Cookie Consent
Diese Seite verwendet Cookies, um die Nutzererfahrung zu verbessern. Indem Sie auf Zustimmen klicken, erlauben Sie den Einsatz von Cookies. Mit Klick auf Ablehnen, werden die Cookies deaktiviert. Mehr Details finden Sie in unserer Datenschutzerklärung.
Ein Frachtschiff, als symbolisches Bild für ein Datenleck.
Lisa Figas | Marketing Manager
@meet_lisa
Tuesday, March 10, 2020

Ein Datenleck melden – wie geht das?

40% der befragten Führungskräfte gaben in einer 2019 durchgeführten Studie zu, dass ihr Unternehmen in den vergangenen drei Jahren konkrete Hinweise auf Cyberangriffe und Datenklau bekam. Experten und Expertinnen gehen davon aus, dass jedes Unternehmen früher oder später angegriffen wird oder Daten durch menschliche Fehler in falsche Hände geraten. Ein solcher Vorfall kann weitreichende Konsequenzen für ein Unternehmen sowie für durch das Datenleck geschädigten Personen haben.

Im ersten Teil unseres Artikels geben wir Ihnen Hinweise für den akuten Datenschutzvorfall. Im zweiten Teil geht es um vorbeugende technische und organisatorische Maßnahmen, die Sie in ihrem Unternehmen sofort umsetzen können um Datenlecks zu vermeiden.

Verhalten im Notfall: Wann muss ein Datenschutzverstoß gemeldet werden?

Die DS-GVO verlangt von Unternehmen die Meldung von Datenlecks an die Datenschutzaufsichtsbehörde und die betroffenen Personen. Von dieser Pflicht gibt es Ausnahmen, die ich weiter unten erläutere.

Welche Datenpannen müssen gemeldet werden?

Viele denken beim Thema Datenleck an Hacker, die versuchen, mit Phishing-Software in ein Unternehmensnetz einzudringen. Auch Social Engineering, wie zum Beispiel der sog. CEO-Fraud ist eine Methode, die in der Presse oft genannt wird. Diese Fälle gibt es und sie nehmen zu, aber wussten Sie, dass auch verloren gegangene Geräte eine meldepflichtige Datenpanne darstellen?

Meldepflichtige Datenschutzvorfälle sind beispielsweise:

  • Verlust von Geräten, auf denen personenbezogene Daten gespeichert wurden
  • Login-Daten sind in falsche Hände geraten
  • Vertrauliche Informationen wurden an eine Mailingliste verschickt
  • Statt BCC wurde CC genutzt und Empfängerlisten sind einsehbar
  • Daten wurden durch eine nicht autorisierte Person gelöscht
  • Erpressungssoftware hat das Firmennetzwerk infiziert
  • Trickbetrüger oder Trickbetrügerinnen sind an vertrauliche Informationen gelangt (beispielsweise durch Eindringen in das Gebäude, Flirtversuche oder geschickte Telefonate)

An wen muss eine Datenpanne gemeldet werden und welche Frist gilt für einen meldepflichtigen Datenschutzvorfall?

Datenschutzaufsichtsbehörden müssen innerhalb von 72 Stunden nach Kenntnis einer Datenpanne informiert werden. Wenn das Datenleck zu „einem Risiko für Rechte und Freiheiten natürlicher Personen“ führen könnte, müssen die betroffenen Personen unverzüglich informiert werden.

Folgende Informationen müssen an die Datenschutzbehörde übermittelt werden:

  • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  • Name und Kontaktdaten des oder der Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
  • Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • Protokoll der von dem oder der Verantwortlichen ergriffenen (oder vorgeschlagenen) Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Das Ziel dieser Dokumentation ist es, der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen von Artikel 33 zu ermöglichen.

Benachrichtigung betroffener Personen

Die Benachrichtigung betroffener Personen muss dann erfolgen, wenn das Datenleck zu „einem Risiko für Rechte und Freiheiten“ führen könnte. Aus diesem Grund ist der Informationspflicht sofort nachzugehen. Je nach Schwere des Vorfalls ist die Absprache mit der Datenschutzaufsichtsbehörde und gegebenenfalls auch den Strafverfolgungsbehörden notwendig.

Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen. Sie muss eine Beschreibung der Art der Datenverletzung enthalten. Und sie muss Empfehlungen zur Minderung etwaiger Auswirkungen enthalten, also zum Beispiel den Hinweis darauf, dass Passwörter geändert werden sollen.

Welche Datenschutzaufsichtsbehörde ist für welches Unternehmen zuständig?

Bei Unternehmen, die ihren Hauptsitz innerhalb der EU haben, ergibt sich die zuständige Aufsichtsbehörde für die Meldung einer Datenpanne (nach Art. 33 DS-GVO) aus dem Art. 55 DS-GVO „Zuständigkeit“. Völlig unabhängig von gegebenenfalls an anderen Standorten agierenden Geschäftsstellen, Zweigstellen oder Filialen ist dies die Aufsichtsbehörde des Landes, in dem das Unternehmen den Hauptsitz vorweisen kann. In Deutschland ist so zum Beispiel die Landesdatenschutzbehörde des jeweiligen Bundeslandes die erste Anlaufstelle für die Meldung eines Datenlecks nach DS-GVO ist.

Für Unternehmen außerhalb der EU-Mitgliedstaaten ist entscheidend, ob sie gegebenenfalls eine Niederlassung innerhalb der EU haben.

Grundsätzlich stellt sich bei Unternehmen mit oder ohne Niederlassung in der EU die Frage, ob die DS-GVO überhaupt anwendbar ist. Dies richtet sich nach Art. 3 Abs. 2 DS-GVO:

Die DS-GVO findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon ob von diesen betroffenen Personen eine Zahlung zu leisten ist; b) das Verhalten betroffene Personen zu beobachten soweit ihr Verhalten in der Union erfolgt.

Eine Zuständigkeit wird begründet, wenn die Verarbeitungstätigkeit auf Personen ausgerichtet ist, die ihren Wohnsitz in dem jeweiligen EU-Mitgliedstaat haben (Erwägungsgrund 122: Zuständigkeit der Aufsichtsbehörde). Eine „Ausrichtung“ ist anzunehmen, wenn die Datenverarbeitung dazu dient, Betroffenen in dem Mitgliedstaat Waren oder Dienstleistungen anzubieten oder sie zu beobachten. Folge ist dann, dass mehrere Aufsichtsbehörden zuständig sein können.

Vera Franz, Rechtsanwältin, Fachanwältin IT-Recht, Schmid Frank Rechtsanwälte PartG mbB

Für Unternehmen ohne Standort oder Niederlassungen innerhalb der EU gilt ausschließlich Art. 55 DS-GVO.

Hat das Unternehmen mindestens eine Niederlassung in der EU und liegen grenzüberschreitenden Verarbeitungen in unterschiedlichen Mitgliedstaaten vor, kommt das sogenannte One-Stop-Shop-Verfahren zur Anwendung. Die Intention ist, dass nur noch eine Aufsichtsbehörde „federführend“ verantwortlich ist. So müssen sich Unternehmen nicht mit möglicherweise divergierenden Entscheidungen verschiedener Aufsichtsbehörden auseinandersetzen.

Wann entfällt die Meldepflicht?

Die Meldepflicht für Datenschutzvorfälle entfällt, sobald eine von drei Bedingungen eintritt:

  1. Wenn unmittelbar nach der Datenpanne dafür gesorgt wurde, dass das Risiko für die betroffenen Personen nicht mehr besteht (bspw., wenn das verloren gegangene Gerät per Fernwartung gelöscht werden kann).
  2. Wenn technische und organisatorische Maßnahmen ergriffen wurden, die den Zugriff durch Unbefugte verhindern (bspw. Ende-zu-Ende-Verschlüsselung der Kommunikation und von Cloud-Speichern).
  3. Wenn ein Hinweis an die betroffenen Personen mit einem zu großen Aufwand verbunden wäre (eine Meldung an die Datenschutzaufsichtsbehörde muss dennoch erfolgen).

