Eine Datenpanne erkennen

Eine Datenpanne erkennen

In der heutigen Zeit der Digitalisierung behauptet so mancher IT-Experte oder Datenschützer, dass es keine Frage mehr ist, ob eine Einrichtung eine Datenpanne erleidet. Die Frage ist wohl tatsächlich, wann dieses Ereignis eintritt. Als Folge darauf überlegt ein Verantwortlicher eventuell, wie er eine Datenpanne erkennen kann. In diesem Beitrag gehen wir näher auf diese Überlegung ein.

Was ist eine Datenpanne?

Hilfreich ist es, zuerst zu betrachten, wie die DSGVO eine Datenpanne definiert. Hierzu gibt Art. 4 Nr. 12 DSGVO Auskunft. Die DSGVO beschreibt eine Datenpanne als eine Verletzung der Sicherheit personenbezogener Daten. Mehr zu diesem Thema erfahren Sie auch hier. Unbeachtet kann dabei bleiben, ob diese Verletzung der Sicherheit absichtlich oder versehentlich herbeigeführt worden ist. Gleich ist es auch, inwiefern sie sich ausdrückt. Dabei gilt jeglicher unbefugte Zugang, Zugriff auf oder Zutritt zu Daten, der Verlust dieser oder die temporäre (z. B. durch einen Stromausfall) oder die dauerhafte (z. B. durch Verlust, Verschlüsselungsangriff) Nicht-Verfügbarkeit von Daten als eine Datenpanne. – Inwiefern eine Datenpanne der Datenschutzaufsicht zu melden ist und eventuell auch Betroffene zu informieren sind, erklären u. a. unsere Beiträge „Notwendigkeit einer Meldung eines Ransomware-Angriffs“, „Meldung von Cyber- und Social Engineering-Angriffen“ oder auch „Meldungen von Dokumentenverlusten und organisatorischen Fehlerquellen“. – Vorliegend behandeln wir das Erkennen einer Datenpanne an sich.

Arten von Datenpannen

Bei einer Datenpanne handelt es sich beispielsweise nicht ausschließlich um Cyber-Angriffe oder gehackte LogIn-Daten, sondern um jeglichen möglichen unbefugten Zugang, Zugriff auf oder Zutritt zu personenbezogene Daten. Diese können unterschiedlicher Natur sein.

Datenpannen durch eine externe Handlung …

Bei externen Angriffen handelt es sich um Angriffe von externen Personen. Diese Personen handeln meist absichtlich. Die Beispiele dafür können natürlich mit denen interner Angriffe (teils) übereinstimmen. Typische Angriffe von außen sind

1)    Cyber-,

2)    DOS– (Denial of Service-),

3)    Phishing– oder auch

4)    Man-in-the-Middle-Angriffe sowie

5)    Social Engineering,

6)    Versand von Spyware,

7)    Installation von Malware oder

8)    Diebstahl von Speichermedien.

Diese Liste ist bei Weitem nicht abschließend und kann weitaus länger ausfallen. Mehr Beispiele finden Sie im Beitrag “Daten erfolgreich gegen Cyber-Angriffe schützen“.

… die zu einem internen Ereignis führen

Es ist ebenfalls nicht auszuschließen, dass eine Datenpanne von innen heraus verursacht werden kann. Klarer ausgedrückt: Es kann zu einer Datenpanne aufgrund eines bestimmten Handelns eines Beschäftigten kommen. In den meisten Fällen gehen Datenschützer davon aus, dass es unabsichtlich oder ohne böse Absichten geschieht. Absichtliches Handeln ist natürlich nicht auszuschließen und kommt auch vor. Eine Datenpanne auslösen kann

1)    ein Social Engineering-Anruf bei einem Beschäftigten, der ggf. gutgläubig, aber unbefugt personenbezogene Daten preisgibt.

2)    eine mit einem Virus infizierte E-Mail, die an einen Beschäftigten verschickt wird und der – je nachdem, wo der Virus sich befindet – den Anhang öffnet, auf einen Link klickt o. Ä. (unternehmensinterne Auswirkung eines Phishing-Angriffes).

3)    eine in einem Restaurant liegen gelassene Mappe mit personenbezogenen Daten, die der Beschäftigte – nach beispielsweise einem Kundengespräch – vergisst.

4)    der Verlust eines USB-Sticks, der personenbezogene Daten beinhaltet, nach einem Gespräch mit Geschäftspartnern.

4)    ein im regulären Papierkorb entsorgtes Dokument, auf dem sich personenbezogene Daten befinden, welches ein Verantwortlicher nicht ordnungsgemäß vernichtet.

5)    ein Fehlversand (z. B. von falsch kuvertierten Postsendungen, per Fax aufgrund eines Zahlendrehers).

6)    eine Fehladressierung von E-Mails, die beispielsweise durch eine Autovervollständigungsfunktion ausgelöst wird.

7)    ein offener E-Mail-Adressverteiler beim Versand eines Newsletters.

8)    ein Verlust von Daten aufgrund eines elementaren Ereignisses (Feuer, Flut, Löschwasser etc.).

Auch hier sind dies nur ein paar Beispiele einer langen Liste an Möglichkeiten.

Entdeckung einer Datenpanne

Natürlich sollten Verantwortliche technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO implementieren, um eine mögliche Datenpanne zu vermeiden. Selbst wenn ein Verantwortlicher diese auf einem hohen Standard umsetzt, ist es dennoch nicht ausgeschlossen, dass es doch zu einer Datenpanne kommen kann. Dies ist schon deshalb der Fall, weil der Faktor Mensch eine nicht berechenbare Fehlerquelle ist. Daher kommen wir nun zu den Möglichkeiten, eventuelle Datenpannen zu entdecken.

Mögliche technische und organisatorische Maßnahmen, die zu einer Entdeckung führen können

So manche technische oder organisatorische Maßnahme hilft dabei, eine eventuelle Datenpanne zu bemerken:

1)    Protokollierung der Zugriffe und Zugänge: Sofern diese technische Maßnahme in einer Einrichtung implementiert wird, kann man anhand dessen, einen unbefugten Zugang zu oder Zugriff auf personenbezogene Daten entdecken. So ist der IT-Abteilung ein bestimmter Nutzername eventuell unbekannt oder die Zugriffszeiten sind unwahrscheinlich (beispielsweise während der Nacht).

2)    Protokollierung von Berechtigungen: Sofern es ein Berechtigungskonzept gibt, kann ein Verantwortlicher anhand dessen feststellen, falls ein Nutzer auf Daten, Laufwerkbereiche o. Ä. zugreift, zu denen er zur Erledigung seiner Aufgaben keinen Zugang benötigt und demnach dazu eigentlich auch nicht die Berechtigungen hat.

3)    Sicherheitswarnung: Je nach Art der Sicherheitseinstellungen und auch nach den jeweiligen implementierten Detektionsprogrammen, können auch diese eine mögliche Datenpanne melden. So kann ein Verantwortlicher ein Intrusion Detection System installieren, welches als eine Art Alarmanlage bei unberechtigtem Zugriff funktioniert.

4)    Nicht funktionierende Anti-Viren-Software: Eine Grundmaßnahme zum Datenschutz und zur Datensicherheit ist die Installation einer Anti-Viren-Software und einer Firewall. Wenn ein Angreifer diese abschaltet, erscheint meist eine Warnung. So kann diese durch einen Hacker zur Cyber-Angriffsvorbereitung ausgeschaltet worden sein.

5)    Einsatz künstlicher Intelligenz zur Identifizierung einer Datenpanne. Dies kann ein Verantwortlicher gegebenenfalls als Dienst eines spezialisierten Unternehmens zukaufen.

