In der heutigen digitalen Landschaft stellen Datenschutzverletzungen erhebliche Risiken für Unternehmen, ihre Kunden und ihren Ruf dar. Dieser Blogbeitrag soll euch praktische Hinweise geben, wie ihr effektiv mit Datenschutzverletzungen in Übereinstimmung mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem neuen Schweizerischen Bundesgesetz über den Datenschutz (DSG) umgehen könnt.
Datenschutzverletzungen verstehen
Eine Datenschutzverletzung liegt dann vor, wenn ein unbefugter Zugriff, eine unbefugte Offenlegung oder Zerstörung personenbezogener Daten stattfindet. Dieser unbefugte Zugriff kann dabei sowohl von externen Bedrohungen wie Hackern, als auch aus internem Missbrauch von Daten durch Mitarbeiter stammen. Die Folgen einer Datenschutzverletzung können dabei durchaus nachteilig sein, einschließlich finanzieller Verluste, rechtlicher Konsequenzen und eines erheblichen Schlags für den Ruf eines Unternehmens.
Datenschutzverletzungen können viele Formen annehmen, so zum Beispiel:
- Phishing-Angriff: Ein Mitarbeiter wird Opfer einer Phishing-E-Mail und gibt unwissentlich seine Anmeldedaten an einen Angreifer weiter, der sich Zugang zur Unternehmensdatenbank mit personenbezogenen Daten verschafft.
- Verlorene oder gestohlene Geräte: Der Arbeitslaptop oder das Smartphone eines Mitarbeiters geht verloren oder wird gestohlen, wodurch möglicherweise personenbezogene Daten an Unbefugte weitergegeben werden.
- Fehlgeleitete E-Mails: Ein Mitarbeiter sendet aufgrund eines Tippfehlers oder einer Verwechslung eine E-Mail mit personenbezogenen Daten an den falschen Empfänger und gibt die Daten dadurch an eine unbeabsichtigte Partei weiter.
- Kompromittierte Datensicherungen: Sicherungskopien von Daten sind nicht ausreichend geschützt, und Cyberkriminelle verschaffen sich Zugang zu diesen Sicherungen.
Umgang mit Datenschutzverletzungen im Rahmen der DSGVO
Im Allgemeinen unterscheiden die Datenschutzgesetze zwischen Datenschutzverletzungen, bei denen das Unternehmen ein Datenverarbeiter ist, und solchen, bei denen es als für die Verarbeitung Verantwortlicher handelt. Wenn ihr als Datenverarbeiter tätig seid (z. B. als Software-Dienstleister), müsst ihr den jeweiligen für die Verarbeitung Verantwortlichen (Euren Kunden) benachrichtigen. Der für die Verarbeitung Verantwortliche wiederum muss – je nach den Umständen – die Aufsichtsbehörde und/oder die betroffenen Personen benachrichtigen. Die Schritte sind die folgenden:
Wenn ihr als Datenverarbeiter handelt
Datenverarbeiter müssen die für die Verarbeitung Verantwortlichen über Art, Umfang und mögliche Folgen der Verletzung informieren. Dabei sollten folgende Elemente berücksichtigt werden:
- Gebt alle Fakten an, die für die Datenschutzverletzung relevant sind (z. B. Zeitrahmen, Beschreibung des Verstosses, betroffene personenbezogene Daten sowie betroffene Personen, ergriffene und vorgeschlagene Massnahmen):
- Die Frist für diese Benachrichtigung ist in der Regel in der Datenverarbeitungsvereinbarung zwischen beiden Parteien festgelegt und sehr kurz – in der Regel zwischen 12 und 48 Stunden. Datenverarbeiter müssen daher in der Lage sein, die betroffenen Verantwortlichen innerhalb dieses kurzen Zeitrahmens zu benachrichtigen, nachdem sie von der Verletzung Kenntnis erlangt haben. Gerade an Wochenenden und Feiertagen kann das eine Herausforderung sein – umso wichtiger ist es, gut vorbereitet zu sein und zu wissen, wen man benachrichtigen muss.
Es ist auch wichtig zu bedenken, dass ihr, wenn ihr als Datenverarbeiter handelt, die betroffenen Personen oder die Aufsichtsbehörde nicht benachrichtigen solltet, da dies in der Verantwortung des für die Verarbeitung Verantwortlichen liegt.
