Was ist eine Datenpanne und welche rechtlichen Konsequenzen ergeben sich daraus? Sven Lammers, zert. BSI ISO 27001 Auditteamleiter und Senior Berater beantwortete diese Fragen an Beispielen aus der Praxis sehr anschaulich.
Was sind Datenpannen?
„Der Gesetzgeber hat im BDSG die Datenpanne als einen Vorfall definiert, bei dem unberechtigte Dritte Zugriff auf sogenannte besondere Arten personenbezogener Daten erlangt haben“, erläutert Sven Lammers. Bei den Daten geht es um sensible Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Weiterhin gehören dazu die personenbezogenen Daten, welche einem Berufsgeheimnis unterliegen, Daten über strafbare Handlungen oder Ordnungswidrigkeiten sowie personenbezogene Daten zu Bank- oder Kreditkartenkonten. Außerdem müssen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen.
Informationspflichten
Kommt es zu einer Datenpanne, regelt das BDSG in § 42 a Benachrichtigungspflichten gegenüber den Betroffenen durch Einzelbenachrichtigung und gegenüber der Datenschutz-Behörde des Landes. Soweit die Information der Betroffenen einen unverhältnismäßigen Aufwand erfordert (insbesondere durch die Vielzahl der Falle), tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen (die mindestens eine halbe Seite umfassen) in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit gleich geeignete Maßnahme.
Datenschutzverstöße können teuer werden
Datenschutzverstöße können als Ordnungswidrigkeit mit einer Geldbuße bis zu 300.000 € oder als Straftat mit Freiheitsstrafe oder Geldstrafe und mit arbeitsrechtlichen Konsequenzen sanktioniert werden. Verstöße gegen formale Verpflichtungen (Informationspflicht) können mit einer Geldbuße von bis zu 50.000 € geahndet werden.
Vorsorge treffen
Sven Lammers zeigte an zahlreichen Datenpannen aus der Praxis, dass es sehr hilfreich ist, für mögliche Datenpannen Vorsorge zu treffen. Zu den häufigsten Ursachen einer Datenpanne gehören mit 39 % fahrlässige Mitarbeiter bzw. das Fehlverhalten von Mitarbeitern. Es folgen Schadcode, Viren Trojaner (37 %) und techn. Störungen / Systemstörungen (24 %) (Quelle: “2011 Annual Study: Cost of a Data Breach”, die die US-Marktforschungsfirma Ponemon Institute im Auftrag des Sicherheitsunternehmens Symantec durchgeführt hat).
Als Vorsorge empfiehlt er zunächst schützenswerte Daten zu identifizieren, eine Informationsklassifizierung (siehe z. B. ISO/IEC 27001:2005 Anhang A.7.2) einzuführen und Daten ausreichend technisch und organisatorisch zu schützen (vgl. Anlage zu § 9 BDSG, BSI Grundschutz und ISO/IEC 27001). Weil fahrlässige Mitarbeiter und Fehlverhalten die häufigsten Ursachen sind, sind Mitarbeiterschulungen und -informationen ein besonders wichtiger Vorsorgebaustein. Schließlich ist es wichtig, Prozess- und Alarmierungsketten für mögliche Datenpannen festzulegen.