NEWS 01.10.2021

Datenvorfälle häufen sich – auch befeuert durch die Pandemie haben sich Delikte in diesem Bereich vermehrt. Die stark voranschreitende Digitalisierung ist ein wesentlicher Treiber. Aber was muss ein Unternehmen beachten, wenn ein Data Breach bzw. Datenvorfall passiert?

01.Oktober 2021, secriso Consulting

Grundsätzlich werden alle Ereignisse, die eine „Verletzung des Schutzes personenbezogener Daten“ und insbesondere einen Abfluss von personenbezogenen Daten mit sich bringen, als Datenpanne bzw. Data Breach bewertet. Dabei spielt es keine Rolle, ob der Vorfall wegen eines internen technischen oder organisatorischen Fehlers, durch den Fehler eines Mitarbeiters oder bewusst durch einen Angreifer geschah - es gilt generell: Besteht der Verdacht eines Vorfalls, der zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, muss er umgehend datenschutzrechtlich bewertet werden.

Bereits im Vorfeld gilt es dabei, einen Verantwortlichen für die Durchführung - optimalerweise einen Datenschutzbeauftragten – für die Behandlung solcher Vorfälle zu definieren und die Mitarbeiter entsprechend zu schulen, sodass Datenschutzvorfälle auch tatsächlich rechtzeitig entdeckt werden können.

 

Kommt es nun zu einer Datenpanne, so sollte vom Verantwortlichen im ersten Schritt eine zeitliche Dokumentation sämtlicher Aktivitäten (Timeline) für die spätere Nachvollziehbarkeit und für die Feststellung, ob eine Meldepflicht vorliegt, durchgeführt werden. Ab Bekanntwerden der Datenpanne muss eine Meldung unverzüglich bzw. binnen 72 Stunden an die Datenschutzbehörde erfolgen.

 

Ziel muss es sein, die zeitliche Abfolge des Vorfalls zu bestimmen und folgende Fragen zu klären:

  • Wann fand der Vorfall statt?

  • Ist der Vorfall inzwischen beendet?

  • Wie wurde der Vorfall bemerkt?

 

Wichtig: Unabhängig davon, ob eine Meldepflicht vorliegt, besteht jedenfalls eine Dokumentationspflicht des Vorfalls.

Sind diese ersten grundlegenden Informationen eingeholt, muss so rasch wie möglich identifiziert werden, ob personenbezogene Daten von dem Vorfall betroffen sind oder waren (z.B. handelt es sich um besondere Kategorien wie Gesundheitsdaten, sind es Namensdaten etc.?). Auch die Anzahl der Betroffenen und die Anzahl der betroffenen personenbezogenen Datensätze ist von Bedeutung und muss miterfasst werden. Ebenso ist zu erheben, welche Kategorien von Betroffenen in den IT-Systemen in den Vorfall involviert sind – das dient auch dazu, um festzustellen, ob es sich um besonders schutzbedürftige Personen wie z.B. Kinder handelt.

 

Es macht jedenfalls Sinn, sämtliche Systeme und Geschäftsprozesse, die in den Vorfall involviert sind, zu eruieren. Auch gilt es festzustellen, ob weitere Verantwortliche oder Dritte in den Vorfall verwickelt sind. Dabei ist es hilfreich einen Blick in das Verarbeitungsverzeichnis zu werfen, zumal Sie hier entsprechende Datenübermittlungen dokumentiert haben sollten. Sind weitere Verantwortliche oder Dritte betroffen, so sind diese zu informieren und sie müssen gegebenenfalls ebenso den Vorfall bewerten und Maßnahmen ergreifen. Auch Auftragsverarbeiter müssen hier in die Pflicht genommen werden.

 

Bei der Dokumentation der Datenpanne muss die Art des Vorfalls bestimmt werden, d.h. betrifft der Vorfall die Schutzziele Vertraulichkeit (Daten wurden bspw. gestohlen oder verloren), Integrität (Daten wurden verfälscht) oder Verfügbarkeit (Daten wurden vernichtet oder verloren)? Ebenso sollte beschrieben werden, wie sich der Vorfall abgespielt hat und welche Auswirkungen es gab bzw. welche noch zu erwarten sind. Zudem müssen die bereits getroffenen und noch umzusetzende Gegenmaßnahmen beschrieben und dokumentiert werden. Insbesondere auf die exakte Dokumentation ist dabei vom Verantwortlichen zu achten, denn im Falle einer Meldung oder Nachfrage der Datenschutzbehörde sollte der Vorgang möglichst lückenlos beschrieben und dokumentiert werden.

 

 

Mit den jetzt vorliegenden Informationen können die Risiken für Rechte und Freiheiten des Betroffenen bewertet werden. Das bedeutet, dass jetzt evaluiert werden kann, wie sich die Datenpanne auf die betroffenen Personen auswirkt. Dazu werden folgende Kriterien herangezogen:

  • materielle Auswirkungen (z.B. Kreditkarteninformationen könnten gestohlen worden sein und die Karte belastet werden),

  • physische Auswirkungen (z.B. ist die Integrität – also Richtigkeit der Daten – bei Patienten nicht sichergestellt und es könnte daher zu Behandlungsfehlern in einem Krankenhaus kommen) oder

  • immaterielle Auswirkungen (z.B. werden sensible private Informationen von Betroffenen veröffentlicht, deren Veröffentlichung den Betroffenen im Ansehen schadet). Die möglichen Auswirkungen wurden in den gewählten Beispielen bewusst hoch gewählt, um die Risiken für die Betroffenen gut darstellen zu können.

 

Wird nach der Bewertung kein Risiko oder kein hohes Risiko für den Betroffenen festgestellt, so besteht zwar grundsätzlich keine Meldepflicht, jedoch muss auch diese Entscheidung dokumentiert werden . Werden jedoch Risiken für den Betroffenen identifiziert, so gilt:

  • Risiken für die Rechte und Freiheiten natürlicher Personen müssen der zuständigen Datenschutzbehörde gemeldet werden

  • Bei hohen Risiken für die Rechte und Freiheiten natürlicher Personen müssen zusätzlich werden müssen werden

 

Wichtig dabei ist es auch, die bestehende Meldefrist von maximal 72 Stunden ab Bekanntwerden des Vorfalls einzuhalten.

Da Frist von maximal 72 Stunden oft für Unternehmen knapp bemessen ist, ergibt sich oft die Frage, ab wann hat man einen Datenvorfall tatsächlich festgestellt und ab wann läuft somit die Frist?

 

Die Artikel-29-Datenschutzgruppe meint dazu, gemäß ihren Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten, dass dem Verantwortlichen hier eine gewisse Zeitspanne zusteht, um zu überprüfen, ob es tatsächlich zu einer Datenschutzverletzung gekommen ist, ohne dass die 72-stündige Meldefrist bereits zu laufen beginnt. Dabei wird festgelegt, dass die Frist erst einsetzt, wenn der Verantwortliche hinreichende Gewissheit darüber erlangt hat, dass tatsächlich von einer Datenpanne gesprochen werden kann. Somit kann der Vorfall noch genauer untersucht werden, bevor die Meldefrist zu laufen beginnt - die Prüfung muss jedoch zügig geschehen und - wie oben beschrieben - umfassend dokumentiert werden.

 

WICHTIG: Bei grenzüberschreitenden Datenpannen ist nicht immer die österreichische Datenschutzbehörde für österreichische Verantwortliche zuständig, sondern die federführende Aufsichtsbehörde. Eine diesbezügliche Prüfung ist empfehlenswert.

 

Fazit – Was ist nun wichtig für Unternehmen bzw. Verantwortliche?

  • Die Mitarbeiter müssen in der Lage sein, eine Datenpanne schnellstmöglich zu erkennen. Dies wird in erster Linie durch Schulungen erreicht werden.

  • Für die Behandlung von Datenpannen müssen innerhalb der Organisation entsprechende Kompetenzen vorliegen, die auch bspw. von einem externen Datenschutzbeauftragten erfüllt werden können. Solche Kompetenzen wären: Datenpanne erkennen, Ermittlungen koordinieren, Beweise sichern, Dokumentation lückenlos vornehmen, Zeitmanagement, Risikobeurteilung etc.

  • Die Verantwortlichkeiten zur Behandlung eines Datenvorfalls müssen im Vorfeld geklärt sein.

  • Das Erfordernis einer Meldung an die Datenschutzbehörde muss beurteilt und festgestellt werden und eine umfassende Meldung ist schnellstmöglich abzugeben um Fristen einzuhalten.

  • Im Hinblick auf Datenvorfälle - wie generell im Bereich Datenschutz – gelten umfassende Dokumentations- und Rechenschaftspflichten.

 

 

secriso Consulting unterstützt Sie gerne bei der Schulung, Abwicklung und Dokumentation von Datenschutzvorfällen. Schöpfen Sie aus unserer umfassenden Dokumentation oder legen Sie die Aufgaben des Datenschutzbeauftragten in unsere erfahrenen Hände: Fragen Sie nach unserem eDSB und eDSM Angebot und weiteren Datenschutzpaketen oder lassen Sie sich ganz einfach unsere prämierte Datenschutz-Managementsoftware „4conform ENTERPRISE“, die Ihnen die komplexe Risikobeurteilung abnimmt, kostenlos zeigen. Sie werden begeistert sein. Nähere Information zur 4conform finden Sie unter www.4conform.com bzw. zu unseren Leistungen unter www.secriso.com .