Die 4 häufigsten Datenschutzverletzungen – Wie konnte das passieren?

Die 4 häufigsten Datenschutzverletzungen

Ich habe die 4 häufigsten Datenschutzverletzungen zusammengestellt. Hier sage ich dir, welche es sind und was du dagegen machen kannst. Dabei muss eine Datenschutzverletzung nicht immer durch aktives Tun ausgelöst werden. In vielen Fällen kann auch ein passives Verhalten zu einer Datenschutzverletzung führen.

 

Angriff – Aktuelle die No 1 der 4 häufigsten Datenschutzverletzungen

Und wenn wir schon bei der Absicherung der IT sind, bleiben wir auch dabei. Die häufigste Datenschutzpanne dürfte aktuell ein Cyberangriff sein, bei dem personenbezogenen Daten betroffen sind.Und wenn wir schon bei der Absicherung der IT sind, bleiben wir auch dabei. Die häufigste Datenschutzverletzung dürfte aktuell ein Cyberangriff sein, bei dem personenbezogenen Daten betroffen sind. Phishing-Angriffe, Malware-Infektionen oder schlicht der Unberechtigte Zugriff sind dabei nur ein paar denkbare Konstellationen

 

Bottleneck Mitarbeiter

In vielen Köpfen geht beim Gedanken an Cyberangriffe noch immer das Bild des Hackers mit Hoodie im dunklen Raum durch den Kopf. Der Hacker tippt dann mit irrer Geschwindigkeit Code in seinen Rechner und knackt damit die besten Firewalls. Das ist in den meisten Fällen Quatsch. Beim Großteil der Cyberangriffe geht ein menschliches Verhalten voraus, dass den Angreifern das Eindringen in die Systeme erst ermöglicht. Dabei gibt es viele Konstellationen, vom infizierten E-Mail-Anhang bis zu Social Engineering. Ein

Aus Sicht des Datenschutzes unterscheiden wir zwei Szenarien.

 

Verschlüsselung

Beim ersten Szenario verlierst du den Zugriff auf die personenbezogenen Daten. Das typische Beispiel ist die Verschlüsselung durch einen Trojaner. Größtenteils durch einen E-Mail-Anhang kommt ein Trojaner in dein System, der allmählich alle Daten verschlüsselt. Hier versuchen die Personen hinter dem Trojaner größtenteils ein Lösegeld zu erpressen. Erst nach Zahlung des Lösegeldes sollst du den Schlüssel für die Entschlüsselung bekommen. Ob das passiert, steht auf einem anderen Blatt. Einerseits spricht einiges dafür, dass die Erpresser die Daten freigeben, um ihr Geschäftsmodell nicht zu gefährden. Andererseits besteht auch kein wirklicher Grund für die Erpresser, die Daten freizugeben, nachdem du das Lösegeld (größtenteils in Form einer Kryptowährung) gezahlt hast. Strafvervolgungsbehörden raten generell von der Zahlung des Lösegeldes ab.

Wurden deine Daten verschlüsselt, hast du in der Regel keine Chance mehr diese wieder herzustellen. Die Verschlüsselungen sind fast nicht zu knacken. Du kannst dich nur effektiv schützen, indem du einerseits dich und deine Mitarbeiter für das Thema sensibilisierst und andererseits im Rahmen deiner technischen und organisatorischen Maßnahmen ein funktionierendes Backup-und-Recovery-System etablierst.

 

Datendiebstahl

Beim zweiten Szenario werden deine Daten gestohlen. Auch hier geht es in der Regel um Geld. Die Datendiebe erpressen dich damit, die Daten offenzulegen, wenn du das Lösegeld nicht zahlst. Während du bei Szenario 1 noch relativ gut davon kommst, sofern dein Backup-System funktioniert, sieht es hier schlecht aus. Wenn du nicht zahlst, besteht eine echte Chance, dass die Daten offengelegt werden, wie 2022 bei Continental geschehen.
Schützen kannst du dich auch hier nur mit einer ordentlichen Absicherung der IT und vor allem durch das Sensibilisieren deiner Mitarbeiter.

