Achtung, Datenleck

"Datenpannen können in vielen verschiedenen Formen auftreten. Eine der relevantesten Risiken sind wohl Angriffe von außen, etwa durch Hacker-Angriffe oder sogenannte Phishing-Attacken", erklärt Wiebke Reuter, Fachanwältin für Informations- und Technologierecht bei der Kanzlei Taylor Wessing in Berlin. Bei Unternehmen, die vornehmlich oder ausschließlich im B2B-Bereich unterwegs sind, verfolgen Cyber-Kriminelle in der Regel zwei Ziele, so die Anwältin. Entweder wollen sie Zugriff auf Daten von Mitarbeitern oder Kunden. Hier könnten sie die Daten etwa nutzen, um Kunden zu kontaktieren und angebliche neue Kontodaten für das Bezahlen von Rechnungen mitzuteilen. Oder Hacker verschaffen sich Zugriff auf Systeme der Unternehmen und verschlüsseln deren Daten. Damit sind die Betriebe aus ihren eigenen Systemen ausgeschlossen. Die Angreifer fordern dann regelmäßig "Lösegeld" für die Freigabe. Aber was ist nun eine Datenpanne im Sinne der Datenschutzgrundverordnung (DSGVO)? Wichtig ist in diesem Zusammenhang das Wort personenbezogen: Name, Vorname, private Adresse, Kontonummer wären solche Daten zum Beispiel. "Ein Sicherheitsvorfall, bei dem keine personenbezogenen Daten betroffen sind, ist nicht als Datenpanne im Sinne des DSGVO zu qualifizieren", führt Reuter aus. Datenpanne oder nicht? Grundsätzlich gilt, dass der Schutz personenbezogener Daten verletzt sein muss, damit eine Datenpanne vorliegt. Was dazu zählt, wird näher definiert in Artikel 4 Nummer 12 DSGVO. Daraus ergeben sich zwei Kriterien, so Reuter. Erstens: Die Sicherheit wird verletzt, sodass personenbezogene Daten etwa vernichtet oder verändert werden oder verloren gehen. Zweitens: Personen verarbeiten solche Daten unbefugt. "Die Definition ist wichtig, um eine Datenpanne als solche zu identifizieren." Einige Fälle seien relativ eindeutig: Ein Hacker-Angriff auf die Systeme eines Unternehmens, bei dem auf Mitarbeiterdaten zugegriffen wird, stellt eine Datenpanne dar. Ebenso liegt eine Datenpanne regelmäßig beim Verlust von Hardware-Geräten vor, auf denen personenbezogene Daten ungesichert gespeichert sind. Aber nicht jeder Verstoß gegen die DSGVO ist eine Datenpanne. "Zum Beispiel ist die Verarbeitung personenbezogener Daten ohne Rechtsgrundlage zwar unzulässig und grundsätzlich bußgeldbewährt, stellt aber in der Regel keine Datenpanne dar." Liegt eine Datenpanne vor, ist diese gegebenenfalls an die zuständige Datenschutzaufsichtsbehörde zu melden (Artikel 33 DSGVO). "Für deutsche Unternehmen ist das grundsätzlich die Landesdatenschutzbehörde in dem Bundesland, in dem das Unternehmen seinen Sitz hat", so Reuter. Genau prüfen, ob Pflichten bestehen Sobald das Unternehmen Kenntnis von der Datenpanne hat, hat es eine Frist von 72 Stunden für die Meldung. Wenn es international tätig sei, können abhängig etwa von der Struktur des Unternehmens auch Meldepflichten in anderen Ländern bestehen, teils auch innerhalb der EU. "Die Frage der Meldepflicht bedarf einer Prüfung im Einzelfall", hebt die Anwältin hervor. Die DSGVO gehe grundsätzlich von einer Pflicht aus. Ausgenommen davon seien Fälle, bei denen ein Risiko für die Betroffenen eher fernliegt, obwohl ihre Daten betroffen sind. Reuter nennt als Beispiel, dass eine Person einen USB-Stick mit Mitarbeiterdaten beim Baden im Meer verliert. "In dieser Konstellation ist es eher unwahrscheinlich, dass ein Dritter den USB-Stick findet und die Daten unberechtigt nutzt." Ebenso könne eine Meldepflicht im Einzelfall entfallen, wenn Unbefugte sich Zugriff zu einem Unternehmensserver verschaffen, auf diesem Server aber ausschließlich verschlüsselte Daten liegen. Außerdem muss ein Unternehmen im Einzelfall auch die Betroffenen informieren (Artikel 34). Diese Pflicht besteht nur bei einem hohen Risiko für die persönlichen Rechte und Freiheiten. Beispielsweise, wenn bei einer Bank oder der Schufa personenbezogene Daten oder wenn Mitarbeiterdaten gehackt werden, erläutert die Anwältin. Im Oktober habe der Europäische Datenschutzausschuss zudem die "Guidelines 9/2022 on personal data breach notification under GDPR" veröffentlicht. Diese stehen bis Ende November zur öffentlichen Konsultation. "Die Leitlinien enthalten Erläuterungen zur Einordnung einer Datenpanne und Fallbeispiele sowie Hinweise zur Melde- und Benachrichtigungspflicht." Bis zu zehn Millionen Euro Bußgeld Verstöße gegen die Meldepflicht können mit Geldbußen von bis zu zehn Millionen Euro oder bis zu zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden (Artikel 83). Zudem könne die zuständige Behörde weitere Abhilfemaßnahmen verhängen, sagt Reuter. Unabhängig von möglichen Strafen stehe Betroffenen ein Schadenersatzanspruch zu. Zudem könnten vertragliche Schadenersatzansprüche von Kunden oder Auftraggebern bestehen. "Dabei ist zu berücksichtigen, dass Datenpannen den Geschäftsbetrieb beeinflussen und sich somit etwa auf die gesamte Lieferkette auswirken können, in die ein Transport- oder Logistikunternehmen eingebunden ist." Mehr zum Thema unter #Unternehmensführung www.verkehrsrundschau-plus.de/hashtag In Kürze Die Datenschutzgrundverordnung der EU gibt unter anderem vor, was im Falle einer Datenpanne zu tun ist. Erfüllen Unternehmen ihre Pflichten nicht, kann es teuer werden. Um den Betrieben hier eine Hilfe an die Hand zu geben, entwickelt die EU momentan Leitlinien.

Konjunktur: KfW Research senkt Wachstumsprognose

Export: USA bleiben wichtigster Handelspartner

Batteriehersteller: Northvolt beantragt Gläubigerschutz

Deutsche Wirtschaft wächst im dritten Quartal minimal

Autobahnen: A565 bei Bonn wird bis Dienstag gesperrt

Alle Schlagzeilen

Achtung, Datenleck

HASHTAG

#Unternehmensführung

Cyberkriminalität: Neuer Versicherungsschutz der R+V

Was nun, GLS?

Tankkarten: Moderne Zeiten

MEISTGELESEN

Emons Spedition siedelt sich am c-Port an

Bund und Länder fördern Brennstoffzellen-Lkw von Daimler Truck

Fiege baut Logistikzentrum bei Leipzig

STELLENANGEBOTE

Schichtleiter (w/m/d) Logistik - Warenausgang

Leiter (w/m/d) Logistik Teilbereich Warenausgang

Area HR Business Partner

Head of Logistics (w/m/d) mit fundierter Erfahrung im internationalen Versand

Koordinator (m/w/d) Intralogistik mit Teamleitungsfunktion

WEITERLESEN

NEWSLETTER