Entscheidungshilfe bei der Meldepflicht von Datenlecks gibt dieses Flowchart:

Ablaufdiagramm zur Meldepflicht von Datenlecks")

Vorbeugende Maßnahmen 1: Mitarbeiter auf den Notfall vorbereiten

Grundsätzlich ist es immer ratsam, eine Datenschutz-sensible Unternehmenskultur aufzubauen. Das bedeutet, dass alle Unternehmensangehörigen miteinbezogen werden müssen. Hier sind zwei Ziele wichtig:

  1. Mitarbeiter und Mitarbeiterinnen haben die Motivation „sicher“ sein zu wollen.
  2. Mitarbeiter und Mitarbeiterinnen haben die Kompetenz, richtige Entscheidungen zu treffen.

Leider ist dieses ideale Szenario schwer zu erreichen. Der Grund ist, dass Mitarbeiterschulungen üblicherweise das analytische System im Gehirn ansprechen, Phishing-E-Mails und Ransomware aber auf die Systeme Angst und Langeweile abzielen – und damit oft Erfolg haben. Deshalb ist es notwendig, zu überdenken, wie Mitarbeiter und Mitarbeiterinnen für IT-Sicherheit sensibilisiert werden.

Linus Neumann hat auf dem 36. Chaos Communication Congress, der Ende 2019 stattfand, verschiedene Vorschläge gemacht. So erreicht man seiner Erfahrung nach eine Lernerfahrung vor allem dadurch, dass man im eigenen Unternehmen Phishing-Fallen aufstellt und die Mitarbeiter und Mitarbeiterinnen gezielt mit E-Mails anspricht. Alle, die auf den Angriff hereinfallen und beispielsweise ihr Passwort preisgeben, kann man dann mit einem Video aufklären. Solche Maßnahmen sind relativ erfolgreich, aber leider nicht von langanhaltender Wirkung, weshalb sie regelmäßig wiederholt werden müssen. Wichtig ist auch, dass die Angriffsszenarien variiert werden müssen. Mitarbeiter und Mitarbeiterinnen, die erfolgreich Phishing-E-Mails ignorieren, stecken nämlich vielleicht trotzdem einen USB-Stick in ihren Rechner, wenn sie ihn auf dem Parkplatz finden.

Ebenfalls nicht zu unterschätzen ist die Qualität des Kontakts mit der IT-Abteilung. Wenn Mitarbeiter oder Mitarbeiterinnen Phishing zum Opfer gefallen sind, muss eine Meldung an die IT-Abteilung erfolgen, denn mit schneller Reaktion können oft größere Schäden vermieden werden. Es ist deshalb notwendig, dass die IT-Abteilung zu Meldungen ermutigt und sie belohnt.

Vorbeugende Maßnahmen 2: Technische Sicherheitsvorkehrungen einrichten

Auf technischer Ebene gibt es ebenfalls eine ganze Reihe vorbeugender Maßnahmen, mit denen das Risiko für Datenlecks gesenkt werden kann:

  1. Das Prinzip des geringstmöglichen Zugriffs. Mitarbeiter und Mitarbeiterinnen dürfen nur auf die Dateien zugreifen, die sie für ihre Arbeit benötigen. Benutzerrechte werden so sparsam wie möglich vergeben.
  2. Verschiedene Bereiche der IT-Infrastruktur werden voneinander abgeschottet. Produktion-Server oder Büro-Infrastruktur sollte nicht in demselben Netzwerk laufen, in dem auch die Büro-Rechner hängen. VLANs sind eine gute Option.
  3. Besonders sensible Daten sollten getrennt von anderen Daten gespeichert werden.
  4. Für sensible Prozesse (Überweisungen, Datenübermittlung, etc.) gibt es festgelegte Prozesse.
  5. Die Verwendung von Passwortmanagern sollte verpflichtend sein. So können selbst ausgedachte Passwörter, die man sich leicht merken kann und die mehrfach verwendet werden, vermieden werden.
  6. Sicherheitsprozesse sollten nicht per E-Mail oder im Browser abgebildet werden.

