DSGVO Verstoß melden

Eine Datenschutzpanne und ein daraus resultierender Verstoß gegen die Regelungen der DSGVO ist natürlich eine recht unerfreuliche Sache, mit der sich niemand gerne auseinandersetzen möchte. Dennoch gilt hierfür Vergleichbares wie etwa für eine Autopanne:

Sobald ich die Auswirkung feststelle (der Wagen schlingert plötzlich) und erkannt habe, dass es sich um eine Panne handelt (der Reifen ist wohl geplatzt), sollte ich zunächst eine etwaige Notsituation abstellen (Anhalten!). Dann muss ich in einer ersten Analyse das Ausmaß des Problems und des Schadens bewerten um beurteilen zu können, ob ich jemanden informieren muss oder nicht (kann ich – ggf. mit dem Notrad – weiterfahren oder nicht?). Schließlich muss ich die entsprechenden Schritte einleiten (ab zur nächsten Werkstatt oder den Abschleppdienst rufen).

Die Spanne ist sehr breit: Schon wenn Sie eine Akte mit personenbezogenen Daten in einem Meetingraum vergessen, ist das streng genommen eine Datenpanne, auch wenn die Daten nicht sensibel sind. Die E-Mail an den falschen Empfänger, der verlorene USB-Speicherstick im Hotelzimmer, das versehentliche Löschen einer Teilnehmerliste durch den Praktikanten – all das sind klassische Datenschutzpannen. Es muss nicht immer der spektakuläre Hack mit Millionen von geraubten Kundendaten sein.

Der Klassiker ist aber sicherlich die berühmte Vertriebs-E-Mail mit dem Riesenverteiler im „An:“ oder „cc:“. So etwas ist wahrscheinlich jedem schon mal irgendwie passiert. Neben den vielleicht banalen Inhalten der E-Mail wurden einem größeren Kreis von Empfängern jede Menge eigentlich vertrauliche E-Mail-Adressen offengelegt. Das passiert so häufig, dass die Aufsichtsbehörden inzwischen schon empfehlen, so etwas nur dann als risikobehaftet anzusehen und zu melden, wenn es sich entweder um eine wirklich große Menge an Daten oder um einen speziell sensiblen Inhalt handelt.

In jedem Fall gilt aber: Prüfen, entscheiden und dokumentieren.

Einen Datenschutzverstoß stellt man auf ganz unterschiedliche Arten fest:

• Das Problem wird bei der täglichen Nutzung oder einer Routinekontrolle der IT-Systeme erkannt (eine Datenbank ist plötzlich nicht mehr lesbar und erweist sich als irreparabel defekt)
• Jemand weist darauf hin (ein Kollege meldet sich weil er eine E-Mail an den falschen Empfänger versendet hat)
• Kunden oder Dritte beschweren sich, etwa wenn sie eine merkwürdige E-Mail bekommen, die einen Phishing-Anhang hat
• Ein Laptop mit sensiblen Daten wurde gestohlen
• und noch Vieles mehr

Je früher und je kontrollierter man einen Verstoß feststellt, umso besser kann man meist reagieren und Schlimmeres verhindern.

Ein Mitarbeiter informiert den Leiter des Kundendienstes, dass ein Kunde eine verdächtige E-Mail moniert, die einen Mitarbeiter des Unternehmens als Absender ausweist. Diese E-Mail enthält ein Word-Dokument mit dem Titel „Rechnung 0815 4711“. Das Antivirusprogramm des Kunden hat glücklicherweise angeschlagen. Die fragliche E-Mail hat er dem Unternehmen weitergeleitet.

Hier sollte man als Führungskraft schon hellhörig werden, denn solche Mails werden sicher nicht bewusst aus dem Haus versendet. Es empfiehlt sich umgehend den IT-Betreuer einzuschalten, der sich den Fall ansehen soll. Zugleich informiert man die Geschäftsführung und den Datenschutzbeauftragten, dass ggf. Mitarbeiterdaten missbräuchlich eingesetzt werden. Die Dokumentation des Falls im Datenschutzmanagement-System sollte begonnen werden.

Nach ersten Analysen der Mail und des eigenen Mailservers wird schnell klar, dass die Phishing-Mail die Mitarbeiter-Adresse zwar nur vortäuscht, die Kundenadresse aber tatsächlich aus dem eigenen Stammdatensystem stammt und durch einen Trojaner entwendet wurde – zusammen mit vermutlich 5.000 weiteren Mailadressen. Es handelt sich um eine große Panne mit einem erhöhten Risiko für die Betroffenen (Phishing-Angriff).

Ein erhöhtes Risiko für den Betroffenen besteht darin, was derjenige, der mit hoher krimineller Energie diese Adressen abgegriffen hat, damit vorhaben könnte. Ob daraus ein echter Schaden wird, ist natürlich nicht sicher, das ist aus Datenschutzsicht aber auch erstmal nicht erheblich – das Risiko steht im Fokus.

Nach der ersten Analyse sind Quarantäne-Maßnahmen einzuleiten und eine Tiefenanalyse durchzuführen. Was immer man an Ergebnissen weiß wird der Geschäftsleitung gemeldet. Bevor die 72 Stunden vergangen sind, wird eine erste Meldung an die Aufsichtsbehörde abgesetzt mit den bis dahin verfügbaren Informationen und dem Hinweis, dass weitere Informationen folgen. Zudem werden die Betroffenen informiert und vor den tückischen E-Mails gewarnt.

Sobald die Sicherheit im System wiederhergestellt und das Ausmaß des Vorfalls fundiert analysiert und dokumentiert wurde, erfolgt eine abschließende Meldung an die Behörde, die den Vorfall nun ihrerseits bewertet. Wenn alles gutgeht, kommt man ggf. mit einem blauen Auge davon.

Bleiben wir beim obigen Beispiel: Die erste provisorische Meldung innerhalb der 72-Stunden-Frist setzen Sie auf dem dafür vorgesehenen Online-Portal bei Ihrer zuständigen Aufsichtsbehörde ab. Das übernimmt der Verantwortliche selbst oder der von ihm dazu mandatierte Datenschutzbeauftragte – die Meldung sollte definitiv nicht durch jemand erfolgen, der ggf. unsicher bei seinen Aussagen ist.

Das Portal führt durch die entsprechenden Felder durch den Meldeprozess. Am Ende erhalten Sie eine Vorfallsnummer und eine Bestätigungs-E-Mail über die erfolgte Meldung. Mit Referenz auf diese Nummer kann man später auf dem selben Portal Nachträge melden, um der Behörde die Bewertung zu erleichtern.

Nein, das müssen Sie natürlich nicht. Ausschlaggebend ist, dass schnell erkannt wird, ob es sich denn überhaupt um eine Datenschutzpanne handelt oder nicht. Hier helfen die drei Kern-Dimensionen der Datenschutz-Risiken: Vertraulichkeit, Integrität und Verfügbarkeit.

Stellen Sie sich folgende Fragen, wenn sie eine Anomalie feststellen:

• Wurden personenbezogene Daten ohne Grundlage öffentlich gemacht (Verstoß gegen die Vertraulichkeit)?
• Wurden personenbezogene Daten unberechtigt verändert oder beschädigt (Verstoß gegen die Integrität)?
• Wurden personenbezogene Daten ungewollt unwiederbringlich vernichtet (Verstoß gegen Verfügbarkeit)?

Wenn eine der Fragen mit „Ja“ beantwortet werden muss, dann haben Sie einen Datenschutzvorfall und müssen in den vorgenannten Prozess einsteigen.

Ist beispielsweise der Server über Nacht abgestürzt, konnte aber in der Früh durch die IT wieder hochgefahren werden ohne feststellbaren Datenverlust, müssen Sie nicht gleich von einem Datenschutzvorfall ausgehen. Lassen Sie das System während des Betriebs noch einmal bewusst checken und dokumentieren Sie das Ereignis der guten Ordnung halber in ihrem IT-Sicherheits-Protokoll, und gut. Oder wenn eine E-Mail mit personenbezogenen Daten an einen falschen Empfänger versendet wurde, diese Versendung aber frühzeitig noch im eigenen Mailsystem gestoppt werden konnte, ist faktisch letztendlich nichts passiert – Sie werden beim nächsten Mal dafür doppelt so gut aufpassen den richtigen Empfänger auszuwählen.

Wichtig ist, dass Sie auf solche Fälle vorbereitet sind: Wenn es ernst wird, sollten Sie sich nicht lange mit der Suche nach den richtigen Ansprechpartnern im Unternehmen aufhalten müssen und auch die richtigen Fragen nach den Details, die die stimmige Beurteilung des Risikos und des etwaigen Schadens ermöglichen, sollten Sie parat haben. Dazu eignet sich ein Vorgehenskonzept mit Checklisten sowie eine entsprechende Richtlinie im Unternehmen, die dieses Vorgehen im Pannenfall verpflichtend vorschreibt und das Erkennen von relevanten Situationen erleichtert.

Grundsätzlich können Sie davon ausgehen, dass die Möglichkeit eines Bußgelds besteht, wenn die Sache ans Licht kommt. Dazu braucht nur ein erboster Kunde die Behörde aufmerksam zu machen, oder ein ehemaliger Mitarbeiter schwärzt Sie an, weil er sich über seine Kündigung ärgert.

Die Höhe dieses Bußgeldes bestimmt die Aufsichtsbehörde nach eingehender Prüfung des Sachverhalts. Auch wenn Datenschutzbußgelder nicht exsistenzbedrohend wirken sollen, sie sollen abschreckend und spürbar sein. Die deutschen Aufsichtsbehörden haben eine recht komplizierte Berechnungslogik erarbeitet, die etwa anhand von Risiko, Schadenhöhe und Dauer eines Verstoßes und diverser Gewichtungsfaktoren einen Euro-Betrag ergibt. Ob das nun eher zu hohen oder niedrigen faktischen Bußgeldern führt, kann man noch nicht sagen, aber für eine nicht gemeldete Datenpanne sollten Sie nicht mit einem Taschengeld rechnen.

In den Griff bekommen Sie dieses Risiko am ehesten durch ein effektives Risiko-Bewertungs-System: Je realistischer Sie auf Basis der betroffenen Datenkategorien, des Umfangs und der Eintrittswahrscheinlichkeit das Risiko für den Betroffenen – also den potenziellen Schaden – beziffern können, desto besser werden Sie einschätzen können, ob eine Meldung nötig ist oder nicht.

Ein guter Datenschutzmanager betreibt eine vernünftige Schutzbedarfsfeststellung und ein aussagefähiges Riskmanagement, um die Angemessenheit der technischen und organisatorischen Maßnahmen einschätzen zu können, insofern fällt diese Bewertung damit nicht schwer.

Die DSGVO sagt dazu, dass ein „hohes“ Risiko für die Betroffenen vorliegen muss, bevor eine solche Meldung getätigt werden muss. Und da erkennen wir schon wieder das Problem: Was bedeutet denn konkret „hoch“ im Einzelfall?

Hier hilft eine gewisse Operationalisierung des Riskmanagement-Systems: Schaffen Sie sich eine Matrix, in der beispielsweise die Kombination aus Eintrittswahrscheinlichkeit eines Risikos und potenzieller Schadenhöhe einen Risiko-Quadranten bestimmen. Liegt etwa in einer 4×4-Matrix Ihr ermittelter Quadrant „ganz rechts oben“ – ist also sowohl die Wahrscheinlichkeit eines Eintritts hoch als auch der dann zu befürchtende Schaden – dann können Sie definitiv von einem „hohen“ Risiko sprechen.

Ist dem gegenüber die Wahrscheinlichkeit, dass bei Ihnen abgefischte Mailadressen mißbräuchlich verwendet werden zwar hoch, der potenzielle Schaden aber gering, da es sich durchweg um veraltete und nicht mehr in Gebrauch befindliche Adressen handelt, so kann sich durchaus nur ein „mittleres“ Risiko ergeben, eine Meldung an die Betroffenen ist dann nicht nötig.

Bleiben Sie bei der Einschätzung aber unbeding realistisch. Wenn eine Information notwendig ist, dann geben Sie diese auch heraus. Eine gut formulierte, pro-aktive Warnung über ein mögliches Risiko an die Kunden – am besten noch mit einer Verhaltensempfehlung zur Eindämmung – ist in jedem Fall besser als ein Hoffen auf ein Im-Sande-Verlaufen. Das klappt in den seltensten Fällen, und es bedeutet bei einem Auffliegen, dass Sie die Situation nicht mehr unter Kontrolle haben. Agieren ist besser als Reagieren.

Wenn Sie eine Meldung verfassen, halten Sie sich an die gesetzlichen Anforderungen: Verlieren Sie keine unnötige Zeit, wählen Sie eine klare und verständliche Sprache (kein „Täuschen, Tarnen, Verschleiern“!), benennen Sie den Datenschutzbeauftragten, die möglichen Folgen des Vorfalls sowie die von Ihnen unternommenen Maßnahmen zur Eindämmung.

Es gibt übrigens ein Licht am Horizont: Eine Mitteilung an die Betroffenen können Sie sich auch bei einem ursprünglich hohen Risiko sparen, wenn Sie geeignete technische und organisatorische Maßnahmen getroffen haben, die eine Ausnutzung unmöglich machen – etwa wenn Sie sensible Daten auf einem verlorenen Notebook vorher schon standardmäßig stark verschlüsselt haben – oder wenn Sie das hohe Risiko durch aktives Zutun auf Null gesenkt haben, so beispielsweise bei dem zuvor genannten Beispiel der fehlversendeten Mail, die aber vor Verlassen des Mailservers aufgehalten werden konnte.