Der Kartenverkäufer „Ticketmaster“ wurde offenbar Opfer eines Cyberangriffs. Eine Hackergruppe hat Daten von ca. 560 Millionen Kunden im Darknet zum Kauf angeboten. Das Unternehmen, das zum Konzern Live Nation gehört, hat die Behörden eingeschaltet.
Tatsächlich ist es keine Seltenheit, dass Unternehmen angegriffen werden und Daten abgesaugt werden. Die DSGVO macht u.a. Vorgaben dazu, wann, wie und welche „Datenpannen“ gemeldet werden müssen.
Haben Sie einen (Vorfalls-)Reaktionsplan? Wüssten Sie, was Sie machen müssen, wenn Sie eine potentielle Datenpanne bemerken?
Ein kurzer Überblick:
Der Europäische Datenschutzausschuss empfiehlt in seinen Leitlinien: Der verantwortliche Datenverarbeiter und die Auftragsverarbeiter sollten Verfahren einführen, die es ihnen ermöglichen, Datenschutzverletzungen zu erkennen und zügig einzudämmen, das Risiko für die betroffenen Personen zu bewerten und anschließend festzustellen, ob die zuständige Aufsichtsbehörde informiert werden muss, und die Betroffenen gegebenenfalls von der Datenschutzverletzung zu benachrichtigen.
Wann liegt eine „Datenpanne“ vor?
Bei einer Datenpanne handelt es sich um eine „Verletzung des Schutzes personenbezogener Daten“. Sie wird in Artikel 4 Absatz 12 DSGVO definiert als
„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Beispiele:
- Ein Gerät (z.B. Handy, USB-Stick), auf dem Kundendaten gespeichert sind, geht verloren oder wird gestohlen.
- Daten werden unbeabsichtigt oder durch eine unbefugte Person gelöscht
- Verschlüsselte Daten sind nicht mehr verfügbar, weil der Entschlüsselungsschlüssel verloren gegangen ist.
- Auch dann, wenn der normale Betrieb einer Organisation erheblich gestört wird, wie etwa bei einem Stromausfall oder einem Angriff in Form der gezielten Überlastung von Servern, mit der Folge, dass personenbezogene Daten nicht mehr verfügbar sind, kann eine Datenpanne vorliegen.
Findet eine Datenpanne statt, muss…
- diese unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde gemeldet werden. Es besteht dann keine Meldepflicht an die Behörde, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
- der jeweils Betroffene ebenfalls unverzüglich informiert werden, sofern die Datenpanne voraussichtlich nicht zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.
D.h. die Meldung an die Aufsichtsbehörde muss bereits erfolgen, sofern ein Risiko nicht ausgeschlossen werden kann.
Die Meldung an die Betroffenen muss hingegen nur erfolgen, sofern nicht ein hohes Risiko besteht. Im Rahmen der Benachrichtigung kann der Verantwortliche die betroffenen Personen über die durch die Datenschutzverletzung entstandenen Risiken informieren und ihnen mitteilen, wie sie sich selbst vor den möglichen Folgen der Verletzung schützen können.
Bei der Meldung an die Aufsichtsbehörde können sich die Verantwortlichen darüber beraten lassen, ob die betroffenen Personen informiert werden müssen. Die Aufsichtsbehörde kann den Verantwortlichen sogar anweisen, die Betroffenen über die Datenschutzverletzung zu unterrichten.
Man sollte das Thema nicht auf die leichte Schulter nehmen; man könnte versucht sein zu hoffen, dass niemand die Datenpanne bemerkt. Das geht aber nur solange gut, bis nicht bspw. mal ein Betroffener feststellt, dass seine Daten missbraucht wurden und den Missbrauch bei der Aufsichtsbehörde meldet. Kommt dann im Zuge der Ermittlungen heraus, dass der Datenverarbeiter die Datenpanne kannte, aber sie geflissentlich verschwiegen hat, kann es unangenehme Sanktionen nach sich ziehen.
Handlungsempfehlungen:
- Vorsorge ist besser als Nachsorge: Investieren Sie in die IT-Sicherheit und treffen Maßnahmen, dass es Unbefugten schon möglichst schwer gemacht wird.
- Unterweisen Sie Mitarbeiter im Umgang mit fremden Daten – insbesondere wenn sie im Homeoffice sind oder Endgeräte mit sich herumtragen (bspw. wenn sie auf Veranstaltungen unterwegs sind. Die massivste Stahltür vor dem Serverraum des Unternehmens hilft wenig, wenn Mitarbeiter sorglos ihre ungesicherten Laptops überall herumliegen lassen.
- Vereinbarten Sie mit Ihren Auftragsverarbeitern geeignete technische und organisatorische Maßnahmen („TOM´s“).
- Schulen Sie Ihre Mitarbeiter für den Fall einer Datenpanne: Was ist wann zu tun? Wie lange darf selbst nach dem vermutlich verloren gegangenen Handy gesucht werden, bevor der Verlust des Handys und damit auch der darauf befindlichen Daten dem Arbeitgeber gemeldet wird? Oder wenn der Büroschlüssel verloren wurde?
- Erstellen Sie einen Reaktionsplan, bestimmen Sie verantwortliche Personen und Vorgehensweisen.
- Lassen Sie sich fachlich beraten, ob eine Meldepflicht besteht und/oder welche Maßnahmen getroffen werden müssen. By the way: Hier können wir Sie qualifiziert unterstützen! Schreiben Sie uns eine E-Mail an info@eventfaq.de oder rufen uns an unter 0721 120500!
- Dokumentieren Sie in jedem Fall alle Maßnahmen, die Sie bei Bekanntwerden einer Datenpanne treffen – auch dann, wenn Sie nach einer Prüfung zu dem Ergebnis kommen, dass die Datenpanne nicht meldepflichtig ist.
- Prüfen Sie, ob ggf. eine Cyberversicherung sinnvoll ist; die hilft zwar nicht, die Datenpanne zu verhindern, aber sie mildert bestenfalls den eintretenden Schaden.