Zum Hauptinhalt springen
HubSecure
Menü

Blog

Was ist eine Datenpanne und was muss Ihr Unternehmen in den ersten 72 Stunden tun?

Eine Datenpanne muss kein Hackerangriff sein. Es kann eine falsch gesendete E-Mail, ein gestohlenes Laptop oder ein ungesicherter Cloud-Ordner sein. Hier erfahren Sie, was das Gesetz verlangt und was sofort zu tun ist.

· Von HubSecure Security

Die meisten Unternehmer stellen sich eine Datenpanne als dramatischen Cyberangriff vor: maskierte Hacker, kompromittierte Server, Lösegeldforderungen. Die Realität ist profaner und wesentlich häufiger. Eine Datenpanne ist jeder Vorfall, bei dem personenbezogene Daten versehentlich oder unrechtmäßig aufgerufen, offenbart, verändert, verloren oder zerstört werden — unabhängig davon, ob dies absichtlich geschah.

Diese falsch geleitete E-Mail mit den Finanzdaten eines Kunden. Das im Zug vergessene Laptop. Der geteilte Google Drive-Ordner, der versehentlich öffentlich gestellt wurde. Der ehemalige Mitarbeiter, dessen Zugang nie widerrufen wurde. Gemäß der DSGVO und den meisten nationalen Datenschutzgesetzen sind all diese Fälle meldepflichtige Datenpannen, wenn sie den Risikoschwellenwert für die Rechte und Freiheiten von Personen erreichen.

Und sobald es passiert, haben Sie 72 Stunden, um Ihre Aufsichtsbehörde zu benachrichtigen.

Was als Verletzung personenbezogener Daten gilt

Eine Panne erfordert keine böswillige Absicht. Die gesetzliche Definition umfasst drei Arten von Versagen:

Verletzung der Vertraulichkeit: unbefugte oder versehentliche Offenbarung personenbezogener Daten.

Verletzung der Integrität: unbefugte oder versehentliche Änderung personenbezogener Daten.

Verletzung der Verfügbarkeit: versehentlicher oder unbefugter Verlust des Zugangs zu personenbezogenen Daten — Daten gehen verloren, werden durch Ransomware verschlüsselt oder gelöscht und können nicht wiederhergestellt werden.

Der Risikoschwellenwert

Nicht jede Panne muss der Aufsichtsbehörde gemeldet werden. Eine Meldung ist erforderlich, wenn die Panne „voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt”. Eine direkte Benachrichtigung der betroffenen Personen ist erforderlich, wenn das Risiko „hoch” ist.

Im Zweifelsfall melden Sie. Aufsichtsbehörden behandeln eine verspätete Meldung wesentlich strenger als eine übervorsichtige.

Die 72-Stunden-Uhr

Ab dem Moment, in dem Ihre Organisation von einer Panne „Kenntnis erlangt” — das heißt, sobald ein Mitarbeiter, der vernünftigerweise als verantwortlich gilt, davon weiß — beginnt die Uhr. Sie haben 72 Stunden, um Ihre Aufsichtsbehörde zu benachrichtigen.

Das bedeutet nicht, dass Sie innerhalb von 72 Stunden alle Antworten haben müssen. Die erste Meldung kann anerkennen, was Sie wissen, was Sie noch nicht wissen und welche Schritte Sie unternehmen, um dies herauszufinden.

Was Ihre erste Meldung enthalten muss

  • Art der Verletzung: welche Art von Daten betroffen war, wer betroffen war und ungefähr wie viele Datensätze
  • Name und Kontaktdaten Ihres Datenschutzbeauftragten oder der für den Datenschutz verantwortlichen Person
  • Wahrscheinliche Folgen der Panne
  • Ergriffene oder geplante Maßnahmen zur Behebung der Panne und zur Minderung ihrer Auswirkungen

Die sofort zu ergreifenden Maßnahmen

Erste Stunde: Eindämmen Widerrufen Sie kompromittierte Zugangsdaten. Nehmen Sie betroffene Systeme gegebenenfalls offline. Sichern oder rufen Sie exponierte Daten wo möglich zurück. Dokumentieren Sie jede ab diesem Moment ergriffene Maßnahme.

Stunden 1–12: Bewerten Identifizieren Sie, welche Daten betroffen waren und wem sie gehören. Stellen Sie fest, ob die Panne andauert oder eingedämmt ist. Legen Sie einen benannten Incident-Verantwortlichen fest. Beginnen Sie das dokumentierte Protokoll Ihrer Reaktion.

Stunden 12–48: Entscheiden Bewerten Sie das Risiko. Treffen Sie eine dokumentierte Entscheidung darüber, ob eine Meldung erforderlich ist.

Stunden 48–72: Melden Reichen Sie die Meldung bei Ihrer Aufsichtsbehörde ein. Wenn betroffene Personen einem hohen Risiko ausgesetzt sind, benachrichtigen Sie diese direkt mit einer klaren Mitteilung, in der erklärt wird, was passiert ist, welche Daten betroffen waren, welche Maßnahmen Sie ergriffen haben und was sie tun sollten.

Das Verzeichnis der Verletzungen

Die DSGVO und die meisten gleichwertigen Gesetze verlangen, dass Sie ein internes Verzeichnis aller Verletzungen führen, einschließlich solcher, die den Meldungsschwellenwert nicht erreichen.

Was die Aufsichtsbehörde sucht

Bei einer gemeldeten Panne bewertet die Behörde zwei Dinge: die Panne selbst und Ihre Reaktion darauf. Organisationen, die gut reagieren — schnell eindämmen, zeitnah melden, klar mit den Betroffenen kommunizieren — erhalten konsequent geringere Sanktionen.

Das schlimmste Ergebnis ist nicht eine Panne. Es ist eine Panne, die von der Behörde durch eine Beschwerde einer betroffenen Person entdeckt wird, Wochen nach ihrem Eintreten, ohne Meldung, ohne Verletzungsverzeichnis und ohne Nachweis irgendeiner Reaktion.