6)    Sensibilisierung der Beschäftigten: Wenn ein Verantwortlicher die Beschäftigten regelmäßig zum Datenschutz und zur Datensicherheit schult, wissen diese, wie Datenpannen nach Möglichkeit zu verhindern sind, was bei einer eventuellen Datenpanne zu unternehmen ist und reagieren und handeln auch entsprechend rasch. Die Beschäftigten sind über den Prozess zur internen Meldung einer Datenpanne an die zuständigen Personen des Verantwortlichen zu informieren, auch darüber, wo es ein Meldeformular gibt, wo der Prozess zum Umgang mit einer Datenpanne beschrieben ist und dass es eine Fehlerkultur im Unternehmen gibt, die Hinweise auf (mögliche) Datenpannen als Chance zur Qualitäts- und Prozessverbesserung versteht.

Entscheidung über geeignete Maßnahmen durch Verantwortlichen

Möglichkeiten, eine Datenpanne zu erkennen – und dies schnellstmöglich – gibt es weitaus mehr. So lange die jeweiligen Maßnahmen der Art der verarbeiteten Daten sowie dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessen sind, sind einem Verantwortlichen bei der Wahl dieser Maßnahmen keine Grenzen gesetzt. Vielmehr überlässt es der Gesetzgeber dem Verantwortlichen, Schutzmaßnahmen zu wählen, die der Bedeutung der Daten, dem Verletzungsrisiko und der Eintrittswahrscheinlichkeit angemessen sind, wobei auch Implementierungskosten berücksichtigt werden können. Eine 100%ige Sicherheit wird also nicht gefordert. Andererseits können fehlende oder unzureichende technische und organisatorische Schutzmaßnahmen selbst zu einem Bußgeld in Millionenhöhe führen werden sowie umgekehrt ein guter Grad an technischen und organisatorischen Maßnahmen zu einer Bußgeldreduzierung führen kann (vgl. Art. 83 Abs. 2 DSGVO).

Schritte bei Eintreten einer Datenpanne

Wenn es aber dann doch trotz implementierter technischer und organisatorischer Maßnahmen zum Datenschutz und zur -sicherheit zu einer Datenpanne kommt, gilt es die nächsten Schritte binnen der 72 Stunden-Frist einzuleiten: Prüfung des Vorfalls, Dokumentation, Schadensbegrenzung, Ziehen von Lehren zur künftigen Vermeidung, Information an zuständige Personen (z. B. an das Datenschutz-Team oder den Datenschutzbeauftragten). Details können Sie gern in unserem Beitrag “Meldung einer Datenpanne” nachlesen.

Dokumentation der Datenpanne

Ganz gleich, ob es sich bei einer Datenpanne um einen meldepflichtigen Vorfall handelt, ein Verantwortlicher muss die Einzelheiten dazu dokumentieren. So kann er beispielsweise auch bei Bedarf erklären, weshalb es bei den implementierten Schutzmaßnahmen eine Änderung gab bzw. dass er überhaupt Maßnahmen ergriffen hat, um eine erneute Datenpanne zu verhindern.

Fazit

Es ist nicht nur essentiell, Maßnahmen zu ergreifen, um eine Datenpanne zu verhindern. Genauso wichtig ist es, diese Pannen auch zu erkennen, um entsprechend handeln und bei Bedarf nachbessern zu können. Letztendlich gehört auch die Fähigkeit, eine Datenpanne zu erkennen, zu den technischen und organisatorischen Maßnahmen als Teil einer Datenschutzorganisation, die ein Verantwortlicher zum Datenschutz und zur -sicherheit ergreifen muss, um DSGVO-konform zu agieren. Unternimmt ein Verantwortlicher nichts zum Datenschutz und zur Datensicherheit und reagiert nicht entsprechend bei (eventuellen) Datenpannen, drohen Bußgelder, Schadenersatzansprüche oder Abmahnungen.

Sofern Sie Unterstützung bei der Implementation einer Datenschutzorganisation und/oder Beratung zum Datenschutz wünschen, kontaktieren Sie uns. Wir – die dpc Data Protection Consulting GmbH – haben das Wissen und die Kompetenz, Ihnen dabei helfen zu können.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.