Die Bearbeitung der Meldungen nach Art. 33 DSGVO hat sich auf hohem Niveau eingependelt und beschäftigten nach wie vor fast den kompletten technischen Bereich der Datenschutzaufsicht.
Eine Sicherheitsverletzung nach DSGVO umfasst nicht nur unbefugte oder ungewollte Übermittlungen oder Zugangsmöglichkeiten zu personenbezogenen Daten, sondern auch Störungen der Verfügbarkeit, die mit einer risikobehafteten Beeinträchtigung der betroffenen Person einhergeht.
Sobald eine Meldung eingeht, erfolgt eine strukturierte Bearbeitung nach folgendem Schema:
1. Schadensbegrenzung
Kernfrage ist, ob die Ursache eines Vorfalls noch fortbesteht (z. B. Fehlkonfiguration eines Webservers oder Cyberattacke) und ein Eingreifen im Sinne einer beratenden Unterstützung oder gar aufsichtlicher Abhilfemaßnahmen von unserer Seite aus erforderlich ist. In den meisten der gemeldeten Fällen waren die „Datenpannen“ aber Chefsache bei den Unternehmen und ursächliche Lücken, sofern machbar, entsprechend unverzüglich abgestellt worden.
2. Risikovalidierung
Prüffrage ist, ob ein „Risiko“ oder ein „hohes Risiko“ vorliegt. Bei einem hohen Risiko müssen die Betroffenen nach Art. 34 DSGVO über den Vorfall informiert werden.
3. Zukünftige Risikominimierung
Im Sinne einer „Lesson Learned“ schauen wir, ob ggf. weitere technische und organisatorische Maßnahmen getroffen werden können, um einen derartigen Vorfall möglichst in der Zukunft zu vermeiden. Aber: Einen hundertprozentigen Schutz vor Sicherheitsvorfällen gibt es auch im Datenschutz nicht immer, da insbesondere menschliche Fehlhandlungen zwar durch Schulungen reduziert, nie aber garantiert abgestellt werden können.
4. Formaler Abschluss oder weitere Ermittlungen
Mit einem formalen Abschluss wird die Meldung nach Art. 33 DSGVO abgeschlossen. In wenigen Fällen, insbesondere wenn die Aufarbeitung einer Sicherheitsverletzung schleppend oder kaum vorangeht, leiten wir zusätzliche aufsichtliche Ermittlungen mit Fragebögen und teils Vor-Ort-Kontrollen ein.
Die Art der Meldungen nach Art. 33 DSGVO strukturieren die Datenschutzbehörde nach folgenden Kategorien:
- Cyberattacken
Kriminelle Angriffe über das Internet auf Firmennetzwerke, Webanwendungen oder mittels Social Engineering auf Mitarbeiter
- Schadcode
Schadcodevorfälle, die nicht verlässlich von einem Virenscanner unterbunden und durch die Zugang zu bspw. Dateien, E-Mails oder IT-Systemen erlangt wurde. Dazu gehört auch die Verschlüsselung mit dem Ziel der Erpressung.
- Fehlkonfiguration
Meist Berechtigungsfehler, die zum Zugang zu personenbezogenen Daten wie bspw. interne Gehaltslisten oder über das Internet erreichbare Datenbankbackups führen. Ursache sind keine kriminelle Angriffe sondern meist menschliche Fehlhandlungen.
- Diebstahl/Verlust
Dokumente oder Datenträger mit personenbezogenen Daten kommen abhanden. Sofern nicht verschlüsselt, muss das Schadenspotential abgeschätzt und ggf. eine Meldung bei uns eingereicht werden.
- Fehlversendung
Entweder Versand von (postalischen) Schreiben an falsche Empfänger oder fehlerhafte Kuvertierungen, bei denen mehrere Schreiben in einen Brief verpackt werden. Obwohl der Empfängerkreis bei der Schadens- und Eintrittswahrscheinlichkeit berücksichtigt werden kann, machen diese Art der Meldungen von der Anzahl her noch die größte Kategorie aus.
- Sonstige Informationsweitergabe
Insbesondere die (verbale) Weitergabe von sensitiven Informationen wie bspw. Bankdaten bei Scheidungsverfahren fallen in diese Kategorie. Da dies meist Einzelfälle sind, werden Erstverstöße ohne Einleitung von weiteren Ermittlungsverfahren effizient abgeschlossen.
- Buchungs-/Eingabefehler
Meist sind dies Softwarefehler, die zu einer falschen Belastung von Bank- /Versicherungskonten führen. Da die finanziellen Schäden meist unverzüglich „geheilt“ werden, sind Meldungen nach Art. 33 DSGVO nur bei zusätzlichen Weitergabe von bspw. Überweisungsdaten erforderlich.
- Sonstiges
Alle weiteren Fälle, bei denen es zu einer unbefugten oder ungewollten Verarbeitung personenbezogener Daten kommt.
Die Behörde geht davon aus, dass die Bearbeitung der Sicherheitsverletzungen trotz bereits durchgeführter Optimierungen auch zukünftig weiterhin den Großteil des technischen Personals bindet. Dies mag zum einen daran liegen, dass insbesondere die kriminellen Angriffe zunehmend komplexer werden, andererseits aber auch daran, dass bei bayerischen Unternehmen die Integration der DSGVO in den Unternehmensalltag meist gut umgesetzt wurde und Sicherheitsverletzungen auch als solche erkannt und gemeldet werden. Eine hohe Anzahl von Art.-33-Meldungen bedeuten deswegen nicht zwingend, dass das Datenschutzniveau in den Unternehmen nicht gut ist. Gerade die Rolle der betrieblichen Datenschutzbeauftragten kann hier nicht hoch genug gewürdigt werden, da diese häufig unsere ersten Ansprechpartner und Fachexperten bei der Vorfallbearbeitung in den betroffenen Unternehmen darstellen.
Quelle: BayLDA
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks