Datenverlust im Unternehmen – Was ist zu tun?

daten 47
Fachbeitrag

Kürzlich wurde bekannt, dass im April in Kanada zwei mobile Festplatten mit den Daten von zwei Millionen Wählern verschwunden sind. Die unverschlüsselten Festplatten waren bei einem Datentransport in ein anderes Gebäude verloren gegangen. Die kanadischen Behörden haben erst jetzt die Öffentlichkeit über den Vorfall informiert.

Wir wollen die Gelegenheit nutzen und beleuchten, wie sich deutsche Unternehmen bei einem Verlust sensibler Daten zu verhalten haben.

Regelung in § 42a BDSG

Seit der letzten Änderung des Bundesdatenschutzgesetzes (BDSG) findet sich eine konkrete Regelung für den Verlust besonders sensibler Daten in § 42a BDSG. Diese Vorschrift zur sogenannten Security-Breach-Notification betrifft unter anderem besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG, z.B. Gesundheitsdaten) und Bank- oder Kreditkartendaten. Gehen diese Daten verloren und drohen schwerwiegende Beeinträchtigungen für die Rechte der Betroffenen, so sind die Aufsichtsbehörde und die Betroffenen unverzüglich zu informieren.

Unverzügliche Information der Aufsichtsbehörde und der Betroffenen

Unverzüglich bedeutet in diesem Zusammenhang, dass die Aufsichtsbehörde zu informieren ist, sobald der Vorfall der datenverarbeitenden Stelle bekannt wird.

Anders als bei der Behörde ist bei der Information der Betroffenen unter Umständen die Verschwiegenheit nicht immer gewahrt. Um aber zu verhindern, dass z.B. die aufgetretene Sicherheitslücke auch von anderen Angreifern ausgenutzt wird, kann die Information der Betroffenen in Absprache mit der Behörde zunächst zurückgestellt werden.

Inhaltlich muss die Information “eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten”. So sollen die Schäden für die Betroffenen möglichst gering gehalten werden.

Halbseitige Anzeige in zwei Tageszeitungen

Bei der Information der Betroffenen muss beurteilt werden, ob die Benachrichtigung einen unverhältnismäßigen Aufwand darstellt. Dies kann sich z.B. aus der großen Anzahl der Betroffenen ergeben oder aus der Tatsache, dass nicht alle Anschriften der Betroffenen bekannt sind. In diesen Fällen erfolgt die Information durch eine halbseitige Anzeige in zwei deutschlandweit erscheinenden Tageszeitungen.

Image-Schaden mit enormen Ausmaßen

Auch wenn bislang noch keine Anzeigen geschaltet werden mussten, ist bei einem Datenverlust das Risiko für das Unternehmensimage enorm. Da der Datenschutz in den letzten Jahren immer mehr ins Blickfeld der Öffentlichkeit gerät, wird das Vermeiden eines Datenlecks für die Außenwirkung eines Unternehmens geradezu überlebenswichtig.

Schutz durch Verschlüsselung

Sind Daten erst einmal verloren gegangen, kann nur noch Schadensbegrenzung betrieben werden. Besser ist es daher, bereits frühzeitig Maßnahmen zum Schutz der Daten zu ergreifen.

Die folgende Schritte helfen dabei, Datenverlust nach Möglichkeit zu vermeiden:

  • Schriftliches Konzept zum Umgang mit Daten inkl. Anweisung zur Verwendung mobiler Datenträger
  • Schulung und Sensibilisierung der Mitarbeiter im Hinblick auf die Risiken eines Datentransportes
  • Technische Lösung zur Verschlüsselung der Daten vor dem Transport, z.B. mit TrueCrypt oder Winzip mit 256-bit AES-Verschlüsselung

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.