Die DSGVO fordert in Artikel 5 (1f), den Grundsatz der „Integrität und Vertraulichkeit“. Daten müssen so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist. Die Integrität und Vertraulichkeit ist nicht gegeben, wenn unberechtigte Zugriff auf die Daten bekommen, die Daten unberechtigt verwendet werden, die Daten verloren gehen oder beschädigt (unberechtigt verändert, …) werden. Dieser Verlust der Integrität oder Vertraulichkeit ist eine Datenschutzverletzung.
Es gab in Europa bereits einige Strafen in sechsstelliger Höhe für Datenschutzverletzungen.
Führt jede Datenschutzverletzung zu einer hohen Strafe?
Nein, Datenschutzverletzungen kommen in jedem Unternehmen immer wieder vor. Wenn nicht grob fahrlässig mit den Daten und dem Vorfall umgegangen wurde, gibt es in der Regel auch keine Strafe von der Behörde. Wie oben erwähnt, fordert die DSGVO eine angemessene Sicherheit, nicht eine absolute Sicherheit.
Was ist eine Datenschutzverletzung?
Es gibt viele Arten wie Daten beschädigt werden oder verloren gehen können. Hier ein paar Beispiele:
- Angriff einer Schadsoftware
- Erfolgreiches Phishing – Jemand hat mit gefälschten E-Mails oder Webseiten kritische Daten oder Zugriff auf den Computer erhalten
- Erfolgreiche Angriffe auf Passwörter – Unbekannte konnten Passwörter erraten/hacken und so Zugriff auf Daten erhalten
- Erpressersoftware – Einer Schadsoftware ist es gelungen Daten zu verschlüsseln/löschen
- Denial-of-Service – Das System ist aufgrund eines Angriffes nicht mehr erreichbar
- Jemand hat physisch Speichermedien gestohlen
- Es wurden illegale Kopien von persönlichen Daten gemacht
- Ein Gerät (Laptop, Computer, Handy, …) ist verloren gegangen
- Eine Computerhardware (zB. Festplatte) ist kaputtgegangen und hat den Datenverlust verursacht
- Die Firewall hat einen unautorisierten Zugriff entdeckt
- ….
Welcher Schutz ist angemessen?
Es ist kaum möglich Datenschutzverletzungen ganz zu verhindern. Daher fordert die DSGVO ja auch „nur“ angemessene Schutzmaßnahmen.
Was ist angemessen? Zum Entscheiden was angemessen ist, müssen Sie wissen welche Daten Sie verarbeiten, wie groß das Risiko für die Betroffenen ist und welche Schutzmaßnahmen Sie bereits getroffen haben. Mit anderen Worten, Sie finden in Ihrem Verfahrensverzeichnis alle Informationen, die Sie brauchen um angemessene Schutzmaßnahmen zu definieren. (easyGDPR Lite und easyGDPR Standard ermöglichen Ihnen das Verfahrensverzeichnis schnell und effizient zu erstellen. Bei easyGDPR ist auch die Risikoeinschätzung enthalten.)
Aus dieser Risikobeurteilung sehen Sie, ob in Ihren Verarbeitungen ein hohes Risiko für Betroffene besteht. Ein hohes Risiko besteht, wenn z.B. durch Missbrauch der Kreditkarte Schaden am Eigentum als Folgen einer Datenschutzverletzung entstehen. In diesem Fall sind ALLE Maßnahmen, die das Risiko reduzieren können notwendig und angemessen.
Wenn durch die Datenschutzverletzung der Betroffene keinen Schaden erleidet, sondern „nur“ irritiert ist oder Daten neu eingeben müssen, spricht man von „geringen Folgen“.
In diesem Fall ist das Schutzniveau wesentlich niedriger und es müssen nicht notwendig extrem teure und komplizierte Schutzmaßnahmen implementiert werden. Hier ist es wichtig sicherzustellen, dass Datenschutzverletzungen nicht fahrlässig auftreten. Keine aktuelle Firewall zu verwenden, veraltete Software zu nutzen oder Festplatten nicht zu verschlüsseln ist in diesem Kontext definitiv fahrlässig.
Wie verhindere ich Datenschutzverletzungen bzw. wie kann der Schaden minimiert werden?