 

Sensibilisieren und Arbeit mit Profis

Auch wenn wir alle das Bild vom düsteren Hacker im Kopf haben, der sich mit unglaublichen Genie durch Firewalls programmiert: Angriffe kommen meistens über einen menschlichen Fehler. Ein zentraler Baustein zur Vermeidung der No1 der 4 häufigsten Datenschutzverletzungen ist die Schulung und Sensibilisieren deiner Mitarbeiter. Das Thema solltest du wirklich ernst nehmen. Außerdem musst du natürlich auch deine IT-Infrastruktur wirklich absichern. Absichern heißt dabei nicht einfach eine Firewall und einen kostenfreien Virenscanner zu installieren. IT-Sicherheit beginnt bereits bei den Prozessen und Strukturen in deinem Unternehmen (wie dem Rollenkonzept und der Passwortrichtlinie) und setzt sich dann fort bis zum Härten von Access-Point.

 

Verlust von Daten

Ein weiterer Klassiker der häufigsten Datenpannen ist der Verlust von Daten. Daten können auf vielerlei Art und Weise verloren gehen. Unter Verlust verstehe ich, dass ein Zugriff auf die Daten nicht mehr möglich ist. Oben hatte ich bereits die Verschlüsselung erwähnt. Das ist nur eine Art und Weise, wie Daten verloren gehen können.

Das Löschen von Daten, sei es durch Zufall oder mit Absicht, kann ebenfalls eine Datenpanne darstellen. Denn das Löschen von Daten ist eine Verarbeitung im Sinn der DSGVO. Personenbezogene Daten darfst du auf Basis einer Rechtsgrundlage verarbeiten. Du darfst also Daten nicht beliebig löschen. Wenn du Daten dennoch löschst, ohne dass hierfür eine Rechtsgrundlage existiert, kann das eine Datenpanne sein.

 

Unzureichende Löschung

Umgekehrt gibt es natürlich aber auch viele Situationen, in den Daten gelöscht werden müssen. Das ist insbesondere der Fall, wenn die Rechtsgrundlage für die Speicherung beziehungsweise Aufbewahrung der Daten nicht mehr existiert. Dann müssen personenbezogene Daten gelöscht werden. Je sensible die Daten sind, desto höher ist der Aufwand beziehungsweise die Anforderung an die Löschung. Das kann bis zu einer physischen Vernichtung des kompletten Tauträgers führen. Wenn du personenbezogene Daten nicht ausreichend sicher löscht, kann dies ebenfalls eine Datenpanne sein. Wie schnell das passieren kann, zeigt uns ein Beispiel einer Stadtverwaltung in Bayern. Diese verkaufte nicht mehr benötigte SSD. Die Festplatten waren nicht ausreichend gelöscht. Der Käufer konnte damit Zugriff auf mehrere Tausend Datensätze von Bürgern erhalten, u. a. Daten der Fahrerlaubnisbehörde oder des Sozialamtes. Hier kann ein Löschkonzept Muster helfen.

 

Offener E-Mail-Verteiler

Ein Klassiker der häufigsten Datenschutzverletzungen ist der offene E-Mail-Verteiler. Diese Datenschutzpanne ist nicht schön, kommt aber immer wieder vor. Je nachdem in welcher Sparte du unterwegs bist, ist so ein offener Verteiler mehr oder weniger schlimm. Gerade als Berufsgeheimnisträger oder auch sonst in einem sensiblen Bereich, bei dem andere nicht wissen dürfen, wer überhaupt dein Kunde ist, musst du besonders aufpassen. Ein offener E-Mai-Verteiler beim Arzt, Steuerberater oder Anwalt ist dann im Zweifel nicht nur ein Datenschutzthema.

