Data Breaches richtig managen

Die Gefahr von Cyberrisiken nimmt ständig zu. Neben der Gefahr für die IT-Sicherheit haben IT-Sicherheitsvorfälle auch immer eine datenschutzrechtliche Relevanz. Lesen Sie hier, wie Sie richtig reagieren und welche Vorbereitungen Sie für den Ernstfall treffen können.

Was ist ein Data Breach?

Ein Data Breach - auf Deutsch: Datenschutzvorfall oder Datenpanne ist gemäß Art. 33 Abs. 1 DSGVO „eine Verletzung des Schutzes personenbezogener Daten“, also ein Vorfall der die Sicherheit personenbezogener Daten verletzt, so dass unberechtigte Personen darauf zugreifen können. Klassische Fälle sind

• Versehentliche Falschversendung von E-Mails oder zu große offene Verteiler
• Zugriff auf IT-Systeme als Folge von Hacking oder Phishing-Attacken
• Diebstahl oder Verlust von Datenträgern, Laptops o.ä.
• Sicherheitslücken in IT-Systemen
• Ausgeblendete aber nicht gelöschte Informationen in Excel-Dokumenten

Was gilt es bei Data Breaches zu beachten?

Oberstes Gebot bei Data Breaches ist es, die Ursache schnell zu identifizieren und zu beseitigen, um die Folgen für Betroffene so gering wie möglich zu halten oder zu beseitigen und die Ausweitung des Data Breaches zu verhindern.

Wenn sich aus dem Data Breach Risiken für die Rechte und Freiheiten der Betroffenen ergeben oder das nicht ausgeschlossen werden kann, muss der Data Breach unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Das passiert relativ häufig.

Hat der Data Breach darüber hinaus voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge, müssen auch die Betroffenen unverzüglich informiert werden. Das kommt vor, ist im Vergleich zur Meldung bei der zuständigen Aufsichtsbehörde aber seltener der Fall.

Maßnahmen zur internen Erkennung und Meldung

Um angemessen auf einen Data Breach reagieren zu können, ist es besonders wichtig, dass Data Breaches intern schnell erkannt und sofort intern gemeldet werden. Das setzt voraus, dass alle Beschäftigten wissen, was ein Data Breach ist, an wen dieser intern gemeldet werden muss und wie zu melden ist. Es mach Sinn, dafür eine Anweisung, Richtlinie oder ein ähnliches Dokument zu erstellen, das den Prozess beschreibt. Dieser Prozess muss dann den Beschäftigten aber auch so kommuniziert werden, dass sie ihn kennen und befolgen können. Die Devise dafür lautet: schulen, schulen, schulen.

Interne Behandlung – Gegenmaßnahmen und Entscheidung über die Meldung

Nach der internen Meldung sollten sich unverzüglich Personen zusammenfinden und aktiv werden, die technische Gegenmaßnahmen treffen können, den Vorgang bewerten und über weitere (rechtliche) Schritte entscheiden können. So ergibt sich die Zusammensetzung des Data Breach Teams aus mehreren oder der folgenden Stakeholder:

• IT-Abteilung
• IT-Sicherheit
• Informationssicherheit
• Cyber-Versicherung
• Datenschutzbeauftragter
• Rechtsabteilung
• externe Rechts- und IT- und IT-Sicherheits-Berater
• Geschäftsleitung

Erste Priorität des Data Breach Teams sollte es immer sein, Gegenmaßnahmen zu treffen, dann das Ausmaß des Vorfalls aufzuklären und dann über die weiteren Schritte zu entscheiden. Weitere Schritte sind in der Regel

• Entscheidung über die Meldung bei der zuständigen Datenschutzbehörde (für alle Unternehmen Pflicht, wenn die Voraussetzungen vorliegen)
• Entscheidung über eine Meldung beim BSI (für KRITIS Unternehmen eine Pflicht für andere Unternehmen freiwillig möglich)
• Entscheidung über eine Strafanzeige bei der Stelle für Cyberkriminalität des zuständigen Landeskriminalamtes (keine Pflicht)
• Entscheidung über die Information der Betroffenen
• Umsetzung der Maßnahmen

Meldung von Data Breaches and Datenschutzbehörden

Wenn eine Pflicht zur Meldung nach Art. 33 DSGVO besteht, sollte die Meldung innerhalb von 72 Stunden nach der Entdeckung des Vorfalls gemeldet werden. Zur Sicherheit sollte für die Berechnung der Frist auf die erste interne Kenntnis abgestellt werden. Eine spätere Meldung ist möglich und im Zweifel auch nach 72 Stunden noch sinnvoll; dann muss aber in aller Regel begründet werden, warum die 72 Stunden Frist nicht eingehalten worden ist.

Art. 33 DSGVO sieht keine besondere Form der Meldung vor. Die Aufsichtsbehörden haben dafür aber Online-Meldeformulare und es empfiehlt sich, diese zu nutzen, weil die Aufsichtsbehörden die Meldung so in einer Form bekommen, die eine schnelle Bearbeitung und im Idealfall Erledigung ermöglichen. Genau das muss das Ziel der Meldung sein.

Hier geht es zu den Meldeformularen der 17 deutschen Datenschutzbehörden:

• ​Bund​
• ​Baden-Württemberg​
• ​Bayern​
• ​Berlin​
• ​Brandenburg​
• ​Bremen​
• ​Hamburg​
• ​Hessen​
• ​Mecklenburg-Vorpommern​
• ​Niedersachsen​
• ​Nordrhein-Westfalen​
• ​Rheinland-Pfalz​
• ​Saarland​
• ​Sachsen​
• ​Sachsen-Anhalt​
• ​Schleswig-Holstein​
• ​Thüringen

Information von Betroffenen

Die Information der Betroffenen hat gemäß Art. 34 Abs. 1 DSGVO zu erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Dann sind die Betroffenen in klarer, einfacher Sprache über den Vorfall zu informieren. Die Information sollte wenigstens diese Informationen enthalten:

• Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
• soweit möglich Kategorien und der ungefähren Zahl der betroffenen Personen und Daten
• Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
• Beschreibung der wahrscheinlichen Folgen
• Beschreibung der ergriffenen oder vorgeschlagenen Gegenmaßnahmen

Es gibt Ausnahmen, in denen eine persönliche Information nicht erfolgen muss. Diese sind aber mit Vorsicht zu genießen.

• Sie haben geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen, durch die der Zugang zu den Daten verhindert wird, insbesondere durch Verschlüsselung.
• Sie haben Maßnahmen getroffen, die dazu führen, dass die Gefahr für Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht.
• Die Benachrichtigung wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die Betroffene vergleichbar wirksam informiert werden.

Macht melden frei und was sind die Folgen bei unterlassener Meldung?

Die Frage, ob ein Vorfall gemeldet wird oft intensiv im Data Breach Team diskutiert. Die Sorge, die insbesondere Geschäftsleitung, Rechtabteilung und IT-Verantwortliche oft haben ist es, sich die Datenschutzaufsicht und damit viele Probleme ins Haus zu holen oder womöglich Auflagen und Sanktionen zu provozieren. Es wird dann häufig versucht, den Vorfall oder die Folgen kleinzureden, um eine Meldung vermeiden zu können.

Diese Sorgen sind in aller Regel unbegründet. § 43 Abs. 4 BDSG enthält ein Beweisverwertungsverbot für Inhalte der Meldung, das trotz europarechtlicher Kritik an der Vorschrift nach unserem Eindruck von den Datenschutzbehörden beachtet wird. Insofern gilt: Was gemeldet wird, kann nicht gegen den Verantwortlichen verwendet werden.

Zudem sind die Reaktionen der Datenschutzbehörden auf Meldungen in der Regel deutlich harmloser als oft befürchtet wird. Häufig erhält man eine Eingangsbestätigung, gelegentlich Rückfragen, ebenfalls gelegentlich die Mitteilung, dass der Vorgang geprüft und beendet wurde. Es ist möglich, dass sich an eine Meldung ein aufsichtsbehördliches Verfahren anschließt, das ist im Verhältnis zu den abgesetzten Meldungen aber eher selten der Fall.