Datenlecks entdecken

Hacker brauchen im Durchschnitt zwei Stunden um bei sich bei einem Angriff durch die IT-Systeme zu bewegen und Schaden anzurichten. Einigen Gruppen gelingt das sogar in weniger als 30 Minuten. Hält man sich vor Augen, dass Unternehmen in Deutschland etwa 11 Tage benötigen, um auf einen derartigen Angriff zu reagieren, wird deutlich, wie viel Handlungsbedarf es diesbezüglich noch gibt. International liegt die Reaktionszeit immerhin schon bei 7 Tagen, allerdings ist das natürlich auch noch viel zu lang.

Im Idealfall wird ein Angriff auf das Netzwerk innerhalb kürzester Zeit durch automatische Überwachung der Systeme erkannt und schnellstmöglich unterbrochen. Eine kurze Reaktionszeit ist eine große Herausforderung für träge Unternehmensstrukturen, das ist klar. Fest steht aber: Reagieren Sie so schnell es geht.

Probealarm

Ähnlich wie bei einem Brandschutzplan oder einer Feueralarm-Übung ist es ratsam, die Reaktion auf ein Datenleck durchzuspielen. Ein Standardprozess hilft dabei, die Abstimmung zwischen der IT-Abteilung, der Rechtsabteilung und dem/der Datenschutzbeauftragten zu optimieren. Eine Checkliste sollte fester Bestandteil dieser Strategie sein.

Größere Unternehmen können darüber nachdenken, ein interdisziplinäres Data Breach Incident Team aufzubauen. So ein Team ist kurzfristig verfügbar und darauf spezialisiert, auf Datenpannen zu reagieren. Es macht auch Sinn einen IT-Anwalt oder eine Fachanwältin hinzuzuziehen und sich mit der PR-Abteilung abzusprechen – je nach Schwere des Datenlecks.

Die Kontaktdaten dieser Personen und die Checkliste sollten auf Papier verfügbar sein, damit man auch bei einer kompletten Abschaltung der IT-Infrastruktur noch darauf zugreifen kann. Einige Rechner, die nicht in die Firmen-Infrastruktur eingebunden sind, könnten im Notfall die Einsatzfähigkeit dieses Teams sicherstellen.

Fazit

Datenlecks richten in Unternehmen großen Schäden an. Mit der fortschreitenden Digitalisierung steigt das Risiko, wenn Unternehmen nicht bei jedem Schritt die IT-Sicherheit mitdenken. Mit vorbeugenden Maßnahmen und einem Bewusstsein für die Relevanz von IT-Sicherheitsmaßnahmen können Sie dieses Risiko enorm senken. Falls Sie dennoch betroffen sein sollten, bleiben Sie ruhig und reagieren Sie schnell. Angst vor Strafzahlungen nach der DS-GVO müssen hauptsächlich Unternehmen haben, die bewusst fahrlässig mit sensiblen Daten umgehen. Selbst im Falle eines Datenlecks haben Sie wenig zu befürchten, wenn im Voraus technische und organisatorische Maßnahmen getroffen wurden und Sie bei Bekanntwerden des Vorfalls schnell und kooperativ reagieren. Wenn Sie Unterstützung bei der Sicherung Ihrer Daten in der Cloud benötigen, unterstützen wir Sie gerne dabei.

Weitere Informationen über Boxcryptor für Teams

Machen Sie Datenschutz zur Priorität, um zuverlässig Schaden von Ihrer Firma abzuwenden. Boxcryptor Company und Boxcryptor Enterprise helfen Ihnen, die Vorteile der Cloud zu nutzen, unter Einhaltung interner und externer Compliance-Richtlinien.

Jetzt informieren
Beitrag teilen