Wissenswertes zur Datenpanne: Meldung, Strafen & mehr

IT-Sicherheit und Datenschutz sind zentrale Themen in unserer immer stärker digitalisierten Welt. Immer wieder warnen Medien und Experten in diesem Zusammenhang vor den Folgen von Datenpannen oder Datenlecks – doch was genau ist damit gemeint?

In der Regel wird von einer Datenpanne gesprochen, wenn sensible oder personenbezogene Daten unrechtmäßig offengelegt, verändert, gelöscht, gesperrt oder abgerufen werden. Hiervon können je nach betroffenem Unternehmen sensible Informationen wie Adresse, Geburtsdatum, Bankdaten, Kreditkarteninformationen oder schlimmstenfalls sogar Gesundheitsdaten betroffen sein.

Ein solches Datenleck kann verschiedene Ursachen haben, darunter menschliches oder technisches Versagen, gezielte Cyberangriffe und unsachgemäße Datenverarbeitungspraktiken. Manchmal ist in diesem Zusammenhang auch von einem Datenleck, einer allgemeinen Datenschutzverletzung oder Verstoß gegen den Datenschutz kurz Datenschutzverstoß die Rede. Wir verwenden die Begriffe hier der Einfachheit halber synonym.

Solche Datenpannen lassen sich in zwei unterschiedlichen Risikogruppen kategorisieren:

1. Normales Risiko - Beispiel: Es wurden verschlüsselte Daten auf einer Festplatte im norma-len Hausmüll entsorgt. Die Aufsichtsbehörde muss informiert werden. Möglicherweise be-troffene Kunden allerdings nicht, da die Wahrscheinlichkeit der Entschlüsselung dieser Da-ten und somit des Missbrauchs sehr gering ist.

2. Gesteigertes Risiko - Beispiel: Personenbezogene Daten wurden bspw. bei einem Hacker-angriff erbeutet und sind für den Hacker auch nutzbar. Die Aufsichtsbehörde muss darüber informiert werden. Auch die betroffenen Menschen müssen informiert werden, dass ihre Daten Teil des Datenlecks sind, sowie welche Folgen dies hat und welche Gegenmaßnahem empfehlenswert sind (z.B. Passwortänderung).

In rechtlicher Hinsicht gibt es für solche Fälle klare Vorgaben und Meldevorschriften. Hierzu gehören beispielsweise die EU-Datenschutz-Grundverordnung (DSGVO) und nationale Datenschutzgesetze. Rechtsanwalt Clemens Adori, der sich mit den rechtlichen Folgen von Datenschutzverstößen auskennt, stellt klar: „Unternehmen und Organisationen müssen Datenpannen in vielen Fällen umgehend den Datenschutzbehörden melden und betroffene Personen über den Vorfall informieren. Außerdem sollten Verantwortliche möglichst schnell geeignete Maßnahmen zum Schutz der Betroffenen ergreifen“.

Datenpannen können auf verschiedene Arten auftreten und schwerwiegende Konsequenzen haben. Manchmal steckt dahinter gar keine böse Absicht, sondern einfach nur ein zu unbedachter Umgang mit Informationen seitens der Mitarbeiter.

So kann es vorkommen, dass Daten unbeabsichtigt auf einer Website oder in einer App öffentlich zugänglich gemacht werden. Ebenfalls denkbar sind in diesem Zusammenhang einfache Bedien- oder Softwarefehler. Selbst bei der unvorsichtigen Entsorgung von Datenträgern können personenbezogene oder sogar sensible Daten in die Hände unbefugter Dritter fallen.

Häufig erbeuten Kriminelle und Hacker jedoch mit voller Absicht Daten und bedienen sich dabei verschiedener Tricks. Eine Möglichkeit ist der klassische Angriff auf die IT-Systeme per Hacking oder Phishing. Auch USB-Sticks können Schadsoftware enthalten, die am Ende zu einem großen Datenleck führen. Alternativ nutzen Datendiebe auch menschliche Schwachstellen, indem sie sich am Telefon als betroffene Person ausgeben und so unberechtigterweise Informationen erfragen oder Passwörter zurücksetzen. Auch eigene Mitarbeiter können Zugriffsrechte missbrauchen, um Daten zu stehlen.

Wenn ein Datenleck oder eine Datenpanne im Unternehmen auftritt, ist schnelles Handeln gefragt, um den Schaden zu identifizieren und einzudämmen. Folgende Schritte sollten in jedem Fall unternommen werden:

