Da hat man nun einen schönen internen Prozess für die Bearbeitung und Dokumentation von Datenschutz-Vorfällen. Perfekt, oder? Eigentlich schon.
Aber dort, wo die Vorfälle passieren, ist oft nicht bekannt, was ein solcher Vorfall ist. Was nicht als (womöglich meldepflichtiger) Vorfall erkannt wird, wird schlicht auch nicht gemeldet. Da hilft der schönste Prozess nichts.
Nun ist es nicht ganz einfach, für die Organisation spezifisch zu definieren, was ein Datenschutz-Vorfall ist. In manchen Bereichen macht das vielleicht Sinn. Viel wichtiger ist es, das generelle Bewusstsein der Beschäftigten und Auftragsverarbeiter zu schärfen.
Unter dem Teppich ist noch Platz!
Intern gilt: lieber mal ein Problem, einen Fehler oder ein Versehen in Zusammenhang mit personenbezogenen Daten "zu viel" an Vorgesetzte oder Datenschutzbeauftragte melden.
Die "Fehlerkultur" in einem Unternehmen sollte dies natürlich auch zulassen. Wem "der Kopf abgerissen" wird, weil er Fehler macht, der wird auch möglichst wenig melden.
Die letztendliche Beurteilung, ob das ein Datenschutzvorfall ist, ob dieser nur intern behandelt und dokumentiert oder an die Aufsichtsbehörde gemeldet werden muss, ob Betroffene benachrichtigt werden müssen, etc. liegt beim Verantwortlichen und seinen Datenschutz-Experten. Dazu auch der Hinweis auf meinen Blog-Artikel "Datenpannen melden! Oder eher nicht?".
Kurz zur Erinnerung: die DSGVO
Die Beschreibung aus Art. 4 Nr. 12 DSGVO gibt recht viel her, ist aber in der Praxis auch sehr schwer definierbar. Nochmal zur Erinnerung, was dort zu „Verletzung des Schutzes personenbezogener Daten“ definiert ist:
„eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Irgendwie ist das „alles“, was unerwünscht mit personenbezogenen Daten passieren könnte.
Der Europäische Datenschutzausschuss (EDSA bzw. EDBP) teilt Vorfälle in drei Kategorien ein:
- Verletzung der Vertraulichkeit
-
- unberechtigte oder unbeabsichtigte Offenlegung von oder Zugang zu personenbezogenen Daten
- Verletzung der Integrität
-
- unberechtigte oder unbeabsichtigte Veränderung von personenbezogenen Daten
- Verlust der Verfügbarkeit
-
- unberechtigter oder unbeabsichtigter Verlust des Zugangs zu personenbezogenen Daten oder Zerstörung dieser
Ein paar Beispiele:
Versehen
Die Mail oder der Brief unbeabsichtigt mit Kundenangaben an einen falschen Empfänger gesendet, versehentlich eine Personalsache an die große Gruppe in „CC:“ gesendet, die interne Gehaltsstatistik auf dem öffentlichen Laufwerk statt im HR-Ordner abgelegt, die interne Telefonliste irrtümlich an einen externen Empfänger gesendet, die Personalrats-Angelegenheit auf dem Kopierer liegen gelassen, Unterlagen mit Pflegedaten nicht in den Schredder, sondern in den Papiermüll, etc…
Aber auch Spezialisten passieren Fehler. Falsche oder zu weitgehende Zugangsberechtigungen vergeben, entzogene Berechtigungen nicht gesperrt und damit sensible Daten offengelegt, Fehlkonfigurationen in Systemen, etc.
Verlust von Dokumenten oder Datenträgern
Beim Transport von Dokumenten, DVDs, USB-Sticks kann etwas passieren - sie gehen verloren. Befinden sich personenbezogene Daten darauf, ist dies ein Vorfall.
Werden Dokumente gestohlen oder sind sie aus anderen nicht nachvollziehbaren Gründen nicht mehr auffindbar, kann dies einen Datenschutzvorfall bedeuten.
„Ransomware“
Ransomware ist Schadsoftware, die z.B. genutzt wird um Daten zu verschlüsseln und von Unternehmen Geld zu erpressen. Dabei werden Daten von der Schadsoftware verschlüsselt und die Organisation soll bezahlen, um den Entschlüsselungs-Key vom Erpresser zu erhalten.
Meist ist dies ein Datenschutzvorfall, der zum Verlust des Zugangs zu personenbezogenen Daten führt. Fehlt eine Sicherung der Daten, sind zudem meist die Daten eines längeren Erhebungszeitraums verloren.
Cyber-Angriffe
Es gibt viele Arten von Angriffen auf IT-Infrastrukturen von außen. Diese werden als „Hacking“ oder Cyber-Angriffe bezeichnet. Zumeist werden Schwachstellen in Standard-Software (z.B. Hafnium-Angriff auf Exchange Server) oder andere Mängel in Sicherheitsvorkehrungen ausgenutzt, um Schadsoftware in Systemen zu platzieren (z.B. sog. SQL Injection) oder Systeme zu übernehmen. Manchmal wird auch versucht, Organisations-wichtige Systeme zu überlasten (z.B. DoS oder DDoS Angriffe), so dass diese unter der Flut automatisierter Zugriffe zusammenbrechen.
Sind personenbezogene Daten von diesen Angriffen betroffen (z.B. Abfluss von Daten wie z.B. hashed passwords, Kompromittierung von Datenbanken, vollständiger Ausfall von Systemen durch Überlastungsangriffe o.ä.) so können Vertraulichkeit, Integrität und/oder Verfügbarkeit beeinträchtigt sein.
Interne Angriffe
Auch Beschäftigte können der Organisation Schaden zufügen. So ist der „unzufriedene Mitarbeiter“ oft die Ursache für Abfluss von z.B. Kundenlisten und anderen vertraulichen Informationen.
Aber auch Manipulation von Daten oder Sabotage von Systemen kann personenbezogene Daten betreffen.
Identitätsdiebstahl
Anrufer können sich mit Daten identifizieren, die sie über vorherige Angriffe gestohlen haben. Diese werden benutzt, um Daten abzufragen, zu denen sie keine Berechtigung haben. Mail-Versender benutzen scheinbar korrekte Mail-Adressen um Phishing-Mails zu versenden.
Werden dabei personenbezogene Daten offengelegt oder gestohlen, Schadsoftware eingeschleust oder ähnliche unbefugte Aktionen getätigt, die Auswirkungen auf entsprechende Daten haben, handelt es sich um einen Datenschutzvorfall.
Die Hitliste
Um noch etwas konkreter zu werden, die Hitliste der Datenpannen des LfDI Baden-Württemberg aus dem Jahr 2019 nochmal:
Die am häufigsten gemeldeten Datenschutzverletzungen:
(Quelle: Pressemitteilung des LfDI Baden Württemberg vom 30.07.2019):
Platz Art der Meldung
- Postfehlversand
- Hackingangriffe/Malware/Trojaner
- E-Mail-Fehlversand
- Diebstahl eines Datenträgers
- Versendung einer E-Mail mit offenem Adressverteiler
- Verlust eines Datenträgers
- Fax-Fehlversand
Fazit
Security Awareness und Datenschutz Kampagnen müssen dieses Thema unbedingt behandeln. Denn ein weiterer Aspekt kann der Organisation nützlich sein: Unerklärliche Vorkommnisse mit Datenbeständen und offensichtlich unerwünschte Ereignisse mit personenbezogenen Daten sind nach der Meldung oft im Fokus weiterer technischer und organisatorischer Maßnahmen.
Ganz nach dem Motto: "Aus Fehlern lernen".