Seitdem die europäische Datenschutzgrundverordnung (DSGVO) in nationales Recht umgesetzt wurde, ist die Zahl der gemeldeten Pannen beim Umgang mit personenbezogenen Daten stark angestiegen. Wie der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg mitteilte, verzehnfachte sich dort die Zahl der Meldungen seit dem Mai 2018.
Die Meldepflicht für Pannen beim Umgang mit personenbezogenen Daten gehört zu den zentralen Vorgaben in der europäischen Datenschutzgrundverordnung und ist dort in Artikel 33 geregelt (Wann muss man eine Datenpanne melden?).
Seit dem Wirksamwerden der DSGVO im Mai letzten Jahres hat sich daher auch die Zahl der Meldungen derartiger Datenpannen bei den zuständigen Behörden auch drastisch erhöht.
10 Mal mehr Meldungen von Pannen mit sensiblen Daten
Wie der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg (LfDI) berichtet, vergeht mittlerweile kaum noch ein Tag, an dem nicht mindestens eine derartige Meldung eingeht.
- Seit Anfang des Jahres sind demnach in Baden-Württemberg bereits knapp 1.000 dieser Meldungen zusammengekommen.
- Der bisherige Monatsrekord mit 177 Meldungen wurde im Mai dieses Jahres aufgestellt.
Das Spektrum der Meldungen reicht dabei von erfolgreichen Angriffen mit Verschlüsselungstrojanern bis zum Fehlversand von Arztberichten.
Bei den meldepflichtigen Datenpannen rangiert der Daten-Fehlversand vor Hackerangriffen
In der Rangliste der am häufigsten gemeldeten Datenpannen rangiert der
- Postfehlversand auch an erster Stelle
- noch vor den Hacker-Angriffen, wozu auch Malware und Trojaner gezählt werden.
- Auf Rang drei folgen Fehlversendungen von E-Mails,
- während der Diebstahl von Datenträgern es auf Platz vier geschafft hat.
Ebenfalls noch recht häufig gemeldet wurden der Versand von E-Mails mit offenem Adressverteiler, der Verlust von Datenträgern und als weiteres Überbleibsel aus der analogen Welt der Fehlversand von Faxen.
Bei Pannen mit Gesundheitsdaten besteht auch eine Informationspflicht gegenüber den Betroffenen
Besonders besorgt zeigt sich der LfDI über die hohe Anzahl von Datenpannen in Arztpraxen. Hier wurden besonders häufig Angriffe durch Ransomware bzw. Verschlüsselungstrojaner gemeldet, daneben kam es aber auch zu einer hohen Zahl von Fehlversendungen, etwa von so sensiblen Daten wie Patientenberichten oder Röntgenbildern. Bei Datenpannen mit Gesundheitsdaten müssen aufgrund der hohen Sensibilität dieser Informationen nicht nur die Behörden, sondern regelmäßig auch die Betroffenen informiert werden.
LfDI sind besorgt wegen Datenpannen in Arztpraxen
Der Landesbeauftragte Dr. Stefan Brink hält angesichts der extrem sensiblen und schützenswerten personenbezogenen Daten im Gesundheitswesen einen gewissenhaften und korrekten Umgang mit diesen Informationen für besonders wichtig.
„Technische und organisatorische Maßnahmen wie Datensicherung, Verschlüsselung, Schulung und Sensibilisierung der MitarbeiterInnen sind - wie in allen Bereichen, in denen mit personenbezogenen Daten umgegangen wird - ein unbedingtes Muss!“
Welche Datenschutzpannen müssen gemeldet werden?
Nicht in jedem Fall muss eine Verletzung des Schutzes personenbezogener Daten gemeldet werden. Entscheidend für die Pflicht zur Meldung ist, ob die Datenschutzverletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Für nähere Erläuterungen dieses Tatbestands und weitere allgemeine Informationen zur Meldepflicht verweist der LfDI auf die Leitlinien des Europäischen Datenschutzausschusses, die dazu auch zahlreiche anschauliche Praxisbeispiele enthalten.
Download mit Vorgaben zur DSGVO-Meldepflicht bei Datenpannen
Die vom Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg zur Verfügung gestellten Leitlinien stehen auf der Website des LfDI zum Download bereit.
Als Beispiel für einen meldepflichtigen Vorfall wird hier etwa der Verlust eines USB-Sticks genannt, auf dem sich unverschlüsselte personenbezogene Daten befinden. Auch wenn sich nicht feststellen lässt, ob Unbefugte tatsächlich Zugang zu diesen Daten haben, muss so ein Vorfall gemeldet werden.
Gemeldet werden muss es, wenn ein Dritter einem Verantwortlichen mitteilt, dass er versehentlich personenbezogene Daten eines Kunden des Verantwortlichen erhalten hat und dabei Belege für diese unbefugte Offenbarung vorlegt.
Wurde ein Angriff auf das Computernetzwerk bemerkt und festgestellt, dass gespeicherte Daten beeinträchtigt wurden, muss eine Meldung erfolgen.
Ein erfolgreicher Angriff durch eine Verschlüsselungssoftware (Ransomware) mit anschließender Lösegeldforderung ist ebenfalls ein meldepflichtiger Vorfall.
Die Vorfälle müssen gemeldet werden, sobald sie den Verantwortlichen bekannt werden. Die Meldung muss dabei unverzüglich oder maximal 72 Stunden danach erfolgen. Gibt es zunächst Hinweise auf einen meldepflichtigen Vorfall, kann zunächst eine „kurze“ Untersuchung zur Überprüfung durchgeführt werden. Während des Zeitraums dieser Überprüfung gilt die Datenschutzverletzung noch nicht als „bekannt“.
Hohe Bußgelder: 2 x 80.000 EUR in Baden-Württemberg
Schließlich verweist der Datenschutzbeauftragte auf die mitunter nicht unerheblichen Bußgelder, die bei Datenpannen verhängt werden können. So wurden die beiden in Baden-Württemberg bislang höchsten Bußgeldbescheide von jeweils 80.000 EUR aufgrund von solchen Datenpannen verhängt.
- In einem Fall wurden bei einer digitalen Publikation aufgrund unzureichender interner Kontrollmechanismen versehentlich Gesundheitsdaten veröffentlicht,
- im zweiten Fall hatte ein Unternehmen aus der Finanzbranche personenbezogene Daten unsachgemäß entsorgt.
Weiter News zum Thema:
Kleine Unternehmen brauchen keinen Datenschutzbeauftragten mehr
Auswirkung des EuGH-Urteils zur Arbeitszeit auf den Datenschutz
Hintergrund: Checkliste für Datenpanne
- Feststellung der Datenpanne
- Risikoanalyse durchführen
- Meldepflichten erfüllen
- Aufsichtsbehörde vorab telefonisch kontaktieren
- Mitarbeiter schulen