Was ist ein Data Breach?
Ein Data Breach (= Datenpanne) ist dann anzunehmen, wenn Unberechtigten personenbezogene Daten bewusst oder unbewusst bekannt geworden sind. Das kann zum Beispiel der Fall sein bei einem Verlust eines USB-Stick auf dem personenbezogene Daten von Kunden oder Mitarbeitern gespeichert sind. Ebenso können der Diebstahl eines beruflich genutzten Smartphones oder die Weitergabe von Listen mit personenbezogenen Daten per E-Mail eine meldepflichtige Datenpanne darstellen.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, wie Name, Anschrift, Geburtsdatum, Bankverbindung, Telefonnummer oder Kunden-ID.
Typische meldepflichtige Data Breach-Vorfälle:
- Eine Liste mit den Namen und Privatadressen von OSRAM Mitarbeitern wird versehentlich an den falschen Adressaten geschickt.
- Ein Hackingangriff führt dazu, dass die Angreifer Zugriff auf eine Kundendatenbank von OSRAM erhalten oder ein solcher Zugriff zumindest nicht ausgeschlossen werden kann.
- Bei einem Umzug in andere Büroräume werden Ordner mit Mitarbeiterstammdaten falsch adressiert, sodass Unberechtigte Kenntnis von den Unterlagen erlangen können.
- Ausgedruckte Kunden-/Mitarbeiterlisten werden mit dem normalen Papiermüll entsorgt und nicht in die „Datenschutztonne“ geworfen.
- Ein Dienstleister erhält vollständigen Zugriff auf ein Customer Relationship Management Tool, obwohl dies für seine Aufgaben nicht erforderlich ist.
- Aufgrund eines Softwarefehlers sind Kundendaten aus einem Kundenportal ohne vorherige Registrierung zugänglich.
Was bedeutet „meldepflichtig“?
„Meldepflichtig“ bedeutet, dass OSRAM den Vorfall der zuständigen Aufsichtsbehörde und gegebenenfalls auch den von dem Vorfall betroffenen Personen zur Kenntnis geben muss.