Datenschutzverstöße treffen Unternehmen jeder Größe – ob durch Angriffe von außen oder durch Fehler im Alltag. Es besteht stets dringender Handlungsbedarf, denn neben hohen Bußgeldern nach Art. 83 DSGVO und Schadensersatzansprüchen können Reputationsschäden und Vertrauensverlust die Folge sein.
Sie sollten immer unverzüglich Ihren Datenschutzbeauftragten informieren, denn Datenschutzverletzungen müssen häufig innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde gemeldet werden.
Im Folgenden finden Sie eine Übersicht typischer Szenarien mit den jeweils empfohlenen Sofortmaßnahmen:
Fehlversand von E-Mails
Ein klassisches Szenario ist die E-Mail, die versehentlich an einen falschen Empfänger verschickt wird. Enthält die Nachricht personenbezogene Daten, liegt bereits eine Datenschutzverletzung vor.
- Sofortmaßnahme: Bitten Sie den Empfänger unverzüglich um Löschung der Nachricht und lassen Sie sich die Löschung bestätigen.
- Prävention: Nutzen Sie die „BCC“-Funktion und prüfen Sie stets das Adressfeld. Ein Rückruf von E-Mails ist technisch mitunter möglich.
Cyberangriffe und Verschlüsselungstrojaner
Die größte Bedrohung im digitalen Bereich bleibt der Angriff von außen. Ransomware kann beispielsweise ganze Systeme verschlüsseln und lahmlegen. Angreifer versuchen meist, Lösegeld zu erpressen.
- Sofortmaßnahme: Betroffene Systeme sofort vom Netz trennen, Schwachstellen analysieren, Rechner neu aufsetzen und Daten aus Backups wiederherstellen. Behörden raten von Lösegeldzahlungen ab.
- Prävention: Regelmäßige Updates und Patches, aktueller Virenschutz, restriktives Rechte- und Rollenkonzept sowie verbindliche Regeln für den Umgang mit E-Mail-Anhängen.
Phishing und Datendiebstahl
Viele Angriffe basieren auf Täuschung: Mitarbeiter geben unter Druck oder durch gefälschte Mails Zugangsdaten preis. Nicht selten werden auch gefälschte Rechnungen übermittelt und dann irrtümlich bezahlt.
- Sofortmaßnahme: Sofortige Passwortänderung, Umfang der missbräuchlichen Nutzung feststellen und Konten absichern, sorgfältige Prüfung von Rechnungen insbesondere auf auffällige IBAN-Angaben.
- Prävention: Zwei-Faktor-Authentifizierung, regelmäßige Mitarbeiterschulungen zu Phishing-Mustern, Spam-Filter und klare Meldewege bei Verdachtsfällen.
Verlust von Datenträgern
Ob USB-Stick, Laptop oder Aktenordner – der Verlust physischer Datenträger kommt immer wieder vor. Dabei droht der Abfluss sensibler Daten an Unbefugte.
- Sofortmaßnahme: Bei elektronischen Geräten Fernlöschung aktivieren und die Polizei einschalten, wenn ein Diebstahl naheliegt. Bei Akten den Verlust dokumentieren und Inhalte so weit wie möglich rekonstruieren, um Gegenmaßnahmen einleiten zu können.
- Prävention: Verschlüsselung mobiler Datenträger, klare Regeln für die Mitnahme und Aufbewahrung sowie verpflichtende Nutzung abschließbarer Behältnisse.
Unberechtigte Zugriffe durch Mitarbeiter
Auch interne Datenschutzverstöße sind keine Seltenheit. Mitarbeiter sehen sich Daten zu privaten Zwecken an oder nutzen sie außerhalb des dienstlichen Rahmens.
- Sofortmaßnahme: Datenzugriffe protokollieren, Vorfall dokumentieren, arbeitsrechtliche Schritte prüfen.
- Prävention: Berechtigungskonzepte, verbindliche Verpflichtung auf das Datengeheimnis, individuelle Nutzerkennungen und regelmäßige Sensibilisierung zu möglichen Konsequenzen.
Datenverarbeitung ohne Rechtsgrundlage
Immer wieder werden personenbezogene Daten ohne ausreichende Rechtsgrundlage verarbeitet. Daten werden beispielsweise veröffentlicht (etwa auf der Webseite) oder zu einem anderen Zweck genutzt (z. B. für unverlangte Newsletter).
- Sofortmaßnahme: Die Verarbeitung muss sofort eingestellt, beispielsweise die Veröffentlichung sofort gelöscht werden.
- Prävention: Richtlinien für den Umgang mit Daten, Schulung von Mitarbeitern, Einführung eines Vier-Augen-Prinzips vor Veröffentlichungen, klare Regelungen zur Prüfung der Rechtmäßigkeit.
Fazit
Datenschutzverstöße sind häufig. Entscheidend ist der richtige Umgang damit: Mitarbeiter sollten sich sofort und vertrauensvoll bei ihrem Vorgesetzten melden. Generell ist hilfreich, wenn im Unternehmen nicht nur Technik vorhanden ist, sondern auch klare Abläufe, Schulungen und Verantwortlichkeiten bestehen. Für Geschäftsführer bedeutet das, Strukturen zu schaffen, die sowohl rechtssicher als auch praxistauglich sind.
