Datenschutz für NRW

Erneut Millionen Nutzerdaten online

Bereits im Jahr 2019 waren Millionen von Nutzerdaten von einer Social-Media-Plattform abgegriffen worden. Wie Anfang April 2021 bekannt wurde, sind diese scheinbar jüngst im Netz aufgetaucht. Grund genug für Datenschutzberater.NRW, Ihnen einen kurzen Überblick zu geben, was passiert ist, was Betroffene nun tun können und Organisationen erste Schritte für die Umsetzung der Datenschutzgrundverordnung (DS-GVO) an die Hand zu geben.

Datenpannen bei Social-Media-Anbieter

Was war also passiert? Die Daten von vermutlich 533 Millionen Nutzern waren in einem Hacker-Forum aufgetaucht. Darunter Namen, Telefonnummern und auch Geburtsdaten, E-Mail-Adressen und teilweise der Beziehungsstatus, so Medienberichte.

Laut Konzern waren dies Daten, die bereits bei einem früheren Datenleck abgegriffen wurden, weshalb die Verantwortlichen erst einmal keinen wirklichen Handlungsbedarf erkennen ließen. Unklar ist auch, ob die Daten durch einen Hackerangriff oder eine später abgestellte Funktion erlangt wurden. Scheinbar sind die Daten aber durchaus noch aktuell und somit unter Umständen nutzbar, heißt es in der Berichterstattung weiter.

Keine Mithilfe bei Aufklärung

Einschlägige Fachportale stellen dabei fest, dass sich der Konzern darauf beruft, dass die Daten eben schon in einem abgehandelten Fall aus den Vorjahren stammen. Die Funktion, die zu diesem Datenleck geführt habe, sei behoben und bereits im Sommer 2019 gab es eine Einigung auf eine allgemeingültige Strafe für alle Datenschutzvergehen bis Juni 2019.

Darüber hinaus gibt das Unternehmen an, dass das Abgreifen nur bis Mitte 2018 möglich gewesen sei – vor Inkrafttreten der DS-GVO. Inwieweit diese Angaben zu bewerten sind und ob das Unternehmen handeln muss, soll nun die zuständige Datenschutzbehörde in Irland prüfen. Wer Sicherheit haben möchte, dem bleibt derzeit nur die eigene Recherche über Fachnetzwerke.

Datenpannen tauchen darüber hinaus auch immer wieder bei Covid-19- Testzentren auf. Auch hier waren Daten von Betroffenen frei im Netz oder für nicht autorisiertes Personal einsehbar.

Datenpannen vermeiden – Datenschutz strukturiert angehen

Neben der Tatsache, dass dieser Datenklau und die damit verbundene Online-Stellung personenbezogener Daten jeden Betroffenen verunsichert, sollte dies auch Organisationen in Deutschland noch einmal dazu anregen, den eigenen Datenschutz unter die Lupe zu nehmen.

Auch wenn Sie keine vergleichbare Datenbank verwalten, wie Social-Media-Anbieter oder Corona-Testzentrum, so kann es bei nicht Einhaltung des Datenschutzes zu Datenpannen kommen, die nicht selten auch mit einer empfindlichen Strafe einhergehen können.

Machen Sie sich daher immer wieder klar, welche Vorgaben im Datenschutz eingehalten werden müssen, um diesen ausreichend zu gewährleisten. Dazu gehören unter anderem:

  • Einhaltung der Betroffenenrechte
  • Einführung, Umsetzung und stetige Anpassung von technischen und organisatorischen Maßnahmen (TOM) zur sicheren Verarbeitung von personenbezogenen Daten
  • Anlegen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT), in dem alle Prozesse der Datenverarbeitung dokumentiert werden
  • Prüfung und ggf. Durchführung von Datenschutzfolgenabschätzungen bei der Verarbeitung von besonderen Arten personenbezogener Daten oder einem erhöhten Risiko für den Betroffenen
  • Erstellen und Aktualisierung von Verträgen bei möglicher Auftragsdatenverarbeitung (ADV-Verträge)

Pflichten der DS-GVO gelten für alle

Die Pflichten, die sich aus der DS-GVO ergeben, richten sich an alle, die personenbezogene Daten verarbeiten und müssen zwingend eingehalten werden. Dies betrifft nicht nur große Unternehmen (die Größe ist bei der Einhaltung der DS-GVO nicht maßgeblich), sondern auch Vereine, Schulen, Praxen, Kanzleien, Vermieter und viele andere.

