Datenschutzverstoß melden

Ein Datenschutzverstoß ist ein Sicherheitsvorfall, bei dem die Daten einer Organisation offengelegt, kompromittiert oder unberechtigt eingesehen werden, was zu einer Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit dieser Informationen führt. Solche Verstöße können erhebliche Risiken für die Rechte und Freiheiten des Einzelnen mit sich bringen.

Gemäß Artikel 33 der DSGVO müssen Organisationen die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Datenschutzverletzung benachrichtigen. Wenn der Verstoß ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, muss die Organisation die Personen auch direkt informieren, es sei denn, es wurden ausreichende Schutzmaßnahmen ergriffen, um die Risiken zu mindern.

Wenn die Aufsichtsbehörden prüfen, ob sie ein Bußgeld verhängen und dessen Höhe festlegen sollen, berücksichtigen sie außerdem den Grad der Kooperation der Organisation. Die rechtzeitige Meldung eines Verstoßes zeigt Transparenz und Bereitschaft zur Zusammenarbeit, was positiv bewertet werden kann. Wenn hingegen ein Verstoß aufgedeckt und nicht gemeldet wurde, kann dies als Versuch gewertet werden, den Vorfall zu verbergen - eine Handlung, die wahrscheinlich weitaus härtere Konsequenzen nach sich zieht.

Mehr über Datenschutzverletzungen

Datenschutzverstöße sind in Europa seit Einführung der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 ein zentrales Thema. Die Anzahl der gemeldeten Vorfälle variiert je nach Land und Jahr, jedoch zeigt sich insgesamt ein Anstieg der gemeldeten Verstöße. Beispielsweise verzeichnete Deutschland im Jahr 2020 eine Zunahme von 76 % im Vergleich zu 2019.

Konkrete Fälle verdeutlichen die Bandbreite der Verstöße: Im Mai 2023 wurde Meta (Facebook) mit einer Geldstrafe von 1,2 Milliarden Euro belegt, da Nutzerdaten unrechtmäßig in die USA übertragen wurden. 
Ein weiteres Beispiel ist der Fall von Clearview AI, einem US-Unternehmen, das biometrische Daten ohne Zustimmung sammelte und dafür in mehreren europäischen Ländern, darunter Deutschland, mit Bußgeldern belegt wurde.

Diese Beispiele unterstreichen die Bedeutung eines verantwortungsvollen Umgangs mit personenbezogenen Daten und die Notwendigkeit, Datenschutzverstöße konsequent zu melden und zu ahnden.

1. Erkenne und dokumentiere den Vorfall

Sobald ein Datenschutzverstoß festgestellt wird, müssen alle relevanten Informationen erfasst werden:

• Zeitpunkt und Art des Verstoßes
• Betroffene Daten und Personen
• Erste Maßnahmen zur Eindämmung des Schadens

Warum ist Dokumentation wichtig? Diese Informationen sind essenziell für die nachfolgende Meldung an die Aufsichtsbehörde und die interne Analyse zur Prävention zukünftiger Vorfälle.

2. Benachrichtige die zuständige Aufsichtsbehörde

Die Meldung an die Datenschutzbehörde muss innerhalb von 72 Stunden erfolgen, sofern das Risiko für die Betroffenen nicht gering ist. Bei Unsicherheiten unterstützt heyData dich bei der Entscheidung, ob eine Meldung erforderlich ist.
Benötigte Informationen bei der Meldung:

• Eine Beschreibung der wahrscheinlichen Folgen der Datenverletzung
• Art des Verstoßes und betroffene Daten
• Maßnahmen zur Schadensbegrenzung
• Kontaktdaten der Ansprechperson für weitere Informationen

3. Informiere die betroffenen Personen

Ist ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zu erwarten, müssen diese unverzüglich informiert werden. Transparente Kommunikation hilft, das Vertrauen zu wahren und die potenziellen negativen Folgen zu minimieren.
 

Je nach Art und Ort des Verstoßes ist die zuständige Aufsichtsbehörde unterschiedlich. In Deutschland gibt es neben den Landesbehörden auch spezifische Aufsichtsstellen, z. B. für den Rundfunk und kirchliche Institutionen. Hier findest du eine Liste der Datenschutzbehörden.

Beispiele für meldepflichtige Datenschutzverstöße

1. Unbefugter Zugriff

• Interne Bedrohungen: Mitarbeiter, die auf Daten zugreifen, für die sie keine Berechtigung haben.
• Externe Bedrohungen: Hacker, die sich über Sicherheitslücken unbefugt Zugang zu den Daten eines Unternehmens verschaffen.

