In Art. 4 Nr. 12 DSGVO wird die „Verletzung des Schutzes personenbezogener Daten“ wie folgt beschrieben: Als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Beispiele für Datenschutzverletzungen

Für diesen Artikel habe ich die am häufigsten genannten (/gemeldeten) Datenschutzverletzungen aus dem GDD-Praxisreport 2021 und der Landesaufsichtsbehörde Baden-Württemberg 2019 entnommen.

Beide Quellen zeigen ein ähnliches Bild: Während im GDD-Praxisreport Übermittlungen an falsche Empfänger, Cyberangriffe, System- oder Konfigurationsfehler, Diebstahl, Verlust von Datenträgern oder Akten, fehlerhafte Berechtigungen genannt werden.

GDD-Praxisreport 2021 - Datenschutzverletzungen
GDD-Praxisreport 2021 – Datenschutzverletzungen

Ergeben die Ergebnisse der Landesaufsichtsbehörde Baden-Württemberg zwei Jahre zuvor ein ähnliches Bild ab: Postfehlversand, Hackingangriffe/Malware/Trojaner, E-Mail-Fehlversand, Diebstahl eines Datenträgers, Versendung einer E-Mail mit offenem Adressverteiler, Verlust eines Datenträgers, Fax-Fehlversand.

Landesdatenschutzbehörde Baden-Württember Datenschutzverletzungen 2019
Datenschutzverletzungen bereiten zunehmend Sorge! (2019, Landesaufsichtsbehörde Baden-Württemberg)

Spannend ist dabei auch die Anzahl der Beschwerden und Datenpannen, die die Landesaufsichtsbehörde Baden-Württemberg 2021 bearbeitet hat: Waren es in Baden-Württemberg 2019 3.757 Beschwerden und 2.030 Datenpannen, sind es 2021 bereits 4.708 Beschwerden und 3.136 Datenpannen.

Jeweils ein Zuwachs von knapp 1.000 Meldungen innerhalb der zwei Jahre.

Beschwerden werden meist von betroffenen Personen der Aufsichtsbehörde gemeldet. Datenpannen, werden vom Unternehmen selbst gemeldet.

Statistische Übersicht der Beschwerden und Datenpannen der Landesaufsichtsbehörde Baden-Württemberg aus dem Tätigkeitsbericht 2021.
Statistische Übersicht der Beschwerden und Datenpannen der Landesaufsichtsbehörde Baden-Württemberg aus dem Tätigkeitsbericht 2021.

Die Beispiele und Tipps in den nächsten Absätzen dienen zur Anregung und Information. Sie sind nicht vollständig.

Übermittlung an falsche Empfänger

Briefe oder E-Mails werden mit personenbezogenen Inhalten an falsche Empfänger versendet.

Beispiele

  • Ein Steuerberater schickt die Lohnabrechnungen an die falschen Empfänger. So habe ich einmal die Gehaltsabrechnung eines mir fremden Geschäftsführers erhalten.
  • Das Amtsgericht versendet die Unterlagen einer Gerichtsverhandlung an die verkehrten Empfänger.
  • Patientenberichte werden an die falschen Empfänger versendet.
  • E-Mails werden an eine offene Adress-Liste gesendet, alle Empfänger haben Einsicht in den Verteiler.

Tipps, dem entgegenzuwirken

  • Sensibilisiere dich, deine Mitarbeiter und Freelancer, dass hier etwas schieflaufen kann. Überlege dir, wie ihr diesen mit am häufigsten genannten Datenschutzverstoß verhindern könnt.

Cyberangriffe

Kriminelle nutzen Phishing-, Ransomware-, und weitere Angriffe, um Zugriff auf IT-Systeme zu erhalten.

Beispiele

  • Durch einen Klick auf eine E-Mail oder das Öffnen einer Bewerbung lässt einen Verschlüsselungstrojaner ins IT-System.

Tipps, dem entgegenzuwirken

  • Halte deine IT-Systeme und Programme immer auf dem aktuellsten Stand.
  • Nutze sichere Passwörter.
  • Sei für Phishing-E-Mails sensibilisiert (ebenso deine Mitarbeiter, Freelancer), klicke nichts an, was du nicht kennst. Öffne nur mit Vorsicht Anhänge. Sensibilisiere deine Mitarbeiter und Freelancer.

System- oder Konfigurationsfehler

Fehler in der Systemkonfiguration oder fehlerhafte Programmierung lösen Datenschutzverletzungen aus.