Durch die Gewährleistung einer wirksamen und rechtzeitigen Benachrichtigung ermöglichen die Datenverarbeiter den für die Datenverarbeitung Verantwortlichen, die notwendigen Massnahmen zur Risikominderung zu ergreifen und sicherzustellen, dass die Rechte der betroffenen Personen gewahrt bleiben. Ausserdem wird dadurch auch eure Glaubwürdigkeit als vertrauenswürdiger Vertragspartner gefördert.
Wenn ihr als Datenverantwortlicher handelt
Wenn die Datenschutzverletzung beim für die Verarbeitung Verantwortlichen auftritt, muss dieser möglicherweise die zuständige Aufsichtsbehörde und/oder die betroffenen Personen benachrichtigen. Transparenz ist der Schlüssel, und die Mitteilung sollte Informationen über das Ausmass der Verletzung, die potenziellen Auswirkungen und die zur Risikominderung ergriffenen Schritte enthalten.
Die für die Datenverarbeitung Verantwortlichen haben folgende Pflichten:
- Benachrichtigung der Aufsichtsbehörde: Ihr müsst die Behörde benachrichtigen, wenn der Verletzung wahrscheinlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (z. B. aufgrund des potenziellen Schadens für die betroffenen Personen, der Sensibilität der betroffenen personenbezogenen Daten, der ergriffenen Maßnahmen zur Schadensbegrenzung und ihrer Wirksamkeit). Dies muss innerhalb von 72 Stunden nach Bekanntwerden der Verletzung geschehen.
- Benachrichtigung der betroffenen Personen: Darüber hinaus kann es erforderlich sein, die betroffenen Personen zu benachrichtigen, wenn für sie ein hohes Risiko besteht, das sich aus dieser Datenschutzverletzung ergibt, es sei denn, der für die Verarbeitung Verantwortliche hat die erforderlichen technischen und organisatorischen Schutzmaßnahmen für die betroffenen personenbezogenen Daten ergriffen oder er hat nachträgliche Maßnahmen ergriffen, die sicherstellen, dass das hohe Risiko wahrscheinlich nicht mehr eintritt (z. B. weil die Daten verschlüsselt sind). Gegebenenfalls sollte diese Benachrichtigung so schnell wie möglich nach Bekanntwerden des Verstoßes erfolgen.
Umgang mit Datenschutzverletzungen im Rahmen des DSG
Die wesentlichen Schritte, die Ihr bei der Bewältigung von Datenschutzverletzungen im Rahmen des DSG befolgen müsst, sind grösstenteils identisch mit denen der DSGVO, mit einigen geringfügigen Unterschieden, die im Folgenden aufgeführt sind:
Wenn ihr als Datenverarbeiter handelt
Nach dem DSG könnt ihr verpflichtet sein, Datenschutzverletzungen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖP) sowie den betroffenen Personen zu melden, wenn ihr ein hohes Risiko für die Grundrechte der betroffenen Personen feststellt. Die Hauptunterschiede zur DSGVO ergeben sich in dieser Hinsicht aus zwei Tatsachen:
- Während die DSGVO eine Frist von 72 Stunden für die Kontaktaufnahme mit der Aufsichtsbehörde vorsieht, verlangt das DSG von den für die Datenverarbeitung Verantwortlichen nur, die Meldung so schnell wie möglich durchzuführen.
- Eine Meldung an die Behörde ist nur erforderlich, wenn ein hohes Risiko für die betroffene Person besteht, während nach der DSGVO jede Datenschutzverletzung, die ein Risiko für die betroffene Person darstellt, den Behörden gemeldet werden muss.
Best Practices zur Verhinderung von Datenschutzverletzungen
Um mögliche Datenschutzverletzungen und negative Folgen für das Unternehmen sowie für die betroffenen Personen abzumildern, ist es ratsam, Massnahmen zu ergreifen, um deren Auftreten zu vermeiden. Die wichtigsten Massnahmen sind:
- Verfahren zur Reaktion auf Datenschutzverletzungen: Unternehmen sollten einen umfassenden Plan für die Reaktion auf Datenschutzverletzungen (Incident-Response-Plan) erstellen, in dem vorbeugende Massnahmen und detaillierte Verfahren für den Fall einer Datenschutzverletzung festgelegt sind. Wenn es zu einer Datenschutzverletzung kommt, ist das Letzte, woran Sie denken möchten, ein neues Verfahren ad hoc einzurichten.