• Bereits im Vorfeld ist es wichtig, dass alle Mitarbeiter mit Bezug zu personenbezogenen Daten darauf trainiert sind, Datenlecks unverzüglich an die Geschäftsführung und ggf. den Datenschutzbeauftragten zu melden. Wichtiger Grundsatz dabei: Keine falsche Scham – sondern mutige Schadensbegrenzung!
• IT und Führungskräfte informieren: Nach der Aufdeckung ist wichtig, das gesamte IT-Team und relevante Führungskräfte über die Datenpanne zu informieren, um den Vorfall zu untersuchen und einzudämmen. Je länger ein Datenleck bestehen bleibt, desto größer kann der potenzielle Schaden werden.
• Zusammenarbeit mit der Rechtsabteilung: Die Rechtsabteilung sollte ebenfalls frühestmöglich einbezogen werden, um den vorgeschriebenen Meldepflichten an Aufsichtsbehörden und ggfs. Kunden vollumfänglich nachzukommen. Denn neben einem möglichen Reputationsschaden, birgt eine Datenpanne auch rechtliche Risiken für Unternehmen.
• Schaden identifizieren und begrenzen: Betroffene IT-Systeme müssen überprüft werden, damit die IT die Sicherheitslücken schließen und den Schaden begrenzen kann. Außerdem sollten betroffene Geräte wie Laptops oder Handy technisch geprüft werden, falls diese gehackt wurden.
• Dokumentation: Die internen Vorgänge (Entdeckung, Meldung innerhalb des Unternehmens, erste Gegenmaßnahmen) sollten nachvollziehbar dokumentiert werden, damit man gegenüber der Behörde nicht mit leeren Händen dasteht.

„Bei einem Angriff mit sogenannter Ransomware kommt es oft auch zu einer Erpressung mit Lösegeldforderung. Die Zahlung soll dann angeblich umfangreich verschlüsselte Systeme wieder freigeben. Wer zahlt, macht leider meistens schlechte Erfahrungen. So werden z.B. nur Teile entschlüsselt, es kommt zu Nachforderungen oder die Entschlüsselung schlägt gänzlich fehl. Daher ist es in solchen Fällen besser, die Polizei einzuschalten.“, rät Fachanwalt Clemens Adori. Die einzelnen Bundesländer haben in den Ermittlungsbehörden inzwischen teilweise recht gut spezialisierte Abteilungen eingerichtet.

Bei Datenschutzverletzungen erwarten sowohl Unternehmen, die gegen die Datenschutzgrundverordnung (DSGVO) verstoßen haben, als auch verantwortliche Mitarbeiter, verschiedene Sanktionen.

Bei Verstößen gegen die DSGVO werden teilweise hohe Bußgelder fällig. „Gemäß der DSGVO muss je nach Schwere des Verstoßes mit einem Bußgeld von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Vorjahresumsatzes gerechnet werden.“, erläutert der Jurist.

Wenn ein Mitarbeiter für eine Datenschutzverletzung verantwortlich ist, kann dies eine Abmahnung oder (in schwerwiegenden Fällen) sogar eine fristlose Kündigung nach sich ziehen. „Welche arbeitsrechtliche Sanktion angemessen ist, hängt von dem Grad des Verschuldens ab. Fahrlässiges Verhalten kann dabei zu einer Abmahnung führen, während böswilliger Datendiebstahl in der Regel mit einer fristlosen Kündigung und sogar Schadenersatzansprüchen gegen den Arbeitnehmer enden kann.“

Redliche Mitarbeiter sollten sich hier aber nicht entmutigen lassen: Einen fahrlässigen Datenschutzverstoß zu melden, sollte normalerweise keine sehr schlimmen Folgen für den Mitarbeiter haben. Böswilliges Verschweigen dürfte dagegen meistens als vorsätzliches Verhalten zu werten sein mit den entsprechenden Folgen.

Wer von einem Datenleck betroffen ist, hat unter bestimmten Umständen das Recht, Schadensersatz für den erlittenen materiellen oder immateriellen Schaden zu fordern. Der Anspruch entsteht beispielsweise infolge finanzieller Verluste, einer Rufschädigung oder dem Verlust von persönlichen Informationen. Selbst gegenüber Unternehmen wie Facebook, die für ihre erfolgreichen Big-Data-Geschäftskonzepte bekannt sind, kam es in der Vergangenheit bereits zu solchen Schadensersatzklagen aufgrund eines vorangegangenen Datenschutzverstoßes.

In bestimmten Fällen können Betroffene nach einem Datenleck sogar Schmerzensgeldansprüche geltend machen. Das Schmerzensgeld ist dafür vorgesehen, den erlittenen immateriellen Schaden auszugleichen, der beispielsweise durch Verletzung der Privatsphäre, eine hohe emotionale Belastung oder Reputationsschäden entstanden ist.

Die genaue Höhe des Schmerzensgeldes hängt von verschiedenen Faktoren ab, wie der Schwere des Verstoßes, dem Ausmaß des erlittenen Schadens und den geltenden Gesetzen. Es ist wichtig zu beachten, dass die Erfolgsaussichten für jeden Fall individuell bewertet werden müssen. Erst kürzlich wurde einem Facebook-Nutzer ein Schmerzensgeld von 300 Euro zugesprochen, nachdem seine persönlichen Daten durch eine Datenpanne im Jahr 2021 unrechtmäßig veröffentlicht wurden.

Übrigens: Für eine kostenlose Prüfung möglicher Schadensersatzansprüche im Falle des Facebook Datenlecks steht ROLAND Versicherten unser Kooperationspartner LegalHero zur Verfügung.