Die 4 häufigsten Datenschutzverletzungen
Ich habe die 4 häufigsten Datenschutzverletzungen zusammengestellt. Hier sage ich dir, welche es sind und was du dagegen machen kannst. Dabei muss eine Datenschutzverletzung nicht immer durch aktives Tun ausgelöst werden. In vielen Fällen kann auch ein passives Verhalten zu einer Datenschutzverletzung führen.
Angriff – Aktuelle die No 1 der 4 häufigsten Datenschutzverletzungen
Und wenn wir schon bei der Absicherung der IT sind, bleiben wir auch dabei. Die häufigste Datenschutzpanne dürfte aktuell ein Cyberangriff sein, bei dem personenbezogenen Daten betroffen sind.Und wenn wir schon bei der Absicherung der IT sind, bleiben wir auch dabei. Die häufigste Datenschutzverletzung dürfte aktuell ein Cyberangriff sein, bei dem personenbezogenen Daten betroffen sind. Phishing-Angriffe, Malware-Infektionen oder schlicht der Unberechtigte Zugriff sind dabei nur ein paar denkbare Konstellationen
Bottleneck Mitarbeiter
In vielen Köpfen geht beim Gedanken an Cyberangriffe noch immer das Bild des Hackers mit Hoodie im dunklen Raum durch den Kopf. Der Hacker tippt dann mit irrer Geschwindigkeit Code in seinen Rechner und knackt damit die besten Firewalls. Das ist in den meisten Fällen Quatsch. Beim Großteil der Cyberangriffe geht ein menschliches Verhalten voraus, dass den Angreifern das Eindringen in die Systeme erst ermöglicht. Dabei gibt es viele Konstellationen, vom infizierten E-Mail-Anhang bis zu Social Engineering. Ein
Aus Sicht des Datenschutzes unterscheiden wir zwei Szenarien.
Verschlüsselung
Beim ersten Szenario verlierst du den Zugriff auf die personenbezogenen Daten. Das typische Beispiel ist die Verschlüsselung durch einen Trojaner. Größtenteils durch einen E-Mail-Anhang kommt ein Trojaner in dein System, der allmählich alle Daten verschlüsselt. Hier versuchen die Personen hinter dem Trojaner größtenteils ein Lösegeld zu erpressen. Erst nach Zahlung des Lösegeldes sollst du den Schlüssel für die Entschlüsselung bekommen. Ob das passiert, steht auf einem anderen Blatt. Einerseits spricht einiges dafür, dass die Erpresser die Daten freigeben, um ihr Geschäftsmodell nicht zu gefährden. Andererseits besteht auch kein wirklicher Grund für die Erpresser, die Daten freizugeben, nachdem du das Lösegeld (größtenteils in Form einer Kryptowährung) gezahlt hast. Strafvervolgungsbehörden raten generell von der Zahlung des Lösegeldes ab.
Wurden deine Daten verschlüsselt, hast du in der Regel keine Chance mehr diese wieder herzustellen. Die Verschlüsselungen sind fast nicht zu knacken. Du kannst dich nur effektiv schützen, indem du einerseits dich und deine Mitarbeiter für das Thema sensibilisierst und andererseits im Rahmen deiner technischen und organisatorischen Maßnahmen ein funktionierendes Backup-und-Recovery-System etablierst.
Datendiebstahl
Beim zweiten Szenario werden deine Daten gestohlen. Auch hier geht es in der Regel um Geld. Die Datendiebe erpressen dich damit, die Daten offenzulegen, wenn du das Lösegeld nicht zahlst. Während du bei Szenario 1 noch relativ gut davon kommst, sofern dein Backup-System funktioniert, sieht es hier schlecht aus. Wenn du nicht zahlst, besteht eine echte Chance, dass die Daten offengelegt werden, wie 2022 bei Continental geschehen.
Schützen kannst du dich auch hier nur mit einer ordentlichen Absicherung der IT und vor allem durch das Sensibilisieren deiner Mitarbeiter.
Sensibilisieren und Arbeit mit Profis
Auch wenn wir alle das Bild vom düsteren Hacker im Kopf haben, der sich mit unglaublichen Genie durch Firewalls programmiert: Angriffe kommen meistens über einen menschlichen Fehler. Ein zentraler Baustein zur Vermeidung der No1 der 4 häufigsten Datenschutzverletzungen ist die Schulung und Sensibilisieren deiner Mitarbeiter. Das Thema solltest du wirklich ernst nehmen. Außerdem musst du natürlich auch deine IT-Infrastruktur wirklich absichern. Absichern heißt dabei nicht einfach eine Firewall und einen kostenfreien Virenscanner zu installieren. IT-Sicherheit beginnt bereits bei den Prozessen und Strukturen in deinem Unternehmen (wie dem Rollenkonzept und der Passwortrichtlinie) und setzt sich dann fort bis zum Härten von Access-Point.
Verlust von Daten
Ein weiterer Klassiker der häufigsten Datenpannen ist der Verlust von Daten. Daten können auf vielerlei Art und Weise verloren gehen. Unter Verlust verstehe ich, dass ein Zugriff auf die Daten nicht mehr möglich ist. Oben hatte ich bereits die Verschlüsselung erwähnt. Das ist nur eine Art und Weise, wie Daten verloren gehen können.
Das Löschen von Daten, sei es durch Zufall oder mit Absicht, kann ebenfalls eine Datenpanne darstellen. Denn das Löschen von Daten ist eine Verarbeitung im Sinn der DSGVO. Personenbezogene Daten darfst du auf Basis einer Rechtsgrundlage verarbeiten. Du darfst also Daten nicht beliebig löschen. Wenn du Daten dennoch löschst, ohne dass hierfür eine Rechtsgrundlage existiert, kann das eine Datenpanne sein.
