Wenn eine Verletzung des Schutzes personenbezogener Daten erfolgt, ist der Verantwortliche nach Art. 33 DSGVO verpflichtet, unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnisnahme die zuständige Aufsichtsbehörde hierüber zu informieren – es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

Meldung bei der Aufsichtsbehörde

Die Datenschutzaufsichtsbehörden nehmen die Meldung von Datenpannen entgegen. Die Aufsichtsbehörden informieren auch in ihren jährlichen Tätigkeitsberichten über die innerhalb eines Jahres eingegangenen Datenpannenmeldungen.

Dieser Beitrag soll wichtige Erkenntnisse aus den Tätigkeitsberichten für 2022 der Sächsischen Datenschutz- und Transparenzbeauftragten sowie der Berliner Beauftragten für Datenschutz und Informationsfreiheit im Hinblick auf gemeldete Datenpannen zusammenfassen.

Überblick der gemeldeten Datenpannen in Sachsen

Meldungen

In Sachsen wurden in 2022 809 Datenpannen gemeldet. Zwischen 2018 und 2021 nahm die Meldung von Datenpannen in Sachsen stetig zu – mit einer bisherigen Spitze von 923 Datenpannenmeldungen im Jahr 2021. Somit wurde für das vergangene Jahr erstmalig ein Rückgang der gemeldeten Datenpannen verzeichnet.

Betroffene Bereiche

Die Sächsische Datenschutz- und Transparenzbeauftragte benennt in ihrem Tätigkeitsbericht für 2022 die häufigsten im vergangenen Jahr gemeldeten Fallgruppen von Datenpannen. Besonders häufig gemeldet wurden in Sachsen Fehlversendungen von Unterlagen mit personenbezogenen Daten. Dies entspricht wohl ca. einem Drittel der Gesamtmeldungen aus 2022. Zudem wurden auch häufig Meldungen betreffend Versendungen im offenen E-Mail-Verteiler, Verlusten auf dem Postweg, Einbrüchen und Diebstahl (insb. Gegenstände, auf denen personenbezogene Daten gespeichert sind) sowie Cyberkriminalität abgegeben.

Präventionsmaßnahmen

Zur Vermeidung von Meldefällen im Bereich Cyberkriminalität rät die Sächsische Beauftragte dazu, hinsichtlich der technischen und organisatorischen Maßnahmen insbesondere der Informations- und Datensicherheit besondere Relevanz einzuräumen. Darüber hinaus benennt die Sächsische Datenschutz- und Transparenzbeauftragte weitere Maßnahmen zur Vorbeugung, insbesondere angemessene Maßnahmen zur Datensicherung, die richtige Konfiguration der Firewall, die Erstellung und Umsetzung eines Notfallplans für Cybererpressungen und Hackerangriffe, das Vorhalten von Reservetechnik, Weiterbildung in dem entsprechenden Bereich sowie eine frühzeitige Kommunikation gegenüber Betroffenen.

Überblick der gemeldeten Datenpannen in Berlin

Meldungen

In Berlin wurden in 2022 insgesamt 1068 Datenpannen gemeldet. Im o. g. Tätigkeitsbericht wird auch nach Meldungen zwischen öffentlichen und nicht-öffentlichen Stellen differenziert: So wurden 920 Meldungen von nicht-öffentlichen Stellen vorgenommen, öffentliche Stellen meldeten der Aufsichtsbehörde 148 Datenpannen. Auch in Berlin konnte im Vergleich zum Vorjahr ein Rückgang der gemeldeten Datenpannen verzeichnet werden. Seit Inkrafttreten der DSGVO nahmen auch die Datenpannenmeldungen in Berlin zu, allerdings gab es im Jahr 2020 bereits einen ersten Rückgang der Meldungen. In 2020 wurden insgesamt 925 Datenpannen in Berlin gemeldet. In 2021 stieg die Zahl der Gesamtmeldungen um ca. 25% gegenüber dem Vorjahr. In 2022 nahm die Zahl der Meldungen wieder ab, unterschritt das Niveau von 2020 jedoch nicht.

Betroffene Bereiche

Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit thematisiert die Problematik von offenen E-Mail-Verteilern in ihrem Tätigkeitsbericht für 2022. Auch das Thema Diebstahl – auch im Zusammenhang mit ausufernder Aktenarchivierung – im Hinblick auf die Meldung von Datenpannen wird angesprochen. Zudem wurden bei der Berliner Aufsichtsbehörde auch verschiedene Datenpannen im Zusammenhang mit Apps und Webseiten und dort aufgetretenen Sicherheitslücken gemeldet.

Präventionsmaßnahmen

Auch die Berliner Aufsichtsbehörde gibt verschiedene Hinweise zur Vermeidung von Datenpannen. Die Behörde empfiehlt grds. Maßnahmen zur Sensibilisierung im Hinblick auf datenschutzrelevante Themen sowie die Implementierung entsprechender Prozesse. Zudem wird noch mal die Bedeutung der Einhaltung der gesetzlichen Speicherfristen hervorgehoben, ebenso das Treffen geeigneter Maßnahmen zur Vertraulichkeit. Insbesondere im Hinblick auf technische Anwendungen wird empfohlen, Sicherheitslücken zu prüfen und entsprechende Schutzmaßnahmen zu treffen.  Schutzmaßnahmen, die unabhängig von der konkreten Anwendung arbeiten, reichen nach Ansicht der Berliner Behörde nicht aus.

Fazit

Die Tätigkeitsberichte aus Sachsen und Berlin geben einen guten Überblick über die Häufigkeit und die Hauptkategorien von gemeldeten Datenpannen in den beiden Bundesländern in 2022. Es wird deutlich, dass eine wohl nicht unerhebliche Anzahl der gemeldeten Datenpannen aus menschlichen Einzelfehlern resultiert – gerade im Hinblick auf Fehlversendungen oder den Versand im offenen Verteiler. Aus unserer Sicht lässt dies den Schluss zu, dass regelmäßige Sensibilisierungen in diesen Bereichen besonders wichtig sind. Aus unserer Sicht ist auch anzuraten, entsprechende interne Prozesse zu implementieren, um das Risiko für z. B. Fehlversendungen zumindest abzusenken.

Aus den o.g. Tätigkeitsberichten wird aber auch deutlich, dass es verschiedene externe Einflüsse geben kann, die ebenfalls Datenpannen bedingen, bspw. Diebstahl und Cyberkriminalität. Die beiden Aufsichtsbehörden thematisieren in diesem Rahmen nochmals die Bedeutung der zu treffenden technischen und organisatorischen Maßnahmen durch die verantwortliche Stelle. Hier ist anzuraten, die technischen und organisatorischen Maßnahmen regelmäßig zu überprüfen und ggf. entsprechend anzupassen.