Ressourcen · Leitfaden · Compliance · 1 Min. Lesezeit

Datenschutzverletzung DSGVO: was sie ist und bedeutet

GDPRNIS2
Kurz gesagt

Eine Datenschutzverletzung ist nach der DSGVO eine Sicherheitsverletzung, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum Zugang zu personenbezogenen Daten führt. Stellt sie ein Risiko für die betroffenen Personen dar, muss sie der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden (Art. 33); ist das Risiko hoch, müssen auch die betroffenen Personen informiert werden (Art. 34). Es ist eine von der NIS2-Meldung an das CSIRT getrennte Pflicht.

Was eine Datenschutzverletzung ist (und nicht ist)

Umgangssprachlich ist eine „Datenschutzverletzung” jeder Angriff. Für die DSGVO ist sie etwas Präzises: eine Sicherheitsverletzung, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum Zugang zu personenbezogenen Daten führt. Ein Ransomware-Fall, der personenbezogene Daten verschlüsselt, ist eine Datenschutzverletzung; ein Angriff, der keine personenbezogenen Daten berührt, möglicherweise nicht.

Zwei Pflichten, die man nicht verwechseln darf

Die Meldung an die Aufsichtsbehörde (DSGVO) betrifft personenbezogene Daten; die Meldung an das CSIRT (NIS2) betrifft die Servicesicherheit. Ein Ransomware-Fall mit Exfiltration personenbezogener Daten löst typischerweise beide aus. Siehe NIS2 erklärt.

Der Zeitfaktor und die Beweise

72 Stunden vergehen schnell. Eine Meldung ist nur so gut wie die Beweise dahinter: herauszufinden, welche Daten tatsächlich exfiltriert wurden, erfordert technisch-forensische Analyse, nicht nur eine rechtliche Bewertung. Genau diesen Teil deckt Fortgale ab: Support bei der Datenschutzverletzungs-Meldung.

Vergleich

Datenschutzverletzung (Behörde) vs NIS2-Vorfall (CSIRT)

Datenschutzverletzung · BehördeVorfall · CSIRT
RechtDSGVO Art. 33-34NIS2 · nationale Umsetzung
GegenstandPersonenbezogene DatenServicesicherheit
Frist72 StundenFrühwarnung 24h, Meldung 72h
An wenAufsichtsbehörde (+ betroffene Personen bei hohem Risiko)Nationales CSIRT
Feldbeobachteter Nachweis · was exfiltriert wurde

In Operation Storming Tide rekonstruierte das Fortgale-Team die Kette und stoppte die Exfiltration: festzustellen, welche Daten den Perimeter verließen, ist die faktische Grundlage einer präzisen Meldung an die Aufsichtsbehörde.

Zur Analyse →
FAQ

Häufige Fragen.

Ist jeder Vorfall eine Datenschutzverletzung?

Nein. Es ist nur dann eine Datenschutzverletzung, wenn personenbezogene Daten mit einem Risiko für die betroffenen Personen betroffen sind. Ein Vorfall kann nach NIS2/CSIRT meldepflichtig sein, ohne eine DSGVO-Datenschutzverletzung zu sein, und umgekehrt. Oft treffen jedoch beide zu.

Innerhalb welcher Frist muss man die Behörde benachrichtigen?

Innerhalb von 72 Stunden nach Bekanntwerden (Art. 33). Ist das Risiko für die betroffenen Personen hoch, müssen auch sie unverzüglich informiert werden (Art. 34). Jede Verletzung muss dokumentiert werden.

Wer macht was bei der Meldung?

Die rechtliche Bewertung und die Meldung selbst obliegen dem Verantwortlichen und dem DSB. Den technisch-forensischen Teil (was geschah, welche Daten exfiltriert wurden, Beweise) liefert das Security-Team. Siehe Support bei der Datenschutzverletzungs-Meldung.

Welche Sanktionen bei einer schlecht behandelten Datenschutzverletzung?

Verstöße gegen die Pflichten können 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes erreichen. Eine präzise, rechtzeitige Meldung, gestützt auf solide technische Beweise, ist auch eine Form des Schutzes.

Wie Fortgale es liefert

Von der Theorie zum realen Einsatz.

Was Sie hier lesen, betreibt Fortgale täglich mit einem europäischen SOC 24·7·365: 287 Tools und Akteure profiliert, <30 Min. mittlere Eindämmung. Zum Service: Support bei Datenschutzverletzungs-Meldung.

Verwandte Ressourcen: NIS2 erklärt · Support bei Datenschutzverletzungs-Meldung · Ransomware-Angriff: was tun

Mit einem Analysten vertiefen?

Ein technisches Gespräch, kein Funnel.

Hinterlassen Sie Ihre Daten: ein Analyst ruft Sie innerhalb eines Werktags zurück. Europäisches SOC, gleiche Zeitzone, eigene Intelligence zu den in der EU aktiven Akteuren.

Antwortzeit: < 1 Werktag.