Datenschutzverletzungen sind ein wachsendes Problem für Unternehmen und ihre Kunden. Laut Statistik der Landesdatenschutzbehörde Baden-Württemberg ist die Zahl der gemeldeten Beschwerden und Datenpannen zwischen 2019 und 2021 um mehr als 1.000 Fälle in diesem Zeitraum gestiegen.
Die häufigsten Arten von Datenschutzverletzungen sind Übermittlungen an falsche Empfänger, Cyberangriffe, Systemausfälle, Diebstahl von Datenträgern sowie Datenverlust. Diese Verstöße können für die Betroffenen schwerwiegende Folgen wie Datenmissbrauch, Identitätsdiebstahl oder Rufschädigung haben.
Gleichzeitig wissen viele Selbstständige und kleine Unternehmen nicht, wie sie solche Datenschutzverletzungen vermeiden und im Falle eines Falles rechtlich korrekt damit umgehen können. Es fehlt an Sensibilisierung, Schulung und technisch-organisatorischen Maßnahmen.
In diesem Artikel zeige ich dir anhand von typischen Beispielen, welche Datenschutzverstöße in der Praxis vorkommen können. Außerdem gebe ich dir die ersten Tipps, wie du dein Unternehmen und deine Kunden durch vorausschauende Maßnahmen besser schützen kannst. Erfahre auch, wann nach einer Datenschutzverletzung eine Meldepflicht besteht und was dann zu tun ist.
Beispiele für Datenschutzverletzungen
Für diesen Artikel habe ich die am häufigsten genannten (/gemeldeten) Datenschutzverletzungen aus dem GDD-Praxisreport 2021 und der Landesaufsichtsbehörde Baden-Württemberg 2019 entnommen.
Beide Quellen zeigen ein ähnliches Bild: Während im GDD-Praxisreport Übermittlungen an falsche Empfänger, Cyberangriffe, System- oder Konfigurationsfehler, Diebstahl, Verlust von Datenträgern oder Akten, fehlerhafte Berechtigungen genannt werden.
Ergeben die Ergebnisse der Landesaufsichtsbehörde Baden-Württemberg zwei Jahre zuvor ein ähnliches Bild ab: Postfehlversand, Hackingangriffe/Malware/Trojaner, E-Mail-Fehlversand, Diebstahl eines Datenträgers, Versendung einer E-Mail mit offenem Adressverteiler, Verlust eines Datenträgers, Fax-Fehlversand.
Spannend ist dabei auch die Anzahl der Beschwerden und Datenpannen, die die Landesaufsichtsbehörde Baden-Württemberg 2021 bearbeitet hat: Waren es in Baden-Württemberg 2019 3.757 Beschwerden und 2.030 Datenpannen, sind es 2021 bereits 4.708 Beschwerden und 3.136 Datenpannen.
Jeweils ein Zuwachs von knapp 1.000 Meldungen innerhalb der zwei Jahre.
Beschwerden werden meist von betroffenen Personen der Aufsichtsbehörde gemeldet. Datenpannen, werden vom Unternehmen selbst gemeldet.
Die Beispiele und Tipps in den nächsten Absätzen dienen zur Anregung und Information. Sie sind nicht vollständig.
Melde dich für den Newsletter an
Verpasse keine neuen Beiträge zu den Themen Datenschutz, IT-Sicherheit-Basics, verantwortungsvoller Umgang mit neuen Tools mehr.
Übermittlung an falsche Empfänger
Briefe oder E-Mails werden mit personenbezogenen Inhalten an falsche Empfänger versendet.
Beispiele
- Ein Steuerberater schickt die Lohnabrechnungen an die falschen Empfänger. So habe ich einmal die Gehaltsabrechnung eines mir fremden Geschäftsführers erhalten.
- Das Amtsgericht versendet die Unterlagen einer Gerichtsverhandlung an die verkehrten Empfänger.
- Patientenberichte werden an die falschen Empfänger versendet.
- E-Mails werden an eine offene Adress-Liste gesendet, alle Empfänger haben Einsicht in den Verteiler.
Tipps, dem entgegenzuwirken
- Sensibilisiere dich, deine Mitarbeiter und Freelancer, dass hier etwas schieflaufen kann. Überlege dir, wie ihr diesen mit am häufigsten genannten Datenschutzverstoß verhindern könnt.
Cyberangriffe
Kriminelle nutzen Phishing-, Ransomware-, und weitere Angriffe, um Zugriff auf IT-Systeme zu erhalten.
Beispiele
- Durch einen Klick auf eine E-Mail oder das Öffnen einer Bewerbung lässt einen Verschlüsselungstrojaner ins IT-System.
Tipps, dem entgegenzuwirken
- Halte deine IT-Systeme und Programme immer auf dem aktuellsten Stand.
- Nutze sichere Passwörter.
- Sei für Phishing-E-Mails sensibilisiert (ebenso deine Mitarbeiter, Freelancer), klicke nichts an, was du nicht kennst. Öffne nur mit Vorsicht Anhänge. Sensibilisiere deine Mitarbeiter und Freelancer.
System- oder Konfigurationsfehler
Fehler in der Systemkonfiguration oder fehlerhafte Programmierung lösen Datenschutzverletzungen aus.
Beispiele
- Die IT-Systeme sind nicht auf dem aktuellen Stand. Kriminelle können das ausnutzen, um einen möglichen Zugang durch eine Sicherheitslücke zu personenbezogenen Daten zu erhalten.
- Die Rechtevergabe einzelner Ordner wird falsch gesetzt. Was nur eine bestimmte Gruppe an Personen (z.B. Personalordner) sehen sollte, kann vom gesamten Unternehmen eingesehen werden.
Tipps, dem entgegenzuwirken
- Halte deine IT-Systeme und Programme immer auf dem aktuellsten Stand.
- Überlege dir, wer auf deine Ordner wann Zugriff bekommt.
- Wenn dich ein Mitarbeiter oder ein Freelancer verlässt, achte darauf, ihr / ihm den Zugriff auf dein System zu entziehen.
Diebstahl oder Verlust von Datenträgern
USB-Sticks, externe Festplatten, Smartphones und Laptops gehen verloren.
Beispiele
- Es werden unverschlüsselte Dateien (wie Gehaltsabrechnung, Patientendaten, …) auf USB-Sticks gespeichert. Der USB-Stick wird in der Familie herumgereicht und verschwindet. Die Daten auf dem USB-Stick tauchen bei Personen auf, die keinen Zugriff auf die Daten haben sollten.
- Smartphones und Laptops werden in den öffentlichen Verkehrsmitteln vergessen.
Tipps, dem entgegenzuwirken
- Hand aufs Herz, wie viele USB-Sticks hast du bei dir (und der Firma) herumliegen? Auf wie vielen USB-Sticks sind Daten von deinen Kunden? Oder generell personenbezogenen Daten? Ein ausgefüllter Gesundheitscheck? Notizen über eine Coaching-Stunde? Gehaltsabrechnung deiner Mitarbeiter? Mit einem durchdachten Speicherkonzept im Netzwerk / in einer Ordnerstruktur, mit entsprechenden Sicherheitseinstellungen, wie Verschlüsselung, könntest du starten.
Sonstige Datenschutzverstöße
- Keine Datenschutzerklärung auf der Webseite
- Ignorieren von Betroffenenanfragen (eine Person, deren Daten verarbeitet wird)
- Newsletter-Versand an Personen, deren Einwilligung nicht vorhanden ist
Generell helfen bereits Maßnahmen wie Datensicherung, Verschlüsselung, Schulungen und Sensibilisierung fürs Thema. Wie kannst du sicherstellen, dass deinem Unternehmen und dir diese Datenschutzverletzungen nicht passieren?
Was tun bei einer Datenschutzverletzung?
Wenn du eine Datenschutzverletzung in deinem Unternehmen feststellst, prüfst du (oder dein Datenschutzbeauftragter), ob für den Verstoß eine Meldepflicht gilt. Entscheidend ist das Risiko der Datenschutzverletzung für die Rechte und Freiheiten der betroffenen Personen.
Es kann in ein vorhandenes Risiko, hohes Risiko und voraussichtlich kein Risiko unterteilt werden. Besteht voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen, ergibt sich keine Meldepflicht. Bei voraussichtlichem Risiko besteht eine Meldepflicht, innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde.
Ich hoffe, ich konnte dir hiermit schon einen ersten Einblick in Datenpannen geben. Hast du schon eine Datenschutzverletzung erfahren? Teile gerne deine Gedanken in den Kommentaren dazu.
Nicole Werner
I am a business information scientist, blogger and neural ping pong player. I love new technologies and make complex topics understandable. My greatest asset: I can turn mandarins into elephants 🙃.
Check out my About page to learn more about me. Stay up to date with the latest news and sign up for my newsletter.
Mein Bruder hat sein eigenes Geschäft. Bis jetzt hat er sich selbst um den Datenschutz gekümmert. Das Unternehmen wächst jedoch schnell und er ist eigentlich zu beschäftigt, um alles richtig zu organisieren. Er erwägt, einen Datenschutzbeauftragten einzuschalten. Es ist gut zu wissen, dass es auf jeden Fall wichtig ist, alle IT-Systeme auf dem neuesten Stand zu halten; wir werden das demnächst selbst prüfen.