Unzureichende Löschung
Umgekehrt gibt es natürlich aber auch viele Situationen, in den Daten gelöscht werden müssen. Das ist insbesondere der Fall, wenn die Rechtsgrundlage für die Speicherung beziehungsweise Aufbewahrung der Daten nicht mehr existiert. Dann müssen personenbezogene Daten gelöscht werden. Je sensible die Daten sind, desto höher ist der Aufwand beziehungsweise die Anforderung an die Löschung. Das kann bis zu einer physischen Vernichtung des kompletten Tauträgers führen. Wenn du personenbezogene Daten nicht ausreichend sicher löscht, kann dies ebenfalls eine Datenpanne sein. Wie schnell das passieren kann, zeigt uns ein Beispiel einer Stadtverwaltung in Bayern. Diese verkaufte nicht mehr benötigte SSD. Die Festplatten waren nicht ausreichend gelöscht. Der Käufer konnte damit Zugriff auf mehrere Tausend Datensätze von Bürgern erhalten, u. a. Daten der Fahrerlaubnisbehörde oder des Sozialamtes. Hier kann ein Löschkonzept Muster helfen.
Offener E-Mail-Verteiler
Ein Klassiker der häufigsten Datenschutzverletzungen ist der offene E-Mail-Verteiler. Diese Datenschutzpanne ist nicht schön, kommt aber immer wieder vor. Je nachdem in welcher Sparte du unterwegs bist, ist so ein offener Verteiler mehr oder weniger schlimm. Gerade als Berufsgeheimnisträger oder auch sonst in einem sensiblen Bereich, bei dem andere nicht wissen dürfen, wer überhaupt dein Kunde ist, musst du besonders aufpassen. Ein offener E-Mai-Verteiler beim Arzt, Steuerberater oder Anwalt ist dann im Zweifel nicht nur ein Datenschutzthema.
Das Tückische an dieser Datenschutzpanne ist die Leichtigkeit, mit der sie passiert. Es kann gewissermaßen immer und jeden Tag vorkommen. Dabei kannst du dir noch so oft vornehmen, die E-Mail vor dem Absenden zu kontrollieren. Einmal nicht aufgepasst und es ist zu spät. Hier hilft eigentlich nur das 4-Augen-Prinzip. Bevor eine E-Mail an mehrere Empfänger geht, die sich nicht kennen sollen, musst du eine zweite Person auf den Verteiler schauen lassen. Anders sicherst du dich kaum ab.
Maßnahmen gegen die 4 häufigsten Datenschutzverletzungen
Du kannst vermutlich nicht jede Datenpanne verhindern. Mit bestimmten Maßnahmen, kannst du aber die Gefahr reduzieren. Die beste Absicherung ist ein durchorganisiertes und gelebtes Datenschutzmanagementsystem, mit allem, was dazu gehört.
Technische und organisatorische Maßnahmen
Durch deine technischen und organisatorischen Maßnahmen sicherst du den einerseits den unbefugten Zugriff auf deine personenbezogenen Daten. Dazu gehört auch, aber nicht nur die Firewall. Die Maßnahmen fangen ganz analog bei der Haustür an, gehen über den aufgeräumten Schreibtisch bis zum abgeschlossenen Serverraum. Zu den technischen und organisatorischen Maßnahmen gehört aber auch die Möglichkeit zur Wiederherstellung deiner Daten, z. B. durch ein ausgereiftes Backup- and Recovery-System.
Sensibilisieren
Viele Pannen kannst du vermutlich verhindern, wenn deine Mitarbeiter ausreichend geschult und sensibilisiert sind. Dabei sollte einmal im Jahr eine Schulung Pflicht sein. Hier geht es gar nicht darum, deine Mitarbeiter zu „Datenschutzexperten“ zu machen. Aber du solltest deine Mitarbeiter sensibilisieren, damit sie ggf. einmal öfter hinschauender hinterfragen, bevor sie etwas machen. Auch das ist ein wichtiger Schritt, um die häufigsten Datenschutzverletzungen zu verhindern.
Dokumentation
Ein anderer zentraler Baustein ist die Dokumentation deiner Prozesse. Nur wenn du den Überblick hast, kannst du die Kontrolle ausüben und die häufigsten Datenschutzverletzungen verhindern. Ein Verzeichnis der Verarbeitungstätigkeiten (oder einfach Verarbeitungsverzeichnis) ist dabei der zentrale Baustein.
Was droht bei den häufigsten Datenschutzverletzungen
Sollte dir doch einmal eine Datenschutzverletzung passieren, solltest du nicht in Panik geraten. Allerdings solltest du das Thema auch nicht unter den Tisch kehren. In bestimmten Fällen hast du eine Meldepflicht und muss dich sogar selbst anzeigen (Art. 33 DSGVO). Bereits wenn du die Datenschutzverletzung nicht meldest, drohen dir unter Umständen Bußgelder nach Art. 83 DSGVO. Für die Datenpanne selbst drohen natürlich auch noch einmal Bußgelder. Aktuell zeichnet sich aber ab, dass neben Bußgeldern Schadensersatzansprüche von betroffenen Personen (Art. 82 DSGVO) noch größere Auswirkungen haben können. Gerade dann, wenn viele Personen betroffen sind, drohen natürlich auch mehrere Ansprüche. Dabei können (aktuell im Einzelfall noch kleine) Schadensersatzbeträge in der Summe sehr empfindliche Größen erreichen.