Das Verhindern von Datenschutzverletzungen ist ein umfangreiches Thema. Hier können wir nur eine Überblick über die fünf wichtigsten Maßnahmen geben:
1) Verhindern von Datenschutzverletzungen durch Mitarbeiterschulung
In vielen Fällen entsteht ein Datenverlust durch „menschliches Versagen“. Nur Mitarbeiter, die wissen worauf Sie aufpassen müssen, haben eine Chance keine (weniger) Fehler zu machen. Stellen Sie sicher, dass Ihre Mitarbeiter alle verwendeten Schutzmaßnahmen verstehen und anwenden (z.B. Word Dokumente von unbekannten Absendern nicht öffnen).
Nur wenn die Probleme Ihren Mitarbeitern bekannt sind, können diese richtig reagieren. (Wir bieten auf Anfrage individuelle Schulungen an.)
2) Verringern des Schadens durch Verschlüsselung
Mit Microsoft Bitlocker ist es bei Windows Systemen (ab Windows 7) einfach und kostengünstig die Festplatten zu verschlüsseln. Speziell Geräte, die außer Haus verwendet werden (externe Festplatten, Memory Sticks, Notebooks, Mobiltelefone,…) müssen immer verschlüsselt sein. Diese Geräte können leicht verloren oder gestohlen werden.
Durch die Verschlüsselung ist es unwahrscheinlich, dass derjenige der das Notebook findet bzw. der Dieb die Möglichkeit hat auf die Daten zuzugreifen. Dadurch ist auch das Risiko für Betroffene minimiert.
3) Verhindern / Erkennen von Einbrüchen ins Netzwerk sowie Verhindern von Schadsoftware
Netzwerkschutzsoftware am Stand der Technik kann Verschlüsselungstrojaner am Verhalten erkennen und die Ausführung verhindern. Next Generation Firewalls erkennen Bedrohungen von Webseiten und E-Mails bevor die Daten überhaupt den Arbeitsplatz erreichen.
Wir empfehlen Ihnen einen Sicherheitscheck zu machen, um zu sehen wie gut Ihre Netzwerk für aktuelle Bedrohungen gerüstet ist. Aktueller Netzwerkschutz ist nicht teuer. Wir beraten Sie gerne.
4) Verwenden von aktueller Software
Viele Datenschutzverletzungen werden durch nicht aktualisierte Software ermöglicht. Ein berühmter Fall sind die Panama Papers, die durch eine nicht aktualisierte Website gehackt wurden.
Stellen Sie sicher, dass Sie aktuelle Software verwenden. Vor allem Windows und Office sollten auf dem letzten Stand sein. Aktuelle Versionen von Office verhindern das Ausführen von Malware. Potentiell gefährliche Inhalte können nur ausgeführt werden, wenn der Benutzer ausdrücklich die Erlaubnis gibt. In alten Office Versionen wird die Schadsoftware kommentarlos ausgeführt.
Wir sind seit mehr als 15 Jahren Microsoft Partner und helfen Ihnen gerne Ihr System zu aktualisieren.
5) Verhindern von Datenvernichtung durch eine funktionierende Backupstrategie
Backupstrategien sind ein umfangreiches Thema auf das wir noch gesondert eingehen werden. Hier möchten wir nur auf zwei Aspekte hinweisen
Stellen Sie sicher, dass Ihr Backup auch wieder gelesen und zurückgesichert werden kann. Wann haben Sie Ihr Backup wirklich getestet? Sind alle Daten vorhanden und können diese überhaupt gelesen werden?
Stellen Sie sicher, dass NICHT jeder User berechtigt ist, direkt auf das Backup zugreifen.
Sorgen Sie dafür, dass eine Kopie der Daten offline und außer Haus verfügbar ist, sodass Sie Daten auch nach einem Notfall (Brand) zur Verfügung haben.
Was mache ich wenn eine Datenschutzverletzung passiert?
In jedem Fall müssen sie dokumentieren was passiert ist.
easyGDPR Standard führt ein Verzeichnis der Datenschutzvorfälle und stellt alle notwendigen Fragen, um mit dem Vorfall korrekt umzugehen.
In jedem Fall müssen Sie entscheiden, wie groß das Risiko für Betroffene ist. Es wird unterschieden zwischen
- Kein Risiko: zum Beispiel verschlüsselter Memorystick wurde verloren (außer protokollieren müssen Sie nichts unternehmen).
- Es besteht ein Risiko: z.B. unverschlüsselter Memorystick wurde verloren. Hier müssen Sie binnen 72 Stunden die Datenschutzbehörde informieren.
- Es besteht ein hohes Risiko: z.B. Kreditkarten oder Logindaten wurden gestohlen. Hier müssen sie die Behörde und die Betroffenen informieren.