Wenn Bürger*innen erfahren, dass sie von einer Datenpanne persönlich betroffen sind, sind sie verunsichert. Wie sollen sie sich nun verhalten? Was können sie tun? Welche Schritte müssen sie einleiten? Um Betroffenen eine erste Orientierung zu bieten, hat die LDI NRW Antworten auf häufig auftretende Fragen zusammengestellt.
Was ist eine Datenpanne?
Die Datenschutz-Grundverordnung (DS-GVO) benutzt den Begriff Datenpanne selbst nicht. Dort wird der Begriff „Verletzung des Schutzes personenbezogener Daten“ als Verletzung der Sicherheit definiert, die dazu führt, dass personenbezogene Daten vernichtet, verloren, verändert oder unbefugt offengelegt bzw. zugänglich wurden. Umgangssprachlich hat sich dafür inzwischen der Begriff der „Datenpanne“ eingebürgert.
Insbesondere Cyberangriffe führen zunehmend zu Datenpannen. Die Angreifenden können bei ihren Angriffen unbefugten Zugang zu personenbezogenen Daten erlangen und diese kopieren. Üblich ist, dass Daten dann gelöscht oder verschlüsselt werden, um ein Lösegeld zu erpressen. Als weiteres Druckmittel veröffentlichen die Angreifenden die kopierten Daten, wenn kein Lösegeld gezahlt wird, oder sie verkaufen die Daten weiter.
Wer hat welche Pflichten im Falle einer Datenpanne? Auf welche Auskünfte habe ich als betroffene Person ein Recht? Und was macht die LDI NRW?
1. Welche Pflichten hat der Verantwortliche?
Die Pflichten der Verantwortlichen zu kennen, kann für Betroffene hilfreich sein – weil es sie in die Lage versetzt, deren Einhaltung einzufordern.
Sobald eine Stelle, die über die Zwecke und Mittel einer Verarbeitung personenbezogener Daten entscheidet (Verantwortlicher) oder im Auftrag eines Verantwortlichen Verarbeitungen übernimmt (Auftragsverarbeiter), eine Datenpanne feststellt, muss diese so schnell wie möglich untersucht werden und es müssen Sofortmaßnahmen zur Eingrenzung bzw. Behebung getroffen werden.
Auftragsverarbeiter müssen unverzüglich ihre Auftraggeber (Verantwortliche) über Datenpannen informieren. Der Verantwortliche muss das Risiko für die Rechte und Freiheiten natürlicher Personen (deren Daten betroffen sind) bewerten. Hierbei werden drei Risikostufen unterschieden:
- geringes Risiko,
- (mittleres) Risiko,
- hohes Risiko.
Dokumentation beim Verantwortlichen
In jedem Fall muss der Verantwortliche die Datenpanne intern dokumentieren, um es der zuständigen Aufsichtsbehörde zu ermöglichen, den Sachverhalt und die getroffenen Maßnahmen später nachvollziehen zu können.
Meldung an die zuständige Aufsichtsbehörde
Liegt ein mehr als geringes Risiko vor, muss der Verantwortliche die Datenpanne unverzüglich (möglichst innerhalb von 72 Stunden nach dem Bekanntwerden) an die zuständige Datenschutzaufsichtsbehörde melden. Für Verantwortliche mit Sitz in Nordrhein-Westfalen ist das in der Regel die LDI NRW.
Benachrichtigung der betroffenen Personen
Führt die Datenpanne voraussichtlich zu einem hohen Risiko für die Betroffenen, müssen diese unverzüglich benachrichtigt werden. Sofern es für den Verantwortlichen möglich und zumutbar ist, sollte die Benachrichtigung individuell erfolgen. Ist dies nicht möglich oder zumutbar, kann die Benachrichtigung über eine öffentliche Bekanntmachung erfolgen.
2. Welche Auskünfte muss der Verantwortliche dem Betroffenen erteilen?
Nach der DS-GVO muss die Benachrichtigung mindestens folgende Informationen beinhalten:
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Datenpanne;
- eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne – und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen Auswirkungen
(Art. 34 Abs. 2 in Verbindung mit Art. 33 Abs. 3 lit. b, c, d DS-GVO).
Konkrete Angaben zu den betroffenen Datensätzen sieht die DS-GVO in der Benachrichtigung nicht vor. Die Betroffenen sollten allerdings über die betroffenen Kategorien personenbezogener Daten informiert werden, um selbst Schutzmaßnahmen treffen zu können.
Sollten Betroffene weitere Informationen zur Datenpanne, beispielsweise zu ihrer konkreten Betroffenheit, den Gründen, warum ihre personenbezogenen Daten (noch) beim Verantwortlichen vorlagen, und der Rechtsgrundlage sowie den Zwecken der Verarbeitung benötigen, sollten sie sich an den Datenschutzbeauftragten bzw. die in der Benachrichtigung genannte Anlaufstelle wenden. Zudem besteht für Betroffene die Möglichkeit, vom Verantwortlichen eine Auskunft über die Verarbeitung ihrer Daten zu verlangen (Art. 15 DS-GVO).
3. Was unternimmt die LDI bei gemeldeten Datenpannen?
Geht die Meldung einer Datenpanne bei der LDI NRW ein, prüft die Behörde unter anderem, ob die Betroffenen bereits gemäß der DS-GVO informiert wurden (Art. 34 DS-GVO). Zudem wird geprüft, ob die Information der Betroffenen – auch unabhängig von einer Benachrichtigungspflicht – angemessen ist, damit die betroffenen Personen selbst Schutzmaßnahmen treffen können.
Zudem wird von der LDI NRW anhand der folgenden Fragen geprüft:
- Wurde der Vorfall hinreichend und in angemessener Zeit (72-Stunden-Frist) vom Verantwortlichen untersucht?
- Wurde der Umfang der Datenpanne und ihre möglichen Auswirkungen für die betroffenen Personen angemessen erfasst?
- Wurde das Risiko für die Rechte und Freiheiten natürlicher Personen in angemessenem Umfang analysiert?
- Wurde die Datenpanne im Falle einer Meldepflicht unverzüglich und möglichst binnen 72 Stunden nach dem Bekanntwerden gemeldet?
- Wurde im Falle einer verspäteten Meldung die Verzögerung nachvollziehbar begründet?
- Wurden ausreichende technische und organisatorische Maßnahmen getroffen, um die Datenpanne zu beheben und die nachteiligen Folgen für betroffene Personen abzumildern?
- Wurden angemessene und geeignete Maßnahmen getroffen, um eine solche Datenpanne künftig zu verhindern?
Gegebenenfalls fordert die LDI NRW den Verantwortlichen auf, der Behörde weitere Informationen bereitzustellen, etwa forensische Untersuchungsberichte. Weiterhin spricht die LDI NRW Empfehlungen für ergänzende Maßnahmen zur Behebung, Abmilderung oder Prävention aus. Sie kann solche Maßnahmen auch anordnen.
Für Inhalte, die im Rahmen einer Meldung oder einer Benachrichtigung zwingend mitzuteilen sind, gilt ein Verwertungsverbot (§ 42 Absatz 4 und § 43 Absatz 4 Bundesdatenschutzgesetz). Das bedeutet: Meldungen (nach Artikel 33 DS-GVO) und Benachrichtigungen (nach Artikel 34 Absatz 1 DS-GVO) dürfen in Straf- und Ordnungswidrigkeitenverfahren gegen Meldepflichtige und Benachrichtigende oder ihre Angehörigen nur mit deren Zustimmung verwendet werden.
4. Wenn Sie betroffen sind
A. Müssen betroffene Personen der Aufsichtsbehörde die Datenpanne melden?
Für betroffene Personen besteht keine Pflicht zur Meldung einer Datenpanne. Diese Pflicht besteht für den Verantwortlichen (siehe 1. Welche Pflichten hat der Verantwortliche)
Wenn Sie vom Verantwortlichen eine Benachrichtigung erhalten haben, liegt der zuständigen Aufsichtsbehörde hierzu in der Regel bereits die Meldung des Verantwortlichen vor. Häufig weisen Verantwortliche in ihren Benachrichtigungen bereits daraufhin, dass die zuständige Aufsichtsbehörde informiert wurde. Dies liegt daran, dass im Falle einer Benachrichtigungspflicht immer auch eine Meldepflicht besteht.
Sollten Sie auf einem anderen Weg von der Datenpanne erfahren haben und haben Sie Zweifel daran, dass die Stelle, wo es zur Datenpanne kam, ihren Pflichten nachgekommen ist, können Sie dies der LDI NRW als Beschwerde mitteilen. Das Beschwerdeformular und weitere Informationen sind hier zu finden.