2. Unbeabsichtigte Gefährdung

• Unbeabsichtigte Veröffentlichung: Daten, die versehentlich online oder in öffentlichen Repositories veröffentlicht wurden.
• Unsachgemäße Vernichtung: Physische Dokumente oder digitale Geräte werden nicht ordnungsgemäß vernichtet, so dass die Daten nicht wiedergefunden werden können.

3. Datendiebstahl oder Exfiltration

• Hacking und Malware: Verwendung von bösartiger Software, um sensible Daten zu stehlen.
• Phishing-Angriffe: Angestellte werden dazu verleitet, Zugangsdaten preiszugeben, was zu Datenzugriff und -diebstahl führt.
• Insider-Diebstahl: Mitarbeiter:innen, die absichtlich vertrauliche Daten zur persönlichen Bereicherung oder Sabotage nutzen.

4. Ransomware-Angriffe

• Datenverschlüsselung: Cyberkriminelle verschlüsseln Unternehmensdaten und verlangen eine Zahlung, um sie freizugeben.
• Bedrohungen durch Datenlecks: Hacker drohen damit, gestohlene Daten freizugeben, wenn kein Lösegeld gezahlt wird.

5. Physischer Diebstahl oder Verlust

• Gestohlene Geräte: Laptops, Smartphones oder USB-Laufwerke mit sensiblen Daten werden gestohlen.
• Dokumentendiebstahl: Der Diebstahl von physischen Dokumenten, die sensible Informationen enthalten.
• Verlorene Hardware: Geräte mit unverschlüsselten sensiblen Daten, die von Mitarbeitern verloren werden.

6. Menschliches Fehlverhalten

• Falsch adressierte E-Mails oder Nachrichten: Versenden vertraulicher Daten an unbeabsichtigte Empfänger:innen.
• Falsche Datenweitergabe: Weitergabe von Daten an nicht autorisierte Personen innerhalb oder außerhalb der Organisation.
• Nachlässige Sicherheitspraktiken: Schwache Passwörter oder unzureichend gesicherte Systeme.

8. Verstöße von Drittanbietern

• Kompromittierte Dienstanbieter: Drittanbieterdienste, die Daten verarbeiten, werden angegriffen.
• Angriffe auf die Lieferkette: Datenverletzungen, die durch Schwachstellen in den Systemen von Zulieferern verursacht werden.

9. Social Engineering

• Angriffe durch Identitätswechsel: Angreifer geben sich als vertrauenswürdige Personen aus, um auf Daten zuzugreifen.
• Pretexting: Manipulation von Personen, damit sie unter falschem Vorwand sensible Informationen preisgeben.

10. Cloud-Sicherheitsprobleme

• Unsachgemäße Cloud-Konfigurationen: Ungesicherter Cloud-Speicher, der sensible Informationen preisgibt.
• Versagen der Zugriffskontrolle: Schwache oder falsche Zugriffsberechtigungen auf Cloud-basierte Daten.

Risikobewertung und Prävention

heyData bietet umfassende Tools zur Analyse potenzieller Schwachstellen in deinen Prozessen. Unser digitales Datenschutz-Audit hilft dir, präventive Maßnahmen zu ergreifen und Datenschutzverletzungen zu vermeiden.

Funktionen:

• Risikoanalyse: Erkenne potenzielle Bedrohungen proaktiv.
• Maßgeschneiderte Handlungsempfehlungen: Konkrete Maßnahmen zur Minimierung von Risiken.

Technische und organisatorische Maßnahmen

Unsere All-in-One Compliance-Lösung unterstützt dich dabei, alle notwendigen technischen und organisatorischen Maßnahmen (TOM) zu definieren und die Einhaltung der gesetzlichen Anforderungen sicherzustellen. Dazu gehören auch Compliance-Schulungen, die das Bewusstsein und Wissen deines Teams stärken. Als dein externer Datenschutzbeauftragter (DSB) stehen wir als Ansprechpartner zur Verfügung, um den Datenschutzprozess zu optimieren.

Melde- und Benachrichtigungssysteme

Bei einem Vorfall hilft dir heyData, die richtigen Schritte zu gehen:

• Behördenmeldungen innerhalb der Frist
• Dokumentation gemäß Art. 33 DSGVO
• Vorlagen zur Information betroffener Personen