Das Tückische an dieser Datenschutzpanne ist die Leichtigkeit, mit der sie passiert. Es kann gewissermaßen immer und jeden Tag vorkommen. Dabei kannst du dir noch so oft vornehmen, die E-Mail vor dem Absenden zu kontrollieren. Einmal nicht aufgepasst und es ist zu spät. Hier hilft eigentlich nur das 4-Augen-Prinzip. Bevor eine E-Mail an mehrere Empfänger geht, die sich nicht kennen sollen, musst du eine zweite Person auf den Verteiler schauen lassen. Anders sicherst du dich kaum ab.

Maßnahmen gegen die 4 häufigsten Datenschutzverletzungen

Du kannst vermutlich nicht jede Datenpanne verhindern. Mit bestimmten Maßnahmen, kannst du aber die Gefahr reduzieren. Die beste Absicherung ist ein durchorganisiertes und gelebtes Datenschutzmanagementsystem, mit allem, was dazu gehört.

 

Technische und organisatorische Maßnahmen

Durch deine technischen und organisatorischen Maßnahmen sicherst du den einerseits den unbefugten Zugriff auf deine personenbezogenen Daten. Dazu gehört auch, aber nicht nur die Firewall. Die Maßnahmen fangen ganz analog bei der Haustür an, gehen über den aufgeräumten Schreibtisch bis zum abgeschlossenen Serverraum. Zu den technischen und organisatorischen Maßnahmen gehört aber auch die Möglichkeit zur Wiederherstellung deiner Daten, z. B. durch ein ausgereiftes Backup- and Recovery-System.

 

Sensibilisieren

Viele Pannen kannst du vermutlich verhindern, wenn deine Mitarbeiter ausreichend geschult und sensibilisiert sind. Dabei sollte einmal im Jahr eine Schulung Pflicht sein. Hier geht es gar nicht darum, deine Mitarbeiter zu „Datenschutzexperten“ zu machen. Aber du solltest deine Mitarbeiter sensibilisieren, damit sie ggf. einmal öfter hinschauender hinterfragen, bevor sie etwas machen. Auch das ist ein wichtiger Schritt, um die häufigsten Datenschutzverletzungen zu verhindern.

 

Dokumentation

Ein anderer zentraler Baustein ist die Dokumentation deiner Prozesse. Nur wenn du den Überblick hast, kannst du die Kontrolle ausüben und die häufigsten Datenschutzverletzungen verhindern. Ein Verzeichnis der Verarbeitungstätigkeiten (oder einfach Verarbeitungsverzeichnis) ist dabei der zentrale Baustein.

 

Was droht bei den häufigsten Datenschutzverletzungen

Sollte dir doch einmal eine Datenschutzverletzung passieren, solltest du nicht in Panik geraten. Allerdings solltest du das Thema auch nicht unter den Tisch kehren. In bestimmten Fällen hast du eine Meldepflicht und muss dich sogar selbst anzeigen (Art. 33 DSGVO). Bereits wenn du die Datenschutzverletzung nicht meldest, drohen dir unter Umständen Bußgelder nach Art. 83 DSGVO. Für die Datenpanne selbst drohen natürlich auch noch einmal Bußgelder. Aktuell zeichnet sich aber ab, dass neben Bußgeldern Schadensersatzansprüche von betroffenen Personen (Art. 82 DSGVO) noch größere Auswirkungen haben können. Gerade dann, wenn viele Personen betroffen sind, drohen natürlich auch mehrere Ansprüche. Dabei können (aktuell im Einzelfall noch kleine) Schadensersatzbeträge in der Summe sehr empfindliche Größen erreichen.

 

GDPR for Dubai companies
GDPR for Dubai companiesDatenschutz
Fotos auf Veranstaltungen
Fotos auf Veranstaltungen – mit Muster-DatenschutzhinweisenAllgemein, Datenschutz, Datenschutzmindset