Zum Inhalt springen Zur Navigation springen
Datenverlust im Unternehmen – Was ist zu tun?

Datenverlust im Unternehmen – Was ist zu tun?

Kürzlich wurde bekannt, dass im April in Kanada zwei mobile Festplatten mit den Daten von zwei Millionen Wählern verschwunden sind. Die unverschlüsselten Festplatten waren bei einem Datentransport in ein anderes Gebäude verloren gegangen. Die kanadischen Behörden haben erst jetzt die Öffentlichkeit über den Vorfall informiert.

Wir wollen die Gelegenheit nutzen und beleuchten, wie sich deutsche Unternehmen bei einem Verlust sensibler Daten zu verhalten haben.

Regelung in § 42a BDSG

Seit der letzten Änderung des Bundesdatenschutzgesetzes (BDSG) findet sich eine konkrete Regelung für den Verlust besonders sensibler Daten in § 42a BDSG. Diese Vorschrift zur sogenannten Security-Breach-Notification betrifft unter anderem besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG, z.B. Gesundheitsdaten) und Bank- oder Kreditkartendaten. Gehen diese Daten verloren und drohen schwerwiegende Beeinträchtigungen für die Rechte der Betroffenen, so sind die Aufsichtsbehörde und die Betroffenen unverzüglich zu informieren.

Unverzügliche Information der Aufsichtsbehörde und der Betroffenen

Unverzüglich bedeutet in diesem Zusammenhang, dass die Aufsichtsbehörde zu informieren ist, sobald der Vorfall der datenverarbeitenden Stelle bekannt wird.

Anders als bei der Behörde ist bei der Information der Betroffenen unter Umständen die Verschwiegenheit nicht immer gewahrt. Um aber zu verhindern, dass z.B. die aufgetretene Sicherheitslücke auch von anderen Angreifern ausgenutzt wird, kann die Information der Betroffenen in Absprache mit der Behörde zunächst zurückgestellt werden.

Inhaltlich muss die Information „eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten“. So sollen die Schäden für die Betroffenen möglichst gering gehalten werden.

Halbseitige Anzeige in zwei Tageszeitungen

Bei der Information der Betroffenen muss beurteilt werden, ob die Benachrichtigung einen unverhältnismäßigen Aufwand darstellt. Dies kann sich z.B. aus der großen Anzahl der Betroffenen ergeben oder aus der Tatsache, dass nicht alle Anschriften der Betroffenen bekannt sind. In diesen Fällen erfolgt die Information durch eine halbseitige Anzeige in zwei deutschlandweit erscheinenden Tageszeitungen.

Image-Schaden mit enormen Ausmaßen

Auch wenn bislang noch keine Anzeigen geschaltet werden mussten, ist bei einem Datenverlust das Risiko für das Unternehmensimage enorm. Da der Datenschutz in den letzten Jahren immer mehr ins Blickfeld der Öffentlichkeit gerät, wird das Vermeiden eines Datenlecks für die Außenwirkung eines Unternehmens geradezu überlebenswichtig.

Schutz durch Verschlüsselung

Sind Daten erst einmal verloren gegangen, kann nur noch Schadensbegrenzung betrieben werden. Besser ist es daher, bereits frühzeitig Maßnahmen zum Schutz der Daten zu ergreifen.

Die folgende Schritte helfen dabei, Datenverlust nach Möglichkeit zu vermeiden:

  • Schriftliches Konzept zum Umgang mit Daten inkl. Anweisung zur Verwendung mobiler Datenträger
  • Schulung und Sensibilisierung der Mitarbeiter im Hinblick auf die Risiken eines Datentransportes
  • Technische Lösung zur Verschlüsselung der Daten vor dem Transport, z.B. mit TrueCrypt oder Winzip mit 256-bit AES-Verschlüsselung
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.