben. Welche dies konkret sind, hängt vom Einzelfall ab, bei dem unterschiedliche Faktoren eine Rolle spielen.

    Einheitliche Bestrafungen durch den Gesetzgeber lassen sich nicht nennen, da diese von grundlegenden Umständen abhängen:

    • Handelt es sich um eine fahrlässige oder bewusste Datenschutzverletzung?
    • Welche Folgen hat die Datenpanne für die Betroffenen?
    • Wie schnell und wie detailliert hat der Verursacher, also das Unternehmen oder die Organisation, mit den Datenschutzbehörden kooperiert?

    Die reinen Bußgelder auf Basis dieser Faktoren fallen meist in den vier- bis fünfstelligen Bereich. Sie allein können für kleine Unternehmen bereits existenzbedrohend sein. Die Folgewirkungen einer Datenpanne können aber auch für größere Firmen gravierend ausfallen.

    Zunächst kommen Regressforderungen der Geschädigten auf die Verursacher von Datenpannen zu, für die diese in der Regel aufkommen müssen. In manchen Fällen kann zwar die Haftpflichtversicherung Ihres Unternehmens den Schaden regulieren – handelt es sich allerdings um Fahrlässigkeit oder gar Vorsatz, können Sie keine Kompensation seitens der Versicherung erwarten.

    Daneben spielen aber auch weiche Faktoren eine Rolle, die sich nur schwer beziffern lassen. Zum Beispiel kann der Ruf des Unternehmens oder der mit diesem assoziierten Marken Schaden nehmen. Ein Vertrauensverlust vonseiten der Kund:innen kann in der Folge zu erheblichen Umsatzeinbußen und sogar zu einer langfristigen Schädigung des gesamten Unternehmens führen.

    Sollte es in Ihrem Unternehmen tatsächlich zu einer Datenpanne kommen, gehen Sie im Idealfall stets transparent gegenüber Behörden, Geschädigten und Kund:innen damit um. Versuchen Sie hingegen, Datenpannen zu verschleiern, schadet Ihnen dies im Zweifel langfristig sogar noch mehr als die konkreten Auswirkungen des Datenlecks an sich.

    In einem umfangreichen Ratgeber haben wir Ihnen gemeinsam mit der Expertin Sarah Elßer von Tech Well Told zusammengestellt, wie Sie die Cyber-Sicherheit in Ihrem Unternehmen signifikant erhöhen können.

Datenpannen: Das Wichtigste in Kürze

    • Datenpannen verursachen in vielen Wirtschaftsbereichen große Schäden. Pro Vorfall entstehen im Durchschnitt rund fünf Millionen Euro Schaden, was für viele Unternehmen existenzbedrohend sein kann.
    • Nach der Datenschutzgrundverordnung (DSGVO) liegt dann eine Datenpanne vor, wenn die Sicherheit von personenbezogenen Daten verletzt wurde; egal ob Ihr Unternehmen diese übermittelt, gespeichert oder anders verarbeitet hat.
    • Beispiele für Datenpannen sind die unverschlüsselte Übermittlung von Kundendaten über das Internet, die Veröffentlichung von personenbezogenen Daten sowie der Verlust von Speichermedien mit entsprechendem Inhalt.

Quelle:

https://www.vodafone.de/business/featured/digitales-business/digitale-geschaeftsprozesse/datenpanne-was-tun-hilfreiche-tipps-im-fall-der-faelle/