Verlust personenbezogener Daten / Datenpannen

Datenpannen können aus verschiedenen Gründen auftreten und betreffen häufig personenbezogene Daten. Hier sind einige häufige Fallgruppen, in denen solche Datenpannen stattfinden und die zu einer Meldepflicht bei der Aufsichtsbehörde für den Datenschutz führen können:

1. Verlust von physischen Geräten: Dazu gehören das Verlieren oder Stehlen von Laptops, Smartphones oder USB-Sticks, auf denen personenbezogene Daten gespeichert sind.
2. Unbeabsichtigte Offenlegung: Wenn personenbezogene Daten versehentlich einem falschen Empfänger zugänglich gemacht werden, z. B. durch falsche E-Mail-Adressen oder falsches Versenden von Dokumenten.
3. Hacking und Cyberangriffe: Angriffe durch Hacker, die versuchen, auf Datenbanken zuzugreifen und personenbezogene Daten zu stehlen, sind eine häufige Ursache für Datenpannen.
4. Software-Fehlfunktionen: Technische Fehler oder Software-Bugs, die die Datensicherheit gefährden und zu Verlusten oder unbefugtem Zugriff auf Daten führen können.
5. Mitarbeiterfehler: Fehler von Mitarbeitern, beispielsweise falsches Handling von Daten oder Nichtbeachtung von Sicherheitsrichtlinien.
6. Datenübertragungen: Unsichere Übertragungen von Daten, z. B. über ungesicherte Netzwerke oder unverschlüsselte Verbindungen, können zur Offenlegung von Informationen führen.
7. Datenbank-Fehler: Probleme mit Datenbankmanagementsystemen, die dazu führen, dass Daten verloren gehen oder beschädigt werden.
8. Dritte Parteien: Wenn externe Dienstleister, Partner oder Lieferanten nicht ordnungsgemäß mit personenbezogenen Daten umgehen und dadurch Datenpannen verursachen.

Diese Fallgruppen zeigen, wie vielfältig die Ursachen für Datenpannen sein können. Unternehmen sollten daher präventive Maßnahmen und Sicherheitsrichtlinien implementieren, um solche Vorfälle zu minimieren und im Falle eines Vorfalls schnell reagieren zu können.

Bei uns findet man derartige Regelungen in unserem Datenschutzkonzept, der Datenschutzanweisung für die Beschäftigten und der IT-Nutzungsrichtlinie, die sich sowohl mit dem Thema Sicherheitsvorfälle als auch mit den Meldepflichten und Fristen für die Meldung (möglichste 72 h) bei der Aufsichtsbehörde beschäftigen (sofern ein Risiko für die Betroffenen besteht, was die Adäquanzschwelle überschreitet). Auch die Dokumentationsanforderungen werden berücksichtigt, welche sich aus Art. 5 DSGVO ableiten lassen.

Daneben sind aber auch regelmäßige attraktive Schulungen und Datenschutzaudits ein wesentlicher Baustein, das Datenschutzbewußtsein in der Belegschaft zu verbessern.