Beispiele

  • Die IT-Systeme sind nicht auf dem aktuellen Stand. Kriminelle können das ausnutzen, um einen möglichen Zugang durch eine Sicherheitslücke zu personenbezogenen Daten zu erhalten.
  • Die Rechtevergabe einzelner Ordner wird falsch gesetzt. Was nur eine bestimmte Gruppe an Personen (z.B. Personalordner) sehen sollte, kann vom gesamten Unternehmen eingesehen werden.

Tipps, dem entgegenzuwirken

  • Halte deine IT-Systeme und Programme immer auf dem aktuellsten Stand.
  • Überlege dir, wer auf deine Ordner wann Zugriff bekommt.
  • Wenn dich ein Mitarbeiter oder ein Freelancer verlässt, achte darauf, ihr / ihm den Zugriff auf dein System zu entziehen.

Diebstahl oder Verlust von Datenträgern

USB-Sticks, externe Festplatten, Smartphones und Laptops gehen verloren.

Beispiele

  • Es werden unverschlüsselte Dateien (wie Gehaltsabrechnung, Patientendaten, …) auf USB-Sticks gespeichert. Der USB-Stick wird in der Familie herumgereicht und verschwindet. Die Daten auf dem USB-Stick tauchen bei Personen auf, die keinen Zugriff auf die Daten haben sollten.
  • Smartphones und Laptops werden in den öffentlichen Verkehrsmitteln vergessen.

Tipps, dem entgegenzuwirken

  • Hand aufs Herz, wie viele USB-Sticks hast du bei dir (und der Firma) herumliegen? Auf wie vielen USB-Sticks sind Daten von deinen Kunden? Oder generell personenbezogenen Daten? Ein ausgefüllter Gesundheitscheck? Notizen über eine Coaching-Stunde? Gehaltsabrechnung deiner Mitarbeiter? Mit einem durchdachten Speicherkonzept im Netzwerk / in einer Ordnerstruktur, mit entsprechenden Sicherheitseinstellungen, wie Verschlüsselung, könntest du starten.

Sonstige Datenschutzverstöße

  • Keine Datenschutzerklärung auf der Webseite
  • Ignorieren von Betroffenenanfragen (eine Person, deren Daten verarbeitet wird)
  • Newsletter-Versand an Personen, deren Einwilligung nicht vorhanden ist

Generell helfen bereits Maßnahmen wie Datensicherung, Verschlüsselung, Schulungen und Sensibilisierung fürs Thema. Wie kannst du sicherstellen, dass deinem Unternehmen und dir diese Datenschutzverletzungen nicht passieren?

Was tun bei einer Datenschutzverletzung?

Wenn du eine Datenschutzverletzung in deinem Unternehmen feststellst, prüfst du (oder dein Datenschutzbeauftragter), ob für den Verstoß eine Meldepflicht gilt. Entscheidend ist das Risiko der Datenschutzverletzung für die Rechte und Freiheiten der betroffenen Personen.

Es kann in ein vorhandenes Risiko, hohes Risiko und voraussichtlich kein Risiko unterteilt werden. Besteht voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen, ergibt sich keine Meldepflicht. Bei voraussichtlichem Risiko besteht eine Meldepflicht, innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde.

Ich hoffe, ich konnte dir hiermit schon den ersten Einblick in den Datenschutz geben. Hast du schon eine Datenschutzverletzung erfahren? Teile gerne deine Gedanken in den Kommentaren dazu.

Nicole Werner

Ich bin Wirtschaftsinformatikerin, Datenschutzbeauftragte, Bloggerin, Vermittlerin und neuronale Pingpong-Spielerin. Ich mache komplexe Themen verständlich und liebe TechNights.

Mehr über mich erfährst du auf meiner Über Mich Seite.

Ähnliche Beiträge

Ein Kommentar

  1. Mein Bruder hat sein eigenes Geschäft. Bis jetzt hat er sich selbst um den Datenschutz gekümmert. Das Unternehmen wächst jedoch schnell und er ist eigentlich zu beschäftigt, um alles richtig zu organisieren. Er erwägt, einen Datenschutzbeauftragten einzuschalten. Es ist gut zu wissen, dass es auf jeden Fall wichtig ist, alle IT-Systeme auf dem neuesten Stand zu halten; wir werden das demnächst selbst prüfen.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert