Was ist eine Datenschutzverletzung?
Eine Datenschutzverletzung ist jeder Sicherheitsvorfall, der führt zu:
- Vernichtung personenbezogener Daten (z.B. Ransomware, die Ihre Datenbank verschlüsselt)
- Verlust personenbezogener Daten (z.B. gestohlener Laptop, verlorener USB-Stick)
- Änderung personenbezogener Daten (z.B. Hacker, der Kundendaten ändert)
- Unbefugte Offenlegung oder Zugang (z.B. falsch versendete E-Mail, CRM-Hack)
Es muss kein spektakulärer Hackerangriff sein. Die häufigsten Datenschutzverletzungen bei KMU sind alltäglich:
- Ein Mitarbeiter sendet eine Kundenliste an die falsche E-Mail-Adresse
- Ein Laptop mit unverschlüsselten Personalakten wird aus dem Auto gestohlen
- Ein ehemaliger Mitarbeiter behält nach dem Ausscheiden Zugang zum CRM
- Kundendaten werden in einer WhatsApp-Gruppe mit Mitarbeitern geteilt
- Eine Phishing-E-Mail führt zu geleakten Zugangsdaten
Die drei Schritte bei einer Datenschutzverletzung
Schritt 1: Bewerten Sie das Risiko
Nicht jede Verletzung muss gemeldet werden. Die entscheidende Frage: Stellt diese Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten der Betroffenen dar?
Wahrscheinlich MELDEN:
- Geleakte Finanzdaten, medizinische Unterlagen, Ausweisnummern
- Geleakte Zugangsdaten (Passwörter, Konten)
- Personenbezogene Daten vulnerabler Gruppen (Kinder, Patienten)
- Große Anzahl Betroffener
Wahrscheinlich NICHT MELDEN:
- Verlorener USB-Stick mit vollständig verschlüsselten Daten
- Kurzer unbefugter Zugriff ohne Kopieren oder Ändern von Daten
Im Zweifel? Melden. Eine unnötige Meldung hat keine Folgen; eine unterlassene kann ein Bußgeld nach sich ziehen.
Schritt 2: Melden Sie der Aufsichtsbehörde (innerhalb von 72 Stunden)
Wenn Sie sich für eine Meldung entscheiden, haben Sie 72 Stunden nach Entdeckung.
| Land | Behörde | Wie |
|---|---|---|
| Deutschland | BfDI / Landesbehörde | Je nach Bundesland |
| Österreich | DSB | Online-Formular |
| Schweiz | EDOB | Meldung online |
Vorlage: Meldung Datenschutzverletzung
Ein Meldeformular mit allen Pflichtfeldern, plus eine Vorlage zur Benachrichtigung der Betroffenen.
Vorlage ansehen arrow_forwardSchritt 3: Informieren Sie Betroffene (bei hohem Risiko)
Bei hohem Risiko müssen Sie auch die Betroffenen informieren:
- Was passiert ist
- Welche Daten betroffen sind
- Was Sie unternommen haben
- Was sie selbst tun können (Passwort ändern, auf Phishing achten)
Das Verletzungsregister
Jede Datenschutzverletzung muss in einem Register dokumentiert werden, auch wenn Sie sie nicht der Aufsichtsbehörde melden.
Pro Vorfall dokumentieren Sie:
- Datum der Entdeckung und Datum des Vorfalls
- Beschreibung des Geschehens
- Betroffene Daten und Anzahl Betroffener
- Folgen und ergriffene Maßnahmen
- Ob gemeldet (und wenn nein, warum nicht)
- Ob Betroffene informiert (und wenn nein, warum nicht)
Häufige Fehler
- “Es war nur eine E-Mail” - auch eine falsch versendete E-Mail ist eine Verletzung
- Interne Untersuchung über Meldung stellen - beginnen Sie die Meldung innerhalb von 72 Stunden
- Betroffene nicht informieren bei hohem Risiko
- Kein Verletzungsregister fuhren
- WhatsApp-Gruppen als sicher betrachten
Vorbeugen ist besser als Melden
- Verschlüsseln Sie Laptops, USB-Sticks und mobile Geräte
- Beschränken Sie den Zugang zu personenbezogenen Daten
- Verwenden Sie starke Passwörter und 2FA
- Schulen Sie Ihre Mitarbeiter
- Entfernen Sie Konten ausscheidender Mitarbeiter sofort
GDPRWise erfasst automatisch, welche personenbezogenen Daten Sie erheben und mit wem Sie diese teilen.