Die Datenschutzgrundverordnung schreibt zahlreiche Maßnahmen vor, mit denen die Sicherheit der Verarbeitung personenbezogener Daten sichergestellt werden soll. Trotzdem kann es zu Datenschutzpannen kommen. Dies geschieht insbesondere dann, wenn die Vorgaben zur Sicherheit der Verarbeitung nicht umgesetzt wurden. Dieser Beitrag beschäftigt sich mit der Ausgestaltung eines Prozesses um schnell und effektiv auf Datenpannen reagieren zu können.
Der Inhalt im Überblick
Was sind Datenpannen?
Nach Art. 4 Nr.12 DSGVO ist eine Datenpanne – das Gesetz spricht formal von einer Verletzung des Schutzes personenbezogener Daten – eine Verletzung der Sicherheit,
- die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung,
- oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten
führt.
Beispiele für Datenpannen sind: die Löschung durch eine nicht autorisierte Person, die Unmöglichkeit der Wiederherstellung eines Backups, das Abhandenkommen eines Schlüssels zur Entschlüsselung, ein Datendiebstahl (durch Hacking oder physisches Eindringen in eine geschützte Umgebung), ein Befall durch Ransomware oder der Verlust eines mobilen, unverschlüsselten Datenträgers.
Vom Verantwortlichen fordert die Datenschutzgrundverordnung in Erwägungsgrund 87, dass er feststellen kann, ob eine Datenpanne aufgetreten ist und dass er die Aufsichtsbehörde und die betroffene Person umgehend darüber unterrichtet.
Wann eine solche Meldepflicht gem. Art. 33 und Art. 34 DSGVO besteht, welche Fristen und inhaltlichen Anforderungen gelten können Sie in unserem Beitrag zur Data Breach Notification nachlesen.
Reaktionsplan bei Datenpannen
Damit der Verantwortliche die Meldepflichten entsprechend der gesetzlichen Vorgaben zügig umsetzen kann, muss er sich auf den Eintritt von Datenpannen und die anschließende Reaktion vorbereiten. Gibt es keinen entsprechenden Reaktionsplan, dann können die gesetzlichen Vorgaben zur Meldung der Verletzung oft nur schlecht oder überhaupt nicht erfüllt werden. Dazu gehören auch klare Zuständigkeitsregelungen, damit nach einem Vorfall kein Stillstand aufgrund fehlender Verantwortlichkeiten eintritt.
Der Reaktionsplan sollte folgende Schritte enthalten:
- Schnelle Kenntniserlangung von Datenpannen
- Bewertung
- Maßnahmen zur Abwendung/Eindämmung
- Entscheidung ob eine Meldung erfolgen soll
- Meldung an die Aufsichtsbehörde oder den Betroffenen
Schnelle Kenntniserlangung
Der erste Schritt, die zügige Kenntniserlangung von Datenpannen und deren anschließende Weiterleitung an den Datenschutzbeauftragten, nimmt oft unnötig viel Zeit in Anspruch. Diese Zeit fehlt dann um den Vorfall fristgerecht an die Aufsichtsbehörde oder den Betroffenen zu melden. Wenn es sich beim Verantwortlichen um eine juristische Person handelt, dann kommt es bei der Kenntniserlangung auf die Mitarbeiter an, die nach der betrieblichen Organisation für die Verarbeitung der personenbezogenen Daten verantwortlich sind. Den Mitarbeitern sollte kommuniziert werden, dass die zügige Weiterleitung des Vorfalls an den Datenschutzbeauftragten besonders wichtig ist. Betroffene Mitarbeiter reagieren oft zaghaft, da sie Konsequenzen wegen eigenem Verschulden fürchten. Es muss deshalb kommuniziert werden, dass durch zügiges Handeln viel Schaden abgewendet werden kann und dass die Meldung des Vorfalls an den Datenschutzbeauftragten auch im Interesse des Mitarbeiters liegt.
Bewertung von Datenpannen
Wird der Vorfall zügig an den Datenschutzbeauftragten herangetragen, so kann dieser anschließend eine Bewertung der Datenpanne durchführen. Der Reaktionsplan sollte Leitlinien oder Kriterienkataloge enthalten, die eine zügige Bewertung und Risikoanalyse ermöglichen. Mögliche Kriterien zur Ermittlung des Risikos einer Datenschutzpanne sind u.a. die Kategorien der betroffenen Daten oder die Art der Verletzung.
Durchführung von Gegenmaßnahmen
Ein Reaktionsplan sollte für die verschiedenen Arten von Datenschutzpannen entsprechende Gegenmaßnahmen enthalten und deren Durchführung hinreichend beschreiben. Hierfür kann insbesondere auf die Erfahrung aus der Bewältigung vergangener Datenpannen zurückgegriffen werden.
Entscheidung über die Meldung des Vorfalls
An die Bewertung der Datenpanne schließt sich die Entscheidung an, ob eine Meldung an die Aufsichtsbehörde und/oder an den Betroffenen erfolgen soll. Bei der Entscheidung ist in Unternehmen die Geschäftsführung mit einzubeziehen. Bei positiver Entscheidung erfolgt dann die Meldung an die Aufsichtsbehörde und/oder den Betroffenen. Nähere Informationen zu den formalen Anforderungen an die Mitteilung finden Sie in unserem Beitrag zur Data Breach Notification.
Beispiele für Datenpannen, die eine Meldung an die Aufsichtsbehörde und den Betroffenen erfordern:
- Ein großes E-Commerce-Unternehmen wird Opfer eines Cyper-Angriffs und Hacker veröffentlichen Namen und Passwörter von Kunden
- Für die Behandlung von Patienten notwendige Gesundheitsdaten sind in einem Krankenhaus für einen Zeitraum von über 24 Stunden nicht abrufbar
- Eine große Zahl personenbezogener Daten von Studenten wird an eine falsche Empfängerliste mit über 5000 Empfängern geschickt
Beispiele für Datenpannen, die in der Regel keine Meldung erfordern:
- Abhandenkommen eines mobilen Datenträgers, der nach aktuellem Standard verschlüsselt ist
- Ein kurzer Stromausfall in einem Call-Center, der dazu führt, dass Kunden vorübergehend die für sie relevanten Daten nicht abfragen können
Probeläufe und Dokumentation
Entworfene Reaktionspläne helfen nur dann im Ernstfall, wenn sie vorher erprobt wurden. Werden Schwächen erst bei einem Datenschutzvorfall aufgedeckt, ist es zu spät. Daher sind in regelmäßigen Abstände Probeläufe durchzuführen. Die gewonnenen Erkenntnisse sollten außerdem dokumentiert werden, nur so können die Stärken und Schwächen eines Reaktionsplans später nachvollzogen werden.
Zitat:
„Beispiele für Datenpannen, die eine Meldung an die Aufsichtsbehörde und den Betroffenen erfordern:
…
Für die Behandlung von Patienten notwendige Gesundheitsdaten sind in einem Krankenhaus für einen Zeitraum von über 24 Stunden nicht abrufbar
…“
Das sehe ich durchaus differenzierter. Hier sollte vor einer Meldung die Ursache für den Ausfall geklärt werden. Wenn mein Computersystem aufgrund eines Hardwaredefektes abgeraucht ist und ich die Behandlung der Patienten im Krankenhaus aufrecht erhalten kann (Papierakte), ist mE keine Meldung an die Aufsichtsbehörde notwendig. Die Betroffenen (Patienten) bekommen es sowieso mit. Bei einer reinen ePA (elektronische Patientenakte) könnte man vielleicht darüber diskutieren, wenn eine Behandlung der Patienten nicht mehr möglich ist. Da habe ich aber dann ein anderes Problem. Bei einer reinen ePA sollte nach 1 Std. Ausfall schon Großalarm ausgelöst werden.
Sollte der Ausfall durch eine Cyberattacke ausgelöst worden sein, muss man nicht mehr überlegen, dann ist die Meldung Pflicht.
Ich kann mir gut vorstellen, dass es nach einem Jahr DSGVO von den Ausfichtsbehörden Guidelines geben wird, auf welche Art von Meldungen verzichtet werden kann.
Ich kann mir nämlich beim besten Willen nicht vorstellen, dass eine Aufsichtsbehörde an einer Meldung wie „Festplatten in der IT des KH XYZ durch techischen defekt am Sonntag Nachmittag ausgefallen. Neue Festplatten am Montag Mittag geliefert, Backup am Nachmitag aufgespielt – läuft wieder. Patientenversorgung nicht eingeschränkt. Haben für die Zuknft jetzt immer 10 Festpaltten auf Reserve.“
Mich beschäftigen in diesem Zusammenhang zwei Probleme:
1. Stellt das „Nicht-Löschen“ personenbezogener Daten eine Verletzung i.S.v. Art. 4 Nr.12 dar? Beispiel: elektronische Personalakte enhält kritische Sachverhalte zum Betroffen, die nach Ablauf der Aufbewahrungsfrist nicht gelöscht wurden!
2. Stellen falsche Berechtigungen von Mitarbeitern, wodurch diese die Möglichkeit haben, personenbezogene Daten einzusehen, wozu aufgrund ihrer Tätigkeitsbeschreibung keine Veranlassung besteht, eine Verletzung i.S.v. Art. 4 Nr.12 dar? Beispiel: Auszubildender durchläuft während seiner Ausbildung zahlreiche Unternehmensbereiche und erhält so eine Vielzahl von Berechtigungen. Auf Grund eines nicht funktionierenden Berechtigungsmanagements werden ihm nicht mehr benötigte Berechtigungen nicht wieder entzogen.
Im Art. 33 (Meldung von Verletzungen) steht: „…es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. …“
Hier ist definitiv die Geschäftsführung gefragt. Es sollte eine Risikomatrix im Unternehmen geben und gemäß dieser ist das Risiko für den Betroffenen einzuschätzen. Letztendlich ist es eine Entscheidung der Führung, ob ein Verstoß gemeldet wird oder nicht.
In den genannten Fällen würde ich so aus dem Bauch heraus (ohne weitere Informationen zu kennen) Verstoß ja, aber ob daraus eine Meldepflicht entsteht lässt sich so nicht beurteilen.
Bei dem ersten Beispiel handelt es sich nicht um eine Datenschutzverletzung im Sinne des Art. 4 Nr.12 DSGVO.
In diesem Fall liegt keine Verletzung der Sicherheit vor, sondern es fehlt an einer Rechtsgrundlage für die weitere Speicherung. Diese Fälle werden von der Definition nicht erfasst.
Im zweiten Beispiel wurden zwar die Anforderungen an die Sicherheit der Verarbeitung durch ein mangelhaftes Berechtigungsmanagement verletzt, aber auch hier liegt (noch) keine Datenschutzverletzung nach Art. 4 Nr.12 DSGVO vor. Anders wäre es aber, wenn der Azubi über die Berechtigungen Daten an Dritte übermittelt und die Daten somit die verantwortliche Stelle verlassen.