Was ist eine Datenschutzverletzung?
Eine Datenschutzverletzung ist jeder Sicherheitsvorfall, der fuhrt zu:
- Vernichtung personenbezogener Daten (z.B. Ransomware, die Ihre Datenbank verschlusselt)
- Verlust personenbezogener Daten (z.B. gestohlener Laptop, verlorener USB-Stick)
- Anderung personenbezogener Daten (z.B. Hacker, der Kundendaten andert)
- Unbefugte Offenlegung oder Zugang (z.B. falsch versendete E-Mail, CRM-Hack)
Es muss kein spektakularer Hackerangriff sein. Die haufigsten Datenschutzverletzungen bei KMU sind alltaglich:
- Ein Mitarbeiter sendet eine Kundenliste an die falsche E-Mail-Adresse
- Ein Laptop mit unverschlusselten Personalakten wird aus dem Auto gestohlen
- Ein ehemaliger Mitarbeiter behalt nach dem Ausscheiden Zugang zum CRM
- Kundendaten werden in einer WhatsApp-Gruppe mit Mitarbeitern geteilt
- Eine Phishing-E-Mail fuhrt zu geleakten Zugangsdaten
Die drei Schritte bei einer Datenschutzverletzung
Schritt 1: Bewerten Sie das Risiko
Nicht jede Verletzung muss gemeldet werden. Die entscheidende Frage: Stellt diese Verletzung voraussichtlich ein Risiko fur die Rechte und Freiheiten der Betroffenen dar?
Wahrscheinlich MELDEN:
- Geleakte Finanzdaten, medizinische Unterlagen, Ausweisnummern
- Geleakte Zugangsdaten (Passworter, Konten)
- Personenbezogene Daten vulnerabler Gruppen (Kinder, Patienten)
- Grosse Anzahl Betroffener
Wahrscheinlich NICHT MELDEN:
- Verlorener USB-Stick mit vollstandig verschlusselten Daten
- Kurzer unbefugter Zugriff ohne Kopieren oder Andern von Daten
Im Zweifel? Melden. Eine unntige Meldung hat keine Folgen; eine unterlassene kann ein Bussgeld nach sich ziehen.
Schritt 2: Melden Sie der Aufsichtsbehorde (innerhalb von 72 Stunden)
Wenn Sie sich fur eine Meldung entscheiden, haben Sie 72 Stunden nach Entdeckung.
| Land | Behorde | Wie |
|---|---|---|
| Deutschland | BfDI / Landesbehorde | Je nach Bundesland |
| Osterreich | DSB | Online-Formular |
| Schweiz | EDOB | Meldung online |
Vorlage: Meldung Datenschutzverletzung
Ein Meldeformular mit allen Pflichtfeldern, plus eine Vorlage zur Benachrichtigung der Betroffenen.
Vorlage ansehen arrow_forwardSchritt 3: Informieren Sie Betroffene (bei hohem Risiko)
Bei hohem Risiko mussen Sie auch die Betroffenen informieren:
- Was passiert ist
- Welche Daten betroffen sind
- Was Sie unternommen haben
- Was sie selbst tun konnen (Passwort andern, auf Phishing achten)
Das Verletzungsregister
Jede Datenschutzverletzung muss in einem Register dokumentiert werden, auch wenn Sie sie nicht der Aufsichtsbehorde melden.
Pro Vorfall dokumentieren Sie:
- Datum der Entdeckung und Datum des Vorfalls
- Beschreibung des Geschehens
- Betroffene Daten und Anzahl Betroffener
- Folgen und ergriffene Massnahmen
- Ob gemeldet (und wenn nein, warum nicht)
- Ob Betroffene informiert (und wenn nein, warum nicht)
Haufige Fehler
- “Es war nur eine E-Mail” - auch eine falsch versendete E-Mail ist eine Verletzung
- Interne Untersuchung uber Meldung stellen - beginnen Sie die Meldung innerhalb von 72 Stunden
- Betroffene nicht informieren bei hohem Risiko
- Kein Verletzungsregister fuhren
- WhatsApp-Gruppen als sicher betrachten
Vorbeugen ist besser als Melden
- Verschlusseln Sie Laptops, USB-Sticks und mobile Gerate
- Beschranken Sie den Zugang zu personenbezogenen Daten
- Verwenden Sie starke Passworter und 2FA
- Schulen Sie Ihre Mitarbeiter
- Entfernen Sie Konten ausscheidender Mitarbeiter sofort
GDPRWise erfasst automatisch, welche personenbezogenen Daten Sie erheben und mit wem Sie diese teilen.