- Verteilung der Zuständigkeiten: Die Ausarbeitung eines Plans für die Reaktion auf Vofälle und die effiziente Bewältigung von Datenschutzverletzungen erfordert die Ernennung eines Teams, das für das Management von Datenschutzverletzungen zuständig ist. Diesem Team sollten Vertreter der Rechtsabteilung, der IT-Abteilung, der Kommunikationsabteilung und der zuständigen Abteilungen angehören.
- Vorbeugen ist besser als heilen – technische und organisatorische Maßnahmen: Unternehmen müssen ihre Sicherheitsmaßnahmen und -kontrollen kontinuierlich bewerten und aktualisieren, um sich an die sich entwickelnden Bedrohungen anzupassen. Die Implementierung von Verschlüsselungs-, Zugriffskontroll- und Intrusion-Detection-Systemen stärkt die Abwehr potenzieller Sicherheitsverletzungen. Regelmäßige Sicherheitsaudits und Schwachstellenbewertungen helfen dabei, Schwachstellen zu identifizieren und Schutzmassnahmen zu verstärken.
- Mitarbeiterschulungen und Sensibilisierungsprogramme: Die Aufklärung Eurer Mitarbeiter über Datenschutzpraktiken und Protokolle zur Reaktion auf Datenschutzverletzungen ist von entscheidender Bedeutung. Führt regelmäßige Schulungen durch, um das Bewusstsein der Mitarbeiter für potenzielle Bedrohungen zu schärfen und sie mit dem Wissen auszustatten, um verdächtige Aktivitäten zu erkennen.
Fazit
Der Umgang mit Datenschutzverletzungen im Rahmen der Datenschutzgesetze der EU und der Schweiz erfordert einen proaktiven und informierten Ansatz. Wenn ihr die Feinheiten des Managements von Datenschutzverletzungen versteht, effektiv kommuniziert und vorbeugende Maßnahmen ergreift, könnt ihr sowohl eure Daten als auch euren Ruf schützen. Wir empfehlen dafür die folgenden Massnahmen:
- Entwickelt ein Verfahren zur Reaktion auf Vorfälle: Erstellt zumindest einen grundlegenden Plan für die Reaktion auf Vorfälle, in dem Verantwortlichkeiten, Sofortmassnahmen und Kommunikationsprotokolle aufgeführt sind, um eine koordinierte Reaktion auf Datenschutzverletzungen zu gewährleisten.
- Ernennt ein spezielles Team: Bestimmt ein spezialisiertes Team, das sich aus Vertretern der Rechtsabteilung, der IT, der Kommunikationsabteilung und der zuständigen Abteilung zusammensetzt, um Verstöße effizient zu bewältigen.
- Setzt Prioritäten bei den Sicherheitsmassnahmen: Implementiert robuste Sicherheitsmassnahmen wie Verschlüsselung, Zugriffskontrollen und Systeme zur Erkennung von Eindringlingen (Intrusion-Detection-System), um die Abwehr von Sicherheitsverletzungen zu stärken.
- Mitarbeiter schulen: Bietet regelmäßige Schulungen an, um Eure Mitarbeiter über Datenschutzpraktiken, die Erkennen von Datenschutzverletzungen und geeignete Reaktionsmassnahmen aufzuklären.
- Unverzügliche Benachrichtigung von Datenverantwortlichen, Aufsichtsbehörden und betroffenen Personen: Stellt eine effiziente und rechtzeitige Benachrichtigung der relevanten Dritten bei Datenschutzverletzungen, um die Bestimmungen der DSGVO und des DSG einzuhalten.
Wir wissen, dass jede Situation einzigartig ist, und wir sind gerne bereit, eure Situation im Detail zu besprechen. Bitte zögert nicht, ein kostenloses Gespräch mit unseren Datenschutz-Experten zu buchen.