Datenpannen und ihre Meldepflicht

Die Europäische Datenschutzgrundverordnung (DSGVO) beinhaltet unter anderem eine Meldepflicht, die Unternehmen unter bestimmten Voraussetzungen eben dazu verpflichtet, Datenschutzverstöße zu melden. Diese ist in Art. 33 verankert und zwingt den Verantwortlichen dazu, innerhalb von 72 Stunden nach Bekanntwerden der Verletzung die zuständige Aufsichtsbehörde in Kenntnis zu setzen. Dies gilt in dem Fall, dass der Schutzbereich personenbezogener Daten verletzt wurde. Dass diese Regelung tatsächlich zu einem besseren Bewusstsein im Umgang mit personenbezogenen Daten führt, zeigt sich dadurch, dass solche Meldungen, als Konsequenz der Einführung, drastisch zugenommen haben. Zehnmal öfter wurden, in Zuge dessen, solche Lecks, bekannt.

Dies kostet ein deutsches Unternehmen im Schnitt stolze 4,11 Millionen Euro. Doch welche Datenschutzverletzungen werden dabei am häufigsten begangen?

Die häufigsten Verletzungen des Datenschutzrechts

2021 gingen die Meldungen in der Bundesrepublik im Vergleich zum Vorjahr deutlich zurück. Sie haben sich nahezu halbiert. Dies lässt darauf schließen, dass mehr Bewusstsein über die häufigsten Datenschutzverletzungen herrscht, also, dass aus den Fehlern der Vergangenheit gelernt wurde. Falls Ihnen diese jedoch nicht geläufig sind, zeigen wir hier die fünf häufigsten Gründe für die Meldung von Datenlecks.

Postfehlversand (auch E-Mail)

Fehler passieren immer wieder und überall. Dass dies etwas ist, was sich womöglich nie ändern wird, ist vermutlich klar, jedoch sollten Ungenauigkeiten besonders beim Versenden personenbezogener Daten idealerweise vermieden werden.

Ob dies per Post oder durch einen E-Mail-Versand geschieht, spielt keine Rolle für die Schwere des Verstoßes, kommt aber beides vor. Dies ist aus Gründen des Datenschutzes wenig wünschenswert, denn was durch einen kleinen Fehler beim Schreiben der Wohn- oder E-Mail-Adresse passiert, kann dazu führen, dass man nicht mehr weiß, was mit den fehl gesendeten Daten geschieht.

Hackerangriff

Ein externes Risiko für eine Datenpanne in einem Unternehmen sind Angriffe durch Hacker. Zwar gingen 2021 die Meldungen von Datenpannen im Vergleich zu 2020 stark zurück, die Hackerattacken jedoch nicht. Offiziell haben Hackerangriffe in der BRD 2021 um 20 % zugenommen. Das sind jedoch lediglich die bekanntgewordenen Fälle.

Zwar macht das betroffene Unternehmen oder auch die Behörde selbst keinen aktiven Fehler, jedoch haften sie dafür, dass keine notwendigen, präventiven Sicherheitsvorkehrungen getroffen wurden.

Besonders Ransomware-Angriffe sind für Kriminelle Hacker eine gute Methode, um an viel Geld zu kommen, da hier eine Art Geiselnahme von Daten erfolgt, für dessen Freigabe ein Lösegeld gefordert werden kann. 2021 entstanden durch Erpressung mit gestohlenen oder verschlüsselten Daten in Deutschland, Schäden in Höhe von 24,3 Milliarden Euro.

Unerlaubte Datenweitergabe

Unternehmen, die personenbezogene Daten verarbeiten und weiterleiten, sind dabei verpflichtet, dazu eine Erlaubnis der betroffenen Person erhalten zu haben. Bei wissentlichem gewerbsmäßigem Handeln, können hier laut Bundesdatenschutzgesetz, sogar bis zu drei Jahre Haft die Konsequenz sein.

Es empfiehlt sich also, hier immer eine Einwilligung der betroffenen Person einzuholen. Schlechte Organisation beispielsweise, führt dennoch immer wieder dazu, dass solche personenbezogenen Daten unerlaubt weitergegeben werden. Ob dies vorsätzlich oder unbeabsichtigt geschieht, kann häufig nicht nachvollzogen werden, da die Dunkelziffer hier enorm sein muss.

Diebstahl von Daten

Personenbezogene Daten können bei richtiger Nutzung sehr wertvoll sein. Ein Datendiebstahl ist eine weitere, sehr häufig auftretende Datenschutzverletzung. Dies kann sowohl durch das Hacken als auch durch eine physische Tat geschehen, wobei natürlich die digitale Form wesentlich präsenter als der Diebstahl von Datenträgern ist.

Folgen dieses Verstoßes sind Veröffentlichungen der personenbezogenen Daten beziehungsweise deren Nutzung durch den Hacker. Bietet ein Unternehmen nicht ausreichend Schutz für die Daten der Kunden, so hat es dafür zu haften. Die Schäden durch Datendiebstahl liegen in Deutschland in Milliarden-Höhe.

Offener Mailverteiler

Eine ebenfalls durch Nachlässigkeit häufig verursachter Datenschutzverstoß, ist die falsche Einstellung bei Nutzung Ihres Mailverteilers. Wird eine sogenannte „Rundmail“ verschickt, die an mehrere Empfänger gleichermaßen gerichtet ist, so birgt dies ein Risiko. Denn aus rechtlicher Sicht sollte einem Empfänger gewährleistet werden, dass anderen Empfängern nicht bekannt wird, dass er ebenfalls diese Mail erhalten hat.

Ein solcher „offener Mailserver“ sollte vermieden werden, die richtige Einstellung wird jedoch oftmals vergessen, womit dies als ein häufiger Fehler anzutreffen ist.

Wie kann man solche Fehler vermeiden?

Neben unterschiedlichen Softwares, die einen beim Vermeiden solcher Fehler helfen sollen, gibt es jedoch auch einige grundlegende Dinge, die für eine Vermeidung von Datenpannen unerlässlich sind.

Wichtig ist ein Bewusstsein für häufige Fehlerquellen und vor allem ein Bewusstsein dafür, dass die Daten der eigenen Kunden geschützt werden sollten. Die Mitarbeiter sollten für den Umgang mit personenbezogenen Daten sensibilisiert werden. Außerdem sind optimierte Prozesse, eine klare Aufgabenverteilung, das Beschäftigen von Fachleuten und das ständige im Bilde darüber sein, wie die aktuelle Rechtslage ist, der richtige Weg.

Die eigenen Mitarbeiter sollten in so einem wichtigen Bereich zumindest geschult werden, um die konkrete Vermeidung von Datenpannen präsent im Unternehmen zu halten.

Das Datenschutzrecht ist nirgendwo auf der Welt so komplex und streng wie in der EU. Logisch ist, dass besonders junge Unternehmen, die sich noch in der Anfangsphase befinden, den Datenschutz nicht in allen Bereichen „auf dem Schirm“ haben. Für solche Fälle gibt es jedoch Experten, die helfen können. Das Beschäftigen eines externen Datenschutzbeauftragten ist eine Vorkehrung, die jedes Unternehmen treffen sollte, das mit personenbezogenen Daten zu tun hat. Nichts minimiert das Risiko eines Datenschutzverstoßes so sehr, wie ein externer DSB, denn ein solcher kennt sich sicher mit der DSGVO aus.

