Nachbericht IHK-Vortrag: 1 Jahr nach Start der DS-GVO Praxisbericht Datenschutz

41.502. – 250 – 72. Die 3 Zahlen stehen für die Schwerpunkte in Julian Häckers Vortrag, knapp 1 Jahr nach Start der DS-GVO im Rahmen der 10. Veranstaltung IT-Sicherheit im Mittelstand bei der IHK Stuttgart am 07.05.

41.502 Datenschutzverletzungen wurden europaweit im Zeitraum von Mai 2018 – Jan 2019 bei den Aufsichtsbehörden gemeldet. Alleine bei der Aufsichtsbehörde Baden-Württemberg waren es 2018 774 Meldungen, was eine Erhöhung um den Faktor 10 zum Vorjahr bedeutet.

250 steht für 250 geplante Kontrollmaßnahmen, die die Aufsichtsbehörde in Baden-Württemberg in diesem Jahr durchführen möchte. Die 72 steht für 72 Stunden, innerhalb welcher eine Meldung eines Datenschutzverstoßes bei der zuständigen Aufsichtsbehörde eingehen muss.

 

41.502 Datenschutzverletzungen

Die Zahlen zeigen, dass europaweit die Sensibilität im Umgang mit personenbezogenen Daten gestiegen ist und zahlreiche Verstöße bei den Behörden gemeldet wurden. Vermutlich wird nicht fahrlässiger als in Vorjahren mit personenbezogenen Daten umgegangen, die Sensibilität hat sich jedoch deutlich verändert. Außerdem wurden in Anbetracht potentiell höher gewordener Bußgelder, wohl auch Sachverhalte gemeldet, die in der Vergangenheit nicht gemeldet worden waren.

 

250 Kontrollmaßnahmen

Im Fokus der angekündigten 250 Kontrollmaßnahmen sind laut der Aufsichtsbehörde Baden-Württemberg vor allem Arztpraxen, Apotheken, Krankenhäuser, Versicherungen, private Videoüberwachungen, Webseiten von Online-Shops hinsichtlich Tracking und auch der Umgang mit personenbezogenen Daten beim Thema Connected Car. Diese Ankündigung sorgte bei den Besuchern des IHK-Vortrags für Erleichterung, da die wenigsten von ihnen in den genannten Bereichen aktiv sind. Durch Publikumsrückmeldungen wurde deutlich, dass die versammelten Unternehmen zahlreiche Maßnahmen zur Erfüllung der Anforderungen der DS-GVO bereits umgesetzt haben.

 

72 Stunden

Im Hauptteil seines Vortrags ging Julian Häcker auf die Prävention von Datenschutzverletzungen ein und erläuterte für den Fall, dass dann doch eine Verletzung auftritt, wie damit umzugehen ist und wie eine Meldung an die zuständige Aufsichtsbehörde bzw. die Betroffenen zu erfolgen hat.

Ein großes Problem in der Praxis ist, dass nicht alle Mitarbeiter in einem Unternehmen wissen, wann überhaupt eine Datenschutzverletzung vorliegt. Dies kann z.B. bei folgenden Sachverhalten der Fall sein:

  • Unbeabsichtigte / unbewusste Veröffentlichung von Daten von personenbezogenen Daten im Internet
  • Hackerangriff, Schadsoftware, Phishing
  • Unbefugten werden in einem geschlossenen System Daten zugänglich gemacht / Missbrauch von Zugriffsrechten
  • Verlust von Speichermedien
  • Mailfehlleitungen / Unverschlüsselter E-Mail-Versand
  • Unterlagen verloren, falsch versendet oder an einem unsicheren Platz gelagert
  • Nicht datenschutzgerechte Entsorgung

Vermutlich würden bei einer Mailfehleitung oder eines Mailversands an einen offenen Adressatenkreis, die sich nicht untereinander kennen, nicht sofort jeder an einen Datenschutzverstoß denken. Auch ein offener E-Mail-Verteiler ist jedoch ein bei der Behörde zu meldender Vorfall, da auch hier Restrisiken für die Betroffenen nicht ausgeschlossen werden können. Dieser Auffassung sind sowohl die Aufsichtsbehörde Baden-Württemberg und auch in Bayern.

 

Wie ist die Vorgehensweise bei einem Datenschutzverstoß?

Hier können 6 zeitliche Phasen unterschieden werden:

  1. Bei Kenntniserlangung von Datenschutzverstößen muss eine unverzügliche Benachrichtigung der verantwortlichen Personen und des Datenschutzbeauftragten erfolgen
  2. Risikobewertung des Verstoßes durch die verantwortliche Stelle unter Zuhilfenahme des Datenschutzbeauftragten
  3. Definition von Maßnahmen zur Abwendung oder Eindämmung
  4. Entscheidung über die Notwendigkeit einer Meldung
  5. Meldung an die Aufsichtsbehörde oder den/die Betroffene oder Auftraggeber –> 72 Stunden-Frist ist zu beachten!
  6. Reflektion des Vorfalls und Berücksichtigung im Rahmen des kontinuierlichen Verbesserungsprozesses

 

Um die erforderlichen Informationen zur Bewertung eines Vorfalls möglichst schnell zu erhalten, stellte Julian Häcker einen Meldebogen vor, der im Unternehmen eingesetzt werden kann. Mit diesem kann der Mitarbeiter, der den Verstoß feststellt, bereits wichtige Informationen sammeln, die dann die Bewertung erleichtern und die Sachverhaltsklärung beschleunigen.

 

Zum Abschluss noch vier nachdenklich stimmende Lektionen mit Datenschutzverletzungen:

  • Lektion 1: Ein Datenschutzvorfall passiert immer Freitags – zumindest wird er Freitags beim Datenschutzbeauftragten gemeldet.
  • Lektion 2: Die Risikobewertung des Vorfalls ist die anspruchsvollste Herausforderung und kann zu intensiven Diskussionen führen.
  • Lektion 3: Seitens der Aufsichtsbehörden werden überraschend wenig Rückfragen zu Datenschutzverstößen gestellt.
  • Lektion 4: Nach der Einführung des Meldeprozesses und der gestiegenen Sensibilität kann es zu kurzfristigen / erhöhten Meldungen von Verstößen durch Mitarbeiter kommen.