Ziel ist es, ein Datenschutzkonzept zu erstellen, dass in angemessenen Maßen die Einhaltung der DS-GVO und somit den Datenschutz sicherstellt. Wer also personenbezogene Daten verarbeitet, der sollte sich, im besten Fall mit einem Fachmann, in regelmäßigen Abstand mit dem Thema auseinandersetzen. Datenschutz und auch die Bedingungen in einem Unternehmen verändern sich stetig und sollten so auch immer angepasst werden.

Ein optimaler Ablauf sieht vor, dass die Umsetzung des Datenschutzes bereits bei der Implementierung von neuen Abläufen in die Planung mit einbezogen wird. So kann von Anfang an sichergestellt werden, dass der Datenschutz eingehalten und umgesetzt werden kann. Spätere, möglicherweise umständliche und teure Anpassungen in Prozessen können so ebenfalls umgangen werden.

TOMs zur Sicherung des Datenschutzes

Neben der Dokumentation der Verarbeitung von personenbezogenen Daten im VVT steht die Umsetzung der TOM an einem zentralen Punkt des Datenschutzes. Die technischen und organisatorischen Maßnahmen tragen grundlegend dazu bei, dass personenbezogene Daten von Betroffenen vor dem Zugriff von Unbefugten geschützt werden.

Dazu gehören IT-Sicherheit (Firewall, Kennwortrichtlinien, regelmäßige System-Updates, Prüfung von IT-Prozessen, sichere ERP-Systeme, Zugriffsrechte usw.) genauso wie die Sicherung der alltäglichen Abläufe (z.B. abschließbare Aufbewahrung von Unterlagen, Löschen und Vernichten von Daten, Mitarbeiterschulungen, Schließanlagen, Überprüfung von Zugangsrechten).

Auf Datenpannen vorbereitet sein

Zu einem gut organisierten Datenschutz gehört es auch, auf Datenpannen vorbereitet zu sein. Es sollte also ein Konzept erstellt werden, wie bei einer möglichen Datenpanne reagiert werden sollte. Abläufe sollten hierbei festgelegt werden und die Mitarbeiter entsprechend informiert sein.

Ein (externer) Datenschutzbeauftragter kann dabei schnell und umfassend helfen. Als Experte kann er den Datenschutz in Ihrer Organisation bewerten und Schwachstellen aufdecken. Dabei sollte man folgende Fragestellungen immer wieder und regelmäßig zentral bewerten:

  • Datenschutz – welche Anforderungen stellt die DS-GVO an mein Unternehmen?
  • Was wurde im Datenschutz bereits ausreichend umgesetzt?
  • Was muss noch getan werden, um die Vorgaben der DS-GVO umzusetzen?
  • Wie kann sichergestellt werden, dass der Datenschutz vollständig umgesetzt wird?

Das Team von Datenschutzberater.NRW besteht aus Fachleuten im Bereich Datenschutz, IT und Steuerrecht und betreut Unternehmen, Schulen, Vereine, Praxen und Kanzleien in Nordrhein-Westfalen. Dabei bieten wir u.a. Datenschutz-Audits, Datenschutz-Erstberatung, IT-Audits, projektbezogenen Datenschutz, Mitarbeiterschulungen im Datenschutz, GoBD-Beratung und Website-Scans für DS-GVO-konforme Homepages an. Zudem stellen wir einen externen Datenschutzbeauftragten (TÜV). Mehr zu unserem Angebot finden Sie hier. Nehmen Sie einfach unverbindlich Kontakt zu uns auf.

Warum braucht ein Unternehmen einen externen Datenschutzbeauftragten? Lesen Sie mehr darüber auf unserer Homepage für Großraum Leverkusen, Düsseldorf, Köln, Bonn, Siegburg, Gummersbach, Siegen und ganz NRW.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

Datenschutz aktuell – Datenleck auf Social-Media-Plattform
Markiert in: