Wann ein Datenverlust meldepflichtig wird (und wann nicht)

Eine Datenpanne muss gemeldet werden, wenn eine "Verletzung des Schutzes personenbezogener Daten" vorliegt und ein "Risiko für die Rechte und Freiheiten natürlicher Personen" besteht. Das betrifft Sicherheitsbrüche, die zu einer Vernichtung, einem Verlust, einer Veränderung oder einer unbefugten Offenlegung bzw. einem unbefugten Zugang zu personenbezogenen Daten geführt haben, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Die Meldung muss unverzüglich, spätestens jedoch binnen 72 Stunden nach Feststellung des Vorfalls an die zuständige Datenschutzbehörde erfolgen. In Hessen ist dies der Hessische Beauftragte für Datenschutz und Informationsfreiheit.
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Telefon: +49 611 1408-0E-Mail: poststelle@datenschutz.hessen.de
Website: https://datenschutz.hessen.de/
Rechtliches: Eine Datenpanne bezieht sich auf eine Sicherheitsverletzung, bei der Daten gestohlen oder unrechtmäßig Dritten offengelegt werden, siehe Art. 4 Nr. 12 DSGVO.
Eine Meldung ist nicht erforderlich, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Beispiele für Situationen, in denen keine Meldepflicht besteht, sind:
- Wenn Daten für eine gewisse Dauer offen im Internet einsehbar waren, aber nachweislich kein Zugriff stattfand (konkrete Belege wie Logfiles erforderlich).
- Wenn die Daten ohnehin öffentlich verfügbar sind oder wirksam verschlüsselt waren und daher kein Risiko besteht.
- Wenn der einzige Datenträger verloren wurde, aber wirksame Backups vorhanden sind.
Prävention vor Datendiebstahl
Oft sind Datenverluste auf eine unbedachte Handlung zurückzuführen. Ein falscher Link ist schnell geklickt und die Folgen erst deutlich später Absehbar. Darum ist es wichtig einige Grundlagen zur Prävention zu schaffen. Es hängt im eigenen Ermessen der Geschäftsführung, wie weit diese allgemeinen Regeln im Handelsbetrieb umgesetzt werden.
1. Mitarbeitende sollten für die Risiken von Datendiebstahl sensibilisiert und in Sicherheitsverfahren geschult werden, um unbeabsichtigte Handlungen zu vermeiden
2. Die Etablierung eines umfassenden Datenschutz-Managements, einschließlich IT-Sicherheit, Datensicherheitskonzepten und der Bestellung eines Datenschutzbeauftragten, kann dazu beitragen, Datendiebstahl zu verhindern und im Eintrittsfall schnell zu reagieren.
3. Verantwortliche Benennen und IT-Sicherheitsvorfälle proben , um den Ernstfall zu trainieren.
4. Die Implementierung von Zugriffsbeschränkungen und die Gewährung des minimal notwendigen Zugriffs auf Daten können das Risiko von Datendiebstahl verringern
5. Sichere Verbindungen und Archivierung: Die Nutzung sicherer Verbindungen, wie etwa Secure File Transfer Protocol (SFTP) und das regelmäßige Sichern und Archivieren von Daten sind wichtige Schutzmaßnahmen, um Datenverlust zu verhindern. Für die sichere Archivierung von Daten gibt es verschiedene Verfahren, die unter dem Namen Data Masking zusammengefasst werden.
6. Überprüfung von Datenlecks: Die regelmäßige Überprüfung, ob persönliche Daten in Datenlecks enthalten sind, kann dabei helfen, frühzeitig auf einen möglichen Diebstahl von Daten aufmerksam zu werden. Eine einfache und erste Methode hierfür ist der kostenfreie Onlineservice: https://haveibeenpwned.com/
7. Updates und Patches automatisch durchführen, von Betriebssystem und Software.
8. Verbot der privaten Nutzung von Firmencomputern und Accounts.
9. Nur Dienstprogramme dürfen installiert werden, Software von Dritten ist zu verbieten.
Beispiel für sichere Verbindungen
SASE (Secure Access Service Edge) ist ein Konzept, das Netzwerk-und Sicherheitsfunktionen in die Cloud verlagert, um einen sicheren und direkten Zugriff auf die benötigten Anwendungen und Daten für Benutzer zu gewährleisten. ZTNA (Zero-Trust Network Access) ist ein Sicherheitsansatz, bei dem Benutzer nur den minimal notwendigen Zugriff auf Anwendungen und Daten erhalten, unabhängig davon, ob sie sich innerhalb oder außerhalb des Unternehmensnetzwerks befinden. Sowohl SASE als auch ZTNA können dazu beitragen, Datenverletzungen zu verhindern, indem sie eine granulare Zugriffskontrolle und Sicherheitsüberwachung bieten
Checkliste: Datenpanne im Handel
Meldepflicht prüfen
□ Bei einer Verletzung des Schutzes personenbezogener Daten besteht eine Meldepflicht bei der zuständigen Aufsichtsbehörde, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko.
Tipp: Erste Hilfe erhalten Sie rund um die Uhr bei der Notfall-Hotline des Hessen Cyber Competence Center (H3C): o0611 353 9900
Rechtzeitigkeit der Meldung
□ Die Meldung muss unverzüglich, spätestens nach 72 Stunden nach Kenntnisnahme von den erheblichen Tatsachen, erfolgen.
□ Die Meldung an die Aufsichtsbehörde, in Hessen dem Hessischen Datenschutzbeauftragten. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Telefon: +49 611 1408-0 E-Mail: poststelle@datenschutz.hessen.de
Inhalt der Meldung
□ Die Meldung muss bestimmte Inhalte enthalten, wie die Art des Datenpanne, den Umfang der Daten, die Identifizierbarkeit der Betroffenen und die zu erwartenden Konsequenzen. Sind nicht alle Informationen sofort verfügbar, muss die Meldung schrittweise erfolgen, und fehlende Informationen sind nachzureichen.
Risikoabschätzung
□ Es muss eine Abschätzung des Risikosdurchgeführt werden, basierend auf Kriterien wie der Art des Datenpanne, dem Umfang der betroffenen Daten, der Identifizierbarkeit der Betroffenen und den zu erwartenden Konsequenzen.
Umgang mit eigenen Fehlern
□ Auch menschliches Versagen, das zu Datenpannen führt, muss berücksichtigt werden. Geeignete Schutzmaßnahmen sollten ergriffen werden, um menschliche Fehler zu vermeiden.
Dokumentation
□ Konkrete Belege wie Logfiles sind wichtig, um das Ausbleiben eines Zugriffs zu belegen. Im Zweifel ist davon auszugehen, dass eine Sicherheitslücke eine Datenpannebedeutet.
Technische und organisatorische Maßnahmen
□ Es sollte überprüft werden, ob die bestehenden Maßnahmen ausreichend sind und gegebenenfalls sollten diese angepasst werden.
Grenzüberschreitender Bezug
□ Bei EU-Auslandskunden müssen alle Aufsichtsbehörden informiert werden, in deren Zuständigkeitsbereich die Kunden ihren Wohnsitz haben.
Zusammenfassung
Kundendaten können schnell in falsche Hände geraten. Etwa wenn ein Firmenlaptop in der Bahn vergessen oder ausversehen ein Ransomware-Link geklicktwird. Unternehmen müssen bei einem Datenleck unverzüglich, spätestens jedoch innerhalb von 72 Stunden, die Datenschutzbehörde informieren, wenn personenbezogene Daten betroffen sind und ein Risiko für Betroffene besteht. In Hessen ist der Hessische Beauftragte für Datenschutz zuständig. Ein Vorfall ist nicht meldepflichtig, wenn er keine Risiken für die Rechte der betroffenen Personen birgt. Unternehmen sollten in Sicherheitsmaßnahmen investieren, Mitarbeiter schulen und technische Lösungen wie SASE und ZTNA einsetzen, um solche Vorfälle zu verhindern. Im Falle einer Datenpanne sind eine Überprüfung der Meldepflicht, eine Risikoabschätzung, eine angemessene Reaktion und eine Dokumentation des Vorfalls notwendig.
Warum BCMs für die IT-Sicherheit unverzichtbar sind
Business Continuity Management (BCM) ist längst kein reines Krisen- oder Notfallthema mehr. In Zeiten zunehmender Cyberangriffe und Naturkatastrophen stärkt ein funktionierendes BCM die Resilienz, verbindet IT-Sicherheit mit anderen Fachbereichen und ermöglicht ein Weiterarbeiten im Krisenfall.DeepSeek: Ein Blick auf die neue KI-Technologie
DeepSeek steht verstärkt im Fokus von Analysen. Doch was unterscheidet sie von anderen KI-Technologien? Die größten Bedenken gibt es im Bezug auf die umfangreiche Speicherung von Nutzerdaten, die potentielle Manipulierbarkeit der Anwendung für illegale Zwecke, sowie die Frage, ob und inwieweit chinesische Behörden Zugriff auf die gespeicherten Informationen haben.Best Practices für Passwort-Policies
In unserer zunehmend digitalisierten Welt gehören Passwörter zu den wichtigsten Schutzmechanismen, um sensible Daten und Systeme vor unbefugtem Zugriff zu bewahren. Dennoch benutzen viele Menschen weiterhin schwache oder leicht zu erratende Passwörter, was eine enorme Sicherheitslücke darstellt. Cyberkriminelle nutzen genau diese Schwachstellen gezielt aus und setzen dabei oft auf automatisierte Tools, die Millionen von Passwortkombinationen in kürzester Zeit durchprobieren. Mit einfachen, aber effektiven Maßnahmen können Unternehmen jedoch ihre Passwortsicherheit deutlich erhöhen und sich vor Angriffen schützenWie Künstliche Intelligenz die Cybersicherheit beeinflusst
In einer zunehmend digitalisierten Welt setzen viele Unternehmen verstärkt auf KI, um Geschäftsprozesse zu optimieren und ihre Wettbewerbsfähigkeit zu steigern. Aber auch Cyberkriminelle, wie Hackerinnen und Hacker, erkennen das Potenzial von KI und nutzen sie, um neue Schwachstellen aufzudecken und ihre Angriffe zu verfeinern. Dies stellt Unternehmen vor völlig neue Herausforderungen im Bereich der Cybersicherheit.
- 21Juli 2025, Mo.Handelsverband Hessen
Sicherheit im Handel – Expert Talk auf der 56. INNATEX
13:00 - 14:00 Uhr Rhein-Main Messecenter, Hofheim-WallauPräsenzkostenfreiAm Messemontag, den 21. Juli 2025, laden wir erneut zu einem spannenden Input auf der INNATEX – der Messe für nachhaltige Textilien – ein. Gemeinsam mit Vertreterinnen und Vertretern der Polizei, der Sicherheitsbranche sowie einem Handelsexperten diskutieren wir über konkrete Handlungsmöglichkeiten, die im Ladengeschäft nützlich und rechtens sind. - 24Sep 2025, Mi.
Sicherheit im Handel: Richtig reagieren bei Diebstahl & Übergriffen
18:15 - 19:45 Uhr TBA, DarmstadtPräsenzkostenfreiLadendiebstahl kostet den Handel Milliarden – und die Täter werden immer raffinierter. Wer nicht vorbereitet ist, riskiert finanzielle Verluste und gefährdet die Sicherheit von Mitarbeitenden sowie Kundinnen und Kunden. Doch wie erkennt man verdächtiges Verhalten rechtzeitig? Wie verhält man sich im Ernstfall richtig? Diese Veranstaltung gibt Ihnen das entscheidende Wissen, um Ihr Geschäft besser zu schützen. - 18Sep 2025, Do.
Sicherheit im Handel: Richtig reagieren bei Diebstahl & Übergriffen
08:30 - 10:00 Uhr Bürgersaal Kassel, KasselPräsenzkostenfreiLadendiebstahl kostet den Handel Milliarden – und die Täter werden immer raffinierter. Wer nicht vorbereitet ist, riskiert finanzielle Verluste und gefährdet die Sicherheit von Mitarbeitenden sowie Kundinnen und Kunden. Doch wie erkennt man verdächtiges Verhalten rechtzeitig? Wie verhält man sich im Ernstfall richtig? Diese Veranstaltung gibt Ihnen das entscheidende Wissen, um Ihr Geschäft besser zu schützen. - 22Mai 2025, Do.
Sicherheit im Handel: Mitarbeitertraining Ladendiebstahl
10:00 - 12:00 Uhr Polizeipräsidium Osthessen, FuldaPräsenzkostenfreiLadendiebstahl kostet den Handel Milliarden – und die Täter werden immer raffinierter. Wer nicht vorbereitet ist, riskiert finanzielle Verluste und gefährdet die Sicherheit von Mitarbeitenden sowie Kundinnen und Kunden. Doch wie erkennt man verdächtiges Verhalten rechtzeitig? Wie verhält man sich im Ernstfall richtig? Diese Veranstaltung gibt Ihnen das entscheidende Wissen, um Ihr Geschäft besser zu schützen.
Produktsicherheit im Handel: Behörden kontrollieren
02.07.2025Europa, Recht & Soziales, Sicherheit & IT-SicherheitDie Marktüberwachungsbehörden in Hessen führen regelmäßig unangekündigte Kontrollen im Handel durch. Dabei stehen insbesondere Importwaren im Fokus.Handelsverband Hessen und Hessisches Innenministerium vereinbaren engere Zusammenarbeit zur wirksamen Bekämpfung des Ladendiebstahls
21.02.2025Politischer Dialog, Pressemitteilung, Sicherheit & IT-