Datenpannen in der Praxis: Die DSGVO und Datenträger

Björn Holeschak, Leiter Datenschutz EIKONA Systems GmbH
Frau arbeitet an ihrem Laptop und ändert ihren E-Mail-Verteiler DSGVO-konform um sich vor Cyberangriffen zu schützen

Im Zusammenhang mit Datenpannen, werden häufig offene E-Mail-Verteiler und Cyberangriffe genannt. Doch das sind nicht die einzigen Datenschutzverletzungen der DSGVO. Unbeachtet sind häufig Datenträger, die trotz einer digitalen Arbeitswelt, auch heute noch zu einer Vielzahl an Datenpannen führen.


Was sind Datenträger im Sinne der DSGVO?

Als Datenträger versteht die DSGVO jedes Medium, auf dem personenbezogene Daten abgebildet, geschrieben oder gespeichert sein können. Somit zählen als Datenträger Visitenkarten, Fotos, Papierdokumente, CDs, USB-Sticks, externe Festplatten, Laptops oder Festplattenspeicher im Server.


Erhöhtes Risiko von Datenschutzpannen durch Homeoffice

Viele denken, dass der Verlust oder Diebstahl von Datenträgern häufig im mobilen Außendienst geschieht, der möglicherweise unverschlüsselte Kundendaten auf einem Speichermedium mit sich führt. Allerdings wird der steigende Trend zum Homeoffice unterschätzt, denn immer mehr Mitarbeiter nehmen Datenträger für die Arbeit mit nach Hause. Für ein Unternehmen ist es schwer zu beurteilen, wie sicher die Datenträger im Homeoffice wirklich sind. Deshalb ist eine Datenschutzrichtlinie für Homeoffice mit Datenträgern unerlässlich.

Oftmals wird das Risiko eines Einbruchs Zuhause auf Grund von kaum vorhandenen Wertgegenständen unterschätzt. Kommt es doch zu einem Vorfall, kann auch der dienstliche Laptop entwendet werden. Deswegen sollten personenbezogene Daten immer so gespeichert sein, dass Einbrecher diese nicht verwerten können. Voraussetzung hierbei ist eine konsequente Datenträgerverschlüsselung, also das "unlesbar" machen der Daten ohne den richtigen Schlüssel, und die sichere Löschung von sensiblen Daten auf unverschlüsselten Speichermedien.

Der Verlust beziehungsweise Diebstahl von Geräten, Datenträgern oder Unterlagen belegt mit 10,19 % der gemeldeten Datenschutzpannen den 3. Platz. (gem. Statistik der Datenschutzaufsicht von Hessen)


Fundstück Flohmarkt: Datenträger werden häufig nicht DSGVO-konform entsorgt

Nicht nur bei einem Verlust oder Diebstahl von Datenträger können Daten in die falschen Hände gelangen. Beispielsweise, wenn alte oder defekte Speichermedien im Müll landen oder ohne vorherige Sicherheitsmaßnahmen verkauft werden. Obwohl die DIN 66399, die die bundesweite Aktenvernichtung regelt, seit 1. Oktober 2012 gilt, sind sich viele Unternehmen über die richtige Entsorgung immer noch nicht bewusst und Verantwortliche haben die entsprechenden Konzepte und Bestandsverträge noch nicht angepasst. Teilweise wurden Festplatten auf Flohmärkten gefunden, auf denen sensible Daten unverschlüsselt und unzureichend gelöschte Bankunterlagen gespeichert waren.


Entsorgung muss dokumentiert werden

Um eine Datenschutzpanne zu vermeiden, dürfen USB-Sticks und Festplatten, ebenso wie Papierdokumente mit personenbezogenen Daten, nicht im normalen Müll entsorgt werden. Vielmehr muss es zum Beispiel innerhalb eines geschützten Rechenzentrums Sammelbehälter für defekte Festplatten geben. Diese werden dort für die Entsorgung deponiert und von einem entsprechenden Unternehmen mit der vorgegebenen Sicherheitsstufe vernichtet. Das Wichtigste hierbei: eine lückenlose Dokumentation bei der Beauftragung der Entsorgung, denn auch hier besteht das Risiko für Datenschutzmängel. Die Dokumentation kann von Aufsichtsbehörden regelmäßig kontrolliert werden.


Datenträger richtig aufbewahren

Vor allem empfindliche Daten, wie Patientenakten, die einer sehr langen Aufbewahrungspflicht (zum Teil 30 Jahre) unterliegen, müssen richtig gelagert und so vor Schäden geschützt werden. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit empfiehlt bei einer Lagerung im Keller, die Feuchtigkeit und Temperatur so zu regulieren, dass diese immer gleichbleiben.


Fazit

Bei Datenträgerpannen Meldepflicht prüfen

Unternehmen, die von Datenschutzpannen wie Diebstahl, Verlust, nicht dokumentierte Zerstörung oder fehlerhafte Entsorgung betroffen sind, sollten unbedingt die Meldepflicht von Datenschutzverletzungen nach Art. 33 DSGVO prüfen. Denn Datenpannen im Zusammenhang mit Datenträgern können direkt die Schutzziele der DSGVO gefährden. In Online-Meldeformularen für Datenpannen führen die Aufsichtsbehörden auch Vorfälle mit Datenträgern auf.
Begrifflichkeiten Verlust und Diebstahl nach DSGVO:

  • Verlust des Datenträgers = Verlust der Verfügbarkeit
  • Diebstahl des Datenträgers = Verlust der Verfügbarkeit UND ggf. der Vertraulichkeit

Auch, wenn sich die Virtualisierung immer weiter durchsetzt, sind Datenträger für Unternehmen ein wichtiges Medium. Wichtig ist hierbei, dass die Datenträger ausreichend verschlüsselt werden.


Björn Holeschak
Björn Holeschak
Teamlead Datenschutz

Mit seiner tiefgehenden Datenschutzexpertise stellt er sich jeden Tag aufs Neue den Herausforderungen des Datenschutzes. Er kennt die Gefahren und Stolpersteine ganz genau und berät seine Kunden praxisnah.


Einen Kommentar schreiben

Bitte addieren Sie 5 und 7.