10 häufige Fehler bei Datenschutzvorfällen

Datenschutzvorfälle lassen sich nicht vollständig vermeiden. Umso wichtiger ist der korrekte Umgang damit. In der Praxis beobachten wir wiederkehrende, häufige Fehler, die sich mit klaren Strukturen und Systemen vermeinen lassen.

Datenschutzvorfall. Und jetzt?

Ein Mitarbeiter schickt versehentlich personenbezogene Daten an den falschen Empfänger, Ihre Organisation ist Opfer eines Ransomware-Angriffs und wichtige, u. a. persönliche Daten werden verschlüsselt und landen in den falschen Händen. Zu einer Datenschutzverletzung kommt es schnell.

Dadurch entstehen gesetzliche Pflichten, die bestimmten Fristen unterliegen. Von der Person, die den Vorfall verursacht oder entdeckt hat, muss dementsprechend ein Prozess gestartet werden, um sämtliche gesetzliche und vertragliche Verpflichtungen einzuhalten. Häufig kommt es in dieser Meldekette jedoch zu Fehlern.

Rechtlicher Rahmen und Meldepflichten im Überblick

Die Datenschutz-Grundverordnung (DSGVO) regelt klar Pflichten und Vorhergehensweise bei Datenschutzverletzungen:

• Art. 33 DSGVO: Gesetzliche Pflicht zur Meldung einer Datenschutzverletzung
  Kommt es zu einem Datenschutzvorfall, muss zunächst abgewägt werden, ob ein voraussichtlich hohes Risiko für die „Rechte und Freiheiten natürlicher Personen“ besteht. Konkret betrachtet werden Eintrittswahrscheinlichkeit und negative Konsequenzen für die betroffenen Personen und das Unternehmen. Liegt ein solches Risiko vor, muss der der Vorfall innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.
  
  
• Art. 34 DSGVO: Gesetzliche Pflicht zur Information der betroffenen Personen, wenn ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt
  Ist ein hohes Risiko vorhanden, muss die betroffene Person unverzüglich darüber informieren. Eine Meldung innerhalb von 30 Tagen wird als vertretbar angesehen. Damit die Situation nicht eskaliert, sollten jedoch zuerst Abhilfemaßnahmen ergriffen und die Gesamtsituation im Hinterkopf behalten werden. An dieser Stelle ist dringend die Rücksprache mit dem Datenschutzbeauftragten und ggf. einem Anwalt notwendig. In schwerwiegenden Fällen ist es  ratsam, eine Kommunikationsagentur zu beauftragen, um etwaige Reputationsschäden so gering wie möglich zu halten.

10 häufige Fehler innerhalb der Meldekette von Datenschutzvorfällen

Trotz klarer gesetzlicher Vorgaben und vorhandener Sicherheitsmaßnahmen kommt es zu Fehlern aufgrund von internen Abläufen. Insbesondere in der Meldekette werden Verzögerungen, Fehleinschätzungen oder Abstimmungsprobleme immer wieder zum Problem. Die folgenden Fehler zählen zu den häufigsten Ursachen dafür, dass Datenschutzverletzungen nicht fristgerecht erkannt und gemeldet werden:

1. Mitarbeiter und Leitungskräfte kennen die Prozesskette und Meldefrist nicht

Mitarbeiter und Führungskräfte wissen nicht, wann ein Vorfall meldepflichtig ist oder an wen sie sich wenden müssen.

2. Missachtung der Meldefrist aufgrund Unwissenheit

Die 72-Stunden-Frist aus Art. 33 DSGVO wird missverstanden oder zu spät gestartet. Entscheidend ist der Zeitpunkt der Kenntnisnahme – nicht der Zeitpunkt, an dem alle Details geklärt sind.

3. Keine (regelmäßige) Schulung

Ohne kontinuierliche Sensibilisierung sinkt das Bewusstsein für Datenschutzvorfälle. Auch neue Mitarbeitende sollten im Onboarding ausreichend geschult und über den Meldeprozess informiert werden.

4. Unklare Kommunikation sobald die Datenschutzverletzung vorgekommen ist

Im Ernstfall ist nicht definiert, wer intern informiert, wer Entscheidungen trifft und wer extern kommuniziert. Das führt zu Verzögerungen, widersprüchlichen Aussagen oder unkontrollierter Kommunikation.

5. Datenschutzbeauftragte wird nicht in die Bewältigung einbezogen

Der Datenschutzbeauftragte (DSB) wird oft erst dann hinzugezogen, wenn der Vorfall bereits eskaliert ist. Dadurch fehlen frühzeitig fundierte Risikoabschätzungen und rechtssichere Entscheidungen.

6. Unterschätzung der Kritikalität der Situation

Vorfälle werden initial als „nicht so schlimm“ eingestuft. Diese Fehleinschätzung führt dazu, dass notwendige Maßnahmen verzögert oder gar nicht eingeleitet werden.

7. Verantwortlichkeiten weg schieben und delegieren

Zwischen IT, Fachbereich und Management ist unklar, wer verantwortlich ist. Aufgaben werden verteilt, ohne dass die Gesamtverantwortung klar geregelt ist. Delegation schützt nicht vor Haftung.

8. Fehlende Vertretungsregelungen

Ist die zuständige Person durch Urlaub oder Krankheit nicht erreichbar, werden Datenschutzverletzungen zu spät bearbeitet und der Prozess kommt ins Stocken. Vor allem bei knappen Fristen kann das bereits zum Verstoß führen.

9. Keine Aufarbeitung des Vorfalls

Nach dem Datenschutzvorfall kehrt der Alltag zurück, ohne diesen systematisch aufzuarbeiten. Die Organisation lernt nicht daraus und die Wiederholungswahrscheinlichkeit steigt.

10. Fehlende Verzahnung zwischen IT-Sicherheit und Datenschutz

Ein ungewöhnlicher Zugriff auf ein System wird zwar im Monitoring erkannt, aber nicht als potenzieller Datenabfluss bewertet und somit nicht an den DSB gemeldet.  Ohne definierte Schnittstellen bleibt unklar, ob aus einem IT-Sicherheitsvorfall eine meldepflichtige Datenschutzverletzung wird.

Wie Unternehmen ihre Meldekette verbessern können

• Prozesse dokumentieren und regelmäßig prüfen: Klare Ablaufdiagramme der Meldekette, Verantwortlichkeitsmatrix, Notfallkommunikation, DSMS/ISMS aufbauen
• Schulung und Sensibilisierung: Im Onboarding und fortlaufend, z. B. mit der Schulungsplattform ETES Education
• Technische Unterstützung nutzen: SIEM, Ticketing, automatisierte Benachrichtigungsketten
• Datenschutz- und IT-Sicherheit verzahnen: Gemeinsames Incident-Response-Team, regelmäßige Krisenübungen
• Nachbereitung nicht vergessen: Lessons Learned, Anpassung von Richtlinien und Schulungen
• Cyberversicherung abschließen: Abhilfemaßnahmen kosten zeitliche, personelle und auch technische Ressourcen. Cyberversicherungen können die finanzielle Belastung wesentlich entschärfen und bieten oftmals IT-Forensik und weitere Unterstützungsmöglichkeiten.

Fazit: Struktur und kontinuierliche Verbesserung sind der Schlüssel

Datenschutzvorfälle lassen sich nicht vollständig vermeiden, daher ist der strukturierte und schnelle Umgang damit umso wichtiger. In der Praxis zeigt sich, dass organisatorische Schwächen zu den häufigsten Fehlern führen.

Unternehmen, die klare Prozesse definieren, Verantwortlichkeiten eindeutig regeln und ihre Mitarbeitenden regelmäßig schulen, schaffen die Grundlage für eine fristgerechte und angemessene Reaktion. Ebenso wichtig ist die enge Verzahnung von IT-Sicherheit und Datenschutz, um Vorfälle ganzheitlich bewerten zu können.

Die Devise lautet also: Aus Vorfällen lernen und die internen Prozesse kontinuierlich verbessern.

Das Datenschutz-Team der ETES unterstützt Sie dabei ganzheitlich. Wir beraten, stellen externe Datenschutzbeauftragte und begleiten Sie im Fall einer Datenschutzverletzung.