B. Welche Schutzmaßnahmen können Sie selbst treffen?
Um mögliche Folgen der Datenpanne zu verhindern oder abzumildern, empfiehlt die LDI NRW folgende Selbsthilfe (Selbstschutz-Maßnahmen):
Zugangsdaten (insbesondere Passwörter) ändern
Wenn Passwörter oder Passwort-Hashes entwendet wurden, sollten diese umgehend geändert werden. Aber auch wenn Zugangskennungen (bspw. Ihre E-Mail-Adresse) betroffen sind, sollten Sie die Sicherheit Ihrer Online-Konten prüfen. Für jedes Online-Konto sollten Sie ein unterschiedliches und starkes Passwort verwenden. Wenn der Dienste-Anbieter bzw. Plattformbetreiber eine Zwei-Faktor-Authentifizierung anbietet (wie dies beim Online-Banking bereits verpflichtender Standard ist), sollten Sie diese zum Schutz des Zugangs einrichten. Ergänzende Sicherheitshinweise stellt das Bundesamt für Sicherheit in der Informationstechnik bereit.
Kontobewegungen auf Girokonten und Kreditkarten prüfen
Wenn Zahlungsinformationen wie Kreditkartendaten oder IBAN betroffen sind, sollten Sie Ihre Kontobewegungen prüfen. Dritte könnten diese Daten nutzen, um unbefugt Bestellungen bspw. auf Lastschrift durchzuführen. Bei unbefugten Abbuchungen sollten Sie diese widerrufen bzw. Ihr Geldinstitut hierüber informieren. Ein Zugang zu Ihrem Konto ist in der Regel über die Zahlungsinformationen allein nicht möglich.
Ungewöhnliche Post prüfen
Mahnungen, Inkassobriefe oder Rechnungen für nicht selbst bestellte Ware sollten Sie nicht einfach ignorieren. Sofern es sich augenscheinlich um authentische Schreiben handelt, sollten Sie sich an den Absender wenden und klarstellen, dass Sie die Bestellung nicht veranlasst haben.
Bei E-Mails und Anrufen wachsam sein
Hinsichtlich möglicher Phishing- und Schadmails oder entsprechender Anrufe, in denen man aufgefordert wird, (auf einer externen Webseite) Zugangsdaten oder andere Informationen preiszugeben oder verschlüsselte Dateianhänge zu öffnen, ist Wachsamkeit geboten. Im Zweifel sollten Sie sich über einen anderen Kommunikationskanal (beispielsweise eine bekannte oder offizielle Telefonnummer) die Plausibilität der E-Mail oder des Anrufs bestätigen lassen, bevor Sie Informationen preisgeben oder Dateien öffnen. Weitere Informationen zur Erkennung von Phishing- und Spammails stellt das Bundesamt für Sicherheit in der Informationstechnik bereit:
Wie erkenne ich Phishing in E-Mails und auf Web-Seiten?
Bei Betrug Strafanzeige erstatten
Liegt ein Betrug oder der Verdacht auf einen Betrug vor, können Sie bei der Polizei Anzeige erstatten. Für die Ermittlung und Verfolgung der Täter ist die Polizei bzw. die Staatsanwaltschaft zuständig. Anzeige kann unter anderem über die Internetwache der Polizei NRW erstattet werden:
Allgemeine IT-Sicherheitsmaßnahmen beachten
Auch unabhängig von Datenpannen sollten Sie Ihre Endgeräte und verwendeten Dienste durch Selbstschutzmaßnahmen schützen. Hierzu hat das Bundesamt für Sicherheit in der Informationstechnik Basistipps zur IT-Sicherheit zusammengestellt:
C. Haben betroffene Personen einen Anspruch auf Schadenersatz und wie kann ein solcher geltend gemacht werden?
Sofern Ihnen wegen eines Verstoßes gegen datenschutzrechtliche Vorschriften ein Schaden entstanden ist, besteht die Möglichkeit, Ersatz zu verlangen (Art. 82 DS-GVO). Dafür ist dann nicht die Aufsichtsbehörde zuständig, sondern das Zivilgericht. Anwaltliche Beratung kann dabei helfen.
D. Können betroffene Personen selber prüfen, ob sie von einer Datenpanne betroffen sind?
„Data Leak Checker“ wie der HPI Identity Leak Checker werten unbefugte Veröffentlichungen von Datensammlungen aus und bieten die Möglichkeit zu prüfen, ob die eigene E-Mail-Adresse, Telefonnummer oder ein Online-Konto in einer bekannten Datensammlungen enthalten ist. Je nach betroffener Datensammlung lässt sich im Nachhinein nicht mehr nachvollziehen, auf welchem Wege die Daten in die Sammlung gelangt sind und von welcher Stelle die Daten stammen. Bevor Sie aber Ihre Kontaktdaten bei einem solchen Dienst eingeben, sollten Sie die Datenschutzhinweise und Vertrauenswürdigkeit des Anbieters prüfen.