9. Mai 2011 - Datenschutz-Organisation

Datenpannen verhindern, nicht verheimlichen!

Nur 30 Prozent aller Unternehmen melden jede Datenpanne, die ihnen passiert. Die anderen melden nur bestimmte oder verschweigen sie komplett. Damit verstoßen sie nicht nur gegen mögliche Informationspflichten. Wer Datenpannen verheimlicht, vergibt auch die Chance, solche Pannen zukünftig zu verhindern.

datenpannen-verhindern-nicht-verheimlichen.jpeg
Wer für die Informationspflicht bei Datenpannen vorsorgt, sorgt zugleich für mehr Datensicherheit (Bild: Thinkstock)

Datenpannen: Zwischen Pflicht und Furcht

Während die Regeln zu den Informationspflichten nach § 42a BDSG genaue Vorgaben zur Meldung von Datenpannen machen, gehen viele Unternehmen sehr selektiv mit Datenpannen um und melden nur einige wenige Pannen mit personenbezogenen Daten.

So zeigt eine aktuelle Studie von McAfee und Science Applications International Corporation (SAIC), dass nur 30 Prozent aller Unternehmen jede Datenpanne melden, 60 Prozent der Unternehmen melden nur ausgewählte Datenpannen, und der Rest verheimlicht sie einfach.

Der Grund für dieses Vorgehen ist meist die Sorge, dass das Firmenimage beschädigt werden könnte und Kundenaufträge ausbleiben.

Die Folgen sind spürbar, die Konsequenzen bleiben aber aus

Tatsächlich haben Datenpannen deutliche Folgen: 25 Prozent der Unternehmen, die eine Datenpanne erlitten haben, mussten eine Firmenpartnerschaft oder eine Produkteinführung verzögern oder sogar stoppen.

Allerdings blieben die „positiven“ Konsequenzen einer Datenpanne oftmals aus. Nur die Hälfte der Unternehmen verbesserte ihre Datensicherheit nach der erlittenen Datenpanne. Das ist fatal.

Aus Fehlern lernen

Damit nehmen sich diese Unternehmen eine wesentliche Chance, ihre Datensicherheit zu optimieren. Auch die Unternehmen, die die Datenpannen unter den Teppich kehren, missachten nicht nur ihre Informationspflichten. Sie verpassen auch eine große Möglichkeit, dass die Organisation und die Mitarbeiter aus den Fehlern lernen.

Wie hilfreich Fehler für die Erkenntnis und die Stärkung des Datenschutzbewusstseins der Mitarbeitern sein können, zeigt zum Beispiel die aktuelle Datenschutz-Kampagne „Aus Fehlern lernen“ in Datenschutzunterweisung kompakt.

Vorbereitet sein bedeutet immer auch mehr Datensicherheit

Vielen Unternehmen ist es leider zu aufwändig, Prozesse zu etablieren, um Datenpannen im Fall des Falles melden zu können, denn was hat man schon davon?

Die Antwort: Eine ganze Menge, zusätzlich zur Beachtung der möglichen Informationspflicht. Tatsächlich ist es so, dass die Vorbereitungen für mögliche Meldungen zu Datenpannen der Datensicherheit direkt zugutekommen.

Wer die Meldung möglicher Datenpannen sauber vorbereitet, wird in der Regel überhaupt keine Panne melden müssen. Denn die Datensicherheit verbessert sich, die Gefahr von Datenpannen wird geringer.

Sehen wir uns dazu den Prozess einmal an, der zur Vorbereitung möglicher Meldungen erforderlich ist, und wie dies auf die Datensicherheit wirkt:

  • Zuerst müssen Sie die möglichen Datenpannen evaluieren. Dazu werden Sie die Datenrisiken näher untersuchen, feststellen, welche Daten und welche Personen/Personengruppen von einer Panne betroffen wären.
  • Sie werden überlegen, wie Sie Datenpannen feststellen können, also welche Schutzsysteme Ihnen die Pannen melden können.
  • Sie werden also feststellen, wo die gefährdeten Daten liegen und geschützt werden können.
  • Sie werden dann Kommunikationswege bestimmen, wie die Personen/Personengruppen informiert werden müssen/sollen.
  • Sie werden also auch an externe Partner denken, die ebenfalls mit den Daten zu tun haben. Sie sind ebenfalls zu informieren, müssen aber auch ihrerseits die Daten schützen.
  • Sie bauen ein Team auf, das auf die Datenpannen reagieren soll. Dieses Team kann aber auch an der Bewertung der aktuellen Datensicherheit mitwirken. Denn es kennt die Schwachstellen, die zu Problemen führen können.

Download:


Sie sehen also: Wer sich auf die Kommunikation von Datenpannen vorbereitet, legt die Grundlagen dafür, den gesetzlichen Informationspflichten nachzukommen, aber auch dafür, die Datensicherheit zu verbessern.

Und wer kleine Datenpannen intern mit den Mitarbeitern bespricht, legt die Basis dazu, größere Pannen zu vermeiden. Denn zur Vermeidung von Datenpannen gehört eine Firmenkultur, die auf Fehler offen reagiert und nicht einfach schweigt. Weitere Hinweise finden Sie im Download „Checkliste Meldung von Datenpannen“.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln