Aufgrund von Datenschutzverstößen sehen sich Unternehmen immer häufiger hohen Bußgeldern ausgesetzt. Darum ist es lohnenswert sich einmal genauer mit den Ursachen von Datenschutzverstößen und präventiven Maßnahmen zur Verhinderung von Verstößen auseinanderzusetzen. Im Falle einer Verletzung des Schutzes personenbezogener Daten müssen Verantwortliche, wie etwa Unternehmen oder Behörden, diese Verletzung nach Art. 33 DSGVO unverzüglich der zuständigen Aufsichtsbehörde melden. Den Aufsichtsbehörden gehen so jährlich unzählige Meldungen zu. Nun hat der Landesbeauftragte für den Datenschutz Sachsen-Anhalt häufige Ursachen von Datenschutzverletzungen sowie Maßnahmen, mit denen diese Maßnahmen präventiv verhindert werden können, in einer Übersicht zusammengestellt. Diese Übersicht stellt wichtige Handlungsempfehlungen für Unternehmen kompakt zusammen. dar. Die vorgeschlagenen Maßnahmen sind natürlich nicht abschließend und es muss im Einzelfall überprüft werden, ob weitergehende Maßnahmen erforderlich sein könnten.
Das Wichtigste in Kürze
- Eine der häufigsten Ursachen für Datenschutzverletzungen ist der Fehlversand von E-Mails und offene Mailverteiler.
- Häufige Ursache für Datenschutzverletzungen in Zeiten der Digitalisierung sind Hackerangriffe, die durch Sicherheitslücken ermöglicht werden.
- Unternehmen sollten geeignete technische und organisatorische Maßnahmen implementieren, um Datenschutzverletzungen präventiv zu verhinder.
- Datenschutzverletzungen müssen durch den Verantwortlichen unverzüglich an die zuständige Aufsichtsbehörde nach Art. 33 DSGVO gemeldet werden.
Meldung einer Verletzung des Schutzes personenbezogener Daten
Art. 33 DSGVO erlegt dem Verantwortlichen eine Meldepflicht eines Datenschutzvorfalls auf. Demnach hat der Verantwortliche eine Verletzung unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden,. Eine Ausnahme hiervon gilt nur dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Das hierfür relevante Risiko ergibt sich dabei aus dem Zusammenspiel der Schwere der Verletzung und der Eintrittswahrscheinlichkeit des drohenden Schadensereignisses.
Benachrichtigung der betroffenen Person bei hohem Risiko
Sobald die Verletzung des Schutzes personenbezogener Daten voraussichtlich sogar ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche nach Art. 34 DSGVO als Teil der Betroffenenrechte auch die betroffene Person unverzüglich über die Verletzung benachrichtigen. Ein hohes Risiko liegt in der Regel immer dann nahe, wenn besondere oder sensible Kategorien personenbezogener Daten, wie beispielsweise Gesundheitsdaten, Unberechtigten zur Kenntnis gelangen könnten.
Fehlversand durch E-Mail, Post oder Fax
Eine der häufigsten Ursachen für Datenschutzverletzungen ist der Fehlversand von E-Mails, Post oder Fax. Eine E-Mail oder ein Fax ist schnell an den falschen Empfänger versandt und auch bei der Postadressierung kann es leicht zu Zahlendrehern oder Schreibfehlern kommen, sodass der Brief falsch zugestellt wird und in fremde Hände gelangt.
In erster Linie muss dann umgehend der falsche Empfänger zur Löschung oder Vernichtung aufgefordert werden und sich die erfolgte Löschung durch den Fehladressaten bestätigen lassen. Als Präventionsmaßnahme wird empfohlen die Adressinformationen oder Faxnummern sorgfältig zu übernehmen und auf ihre Aktualität zu überprüfen sowie vor dem Versand nach dem Vier-Augen-Prinzip vorzugehen. Weiterhin sollten Anlagen in E-Mails verschlüsselt und ein elektronisches Adressbuch genutzt werden.
Offener E-Mail Verteiler
E-Mails sind heutzutage ein beliebtes Mittel, um Daten zu übermitteln. Jedoch birgt so ein Mailverteiler auch ein entsprechend großes Risiko für Datenschutzverletzungen. Dies ist vor allem dann gegeben, wenn eine Mail an mehrere Empfänger versendet werden soll. Denn es werden häufig sogenannte offene Mailverteiler genutzt. Davon spricht man, wenn für jeden Empfängerdie E-Mail-Adressen der anderen Empfänger offen einsehbar sind. Um zu verhindern, dass die Adressaten der E-Mail offengelegt werden, sollte die Funktion „BCC“ verwendet werden. Wenn jedoch die üblichen Felder wie „An“ und „CC“ verwendet werden, liegt eine Datenschutzverletzung vor, wenn die Bekanntgabe der Tatsache wer Adressat ist bzw. die Weitergabe der E-Mailadressen nicht gerechtfertigt werden kann.
Um die Datenschutzverletzung zu beheben beziehungsweise die nachteiligen Auswirkungen wenigstens abzumildern, sollten auch hier die Empfänger zur Löschung und Bestätigung der Löschung aufgefordert werden. Die E-Mail kann dann erneut verdeckt versendet werden. Um dieser Verletzung präventiv entgegenzuwirken, ist es wichtig, eine regelmäßige Sensibilisierung der Mitarbeiter durchzuführen und den Versand per Blindkopie schon vorher einzustellen.
Abhandenkommen von elektronischen und papierbasierten Datenträgern
Eine weitere Ursache ist das Abhandenkommen von elektronischen oder papierbasierten Datenträgern durch Verlust oder Diebstahl. Der physische Diebstahl von Datenträgern, wie Akten, USB-Sticks oder auch Festplatten ist vielleicht nicht so häufig, kommt aber immer noch ab und zu vor. Häufiger dürfte jedoch der Verlust der Datenträger sein. In einem solchen Fall sollte, wenn möglich, bei elektronischen Datenträgern eine Fernlöschung der Daten veranlasst werden. Natürlich ist bei einem Straftatverdacht eine Anzeige bei der Polizei zu erstatten. Als präventive Maßnahme wird in der Übersicht des Landesdatenschutzbeauftragten angeführt, dass eine Verschlusssicherheit hergestellt und insbesondere Regelungen für den Umgang mit Datenträgern und Akten getroffen werden sollten.
Entsorgung von Unterlagen im (Papier-)Müll
Immer wieder kommt es vor, dass Unterlagen mit personenbezogenen Daten im normalen Papiermüll und nicht im Schredder oder einer Datentonne landen. Sofern noch möglich, sind die Unterlagen sofort sicherzustellenund ordnungsgemäß zu entsorgen. Dafür müssen natürlich auch datenschutzkonforme Entsorgungsvorrichtungen implementiert sein. Unter anderem sollte durch die Beschäftigten bereits im Vorfeld geprüft werden, ob Papiere oder andere Datenträger vernichtet werden müssen.
Verschlüsselung von Dateien durch Angreifer
Große Probleme und Unsicherheiten für Unternehmen bringen vor allem externe Angriffe mit sich, die ganze Systeme lahm legen können. Häufig werden Unternehmen davon überrascht und wissen nicht wie sie damit umgehen sollen. Wichtig ist dabei insbesondere, dass eine sofortige Trennung der Systeme vom Netz erfolgt, in der Folge die Schwachstellen identifiziert und daraus dann die notwendigen Konsequenzen gezogen werden. Wichtig ist jedoch, dass bei der Netztrennung dieses nicht abgeschaltet wird, damit mögliche Spuren nicht verwischt werden. Denn diese können helfen die Schwachstellen aufzudecken. Weiterhin sollten befallene Rechner und Systeme neu installiert und Daten aus dem Backup wiederhergestellt werden.
Um Angriff von außen zu verhindern, wird unter anderem empfohlen, Anhänge oder Links in E-Mails nur zu öffnen oder anzuklicken, wenn diese seriös und plausibel erscheinen. Weiterhin ist in der Übersicht aufgeführt, dass vorher detaillierte Regelungen geschaffen werden sollten, wie mit eingehenden Dateien und E-Mailanlagen umgegangen werden muss. Zudem sollte immer darauf geachtet werden, dass ein aktueller Virenschutz besteht und Systeme und Anwendungen regelmäßig aktualisiert werden und auf dem neuesten Stand sind. Weiterhin wird geraten, ein Rechte- und Rollenmanagement zu implementieren, um Zugriffsrechte in der Art zu gestalten, dass lediglich ein möglichst beschränkter Datenumfang betroffen sein kann.
Hackerangriffe
Hackerangriffe treten insbesondere in der heutigen digitalen Welt immer häufiger auf und stellen eine große Gefahr für Unternehmen dar. Zwar erfolgt hier die Datenschutzverletzung nur passiv, jedoch haften die Unternehmen trotzdem dafür, wenn sie durch mangelnde technische und organisatorische Maßnahmen diese Angriffe begünstigen. Denn es liegt im Verantwortungsbereich des Unternehmens, alle ihr möglichen Maßnahmen und Vorkehrungen zu treffen, um solche Angriffe zu verhindern. Die Angriffe erfolgen meist von außen mittels einer Schadsoftware, Trojanern oder Malware. Durch diese Angriffe wird versucht an relevante Firmendaten zu gelangen, um diese zum Beispiel zu verkaufen oder um davon selbst zu profitieren. Hierbei ist es wichtig, dass das Unternehmen versucht, solche Sicherheitslücken oder Fehlkonfigurationen im Firmennetzwerk zu identifizieren, um dann das Risiko einer solchen Datenschutzverletzung zu minimieren.
Unberechtigte Zugriffe durch Beschäftigte zu privaten Zwecken
Häufig kommt es auch zu unberechtigten Zugriffen auf personenbezogene Daten durch Beschäftigte, die diese für private Zwecke nutzen wollen. Wenn ein solcher Verdacht besteht, sollte eine Auswertung der elektronisch gespeicherten Datenzugriffe erfolgen und im Anschluss arbeitsrechtliche Maßnahmen geprüft werden. Präventiv könnte solchen Datenschutzverletzungen vorgebeugt werden, indem Datenzugriffe protokolliert werden und Beschäftigte auf das Datengeheimnis verpflichtet werden.
Veröffentlichung personenbezogener Daten ohne Rechtsgrundlage
Als weitere häufige Ursache für Datenschutzverletzungen wird ganz allgemein die Veröffentlichung personenbezogener Daten ohne Rechtsgrundlage in der Übersicht aufgeführt. In einem solchen Fall sollte, wenn möglich, sofort die Löschung veranlasst werden und versucht werden die Verbreitung weitestgehend einzudämmen. Als Vorsichtsmaßnahme zur Verhinderung einer rechtswidrigen Datenverarbeitung wird empfohlen, Regelungen zur Prüfung der Rechtmäßigkeit vor der Veröffentlichung der Daten zu treffen und dem Vier-Augen-Prinzip zu folgen. Ebenso kann eine Schwärzung von personenbezogenen Daten aus zu veröffentlichenden Dokumenten erfolgen, um eine Datenschutzverletzung zu vermeiden.
Fazit
Die Übersicht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt ist hilfreich, da sie zum einen häufige Ursachen von Datenschutzverletzungen auflistet und zum anderen Maßnahmen zur Behebung der Datenschutzverletzung beziehungsweise zur Abmilderung der nachteiligen Auswirkungen der Verletzung sowie technisch und organisatorische Maßnahmen zur präventiven Vermeidung der Datenschutzverletzungen aufführt. Neben den hier erläuterten Ursachen und Abwehrmaßnahmen enthält die Übersicht noch einige weitere. Sie kann einem Unternehmen oder einer Behörde als Anhaltspunkt für das Vorgehen dienen, wenn sich ein Datenschutzvorfall ereignet. Unternehmen können diese Übersicht auch dazu heranziehen, um sich zu orientieren und zu prüfen, in welchen Bereichen noch Handlungsbedarf für präventive Maßnahmen besteht und ob gegebenenfalls noch Sicherheitslücken bestehen.
Unternehmen sollten jedoch beachten, dass im Einzelfall auch weitergehende Maßnahmen erforderlich sind. Es ist von großer Bedeutung interne Prozesse zu implementieren, die eine datenschutzkonforme Verarbeitung von personenbezogenen Daten gewährleisten und das Risiko einer Datenschutzverletzung verringern. Für einen reibungslosen Ablauf ist weiterhin wichtig, dass auch Beschäftigte und insbesondere die IT-Abteilung für den Datenschutz sensibilisiert werden und im gesamten Unternehmen einheitliche Rahmenbedingungen und Regelungen getroffen werden. Für Unternehmen und andere Verantwortliche ist die Übersicht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt daher ein sehr guter Ansatzpunkt um daraus Handlungsempfehlungen zur Vermeidung der grundlegen datenschutzrechtlichen Gefahrstellen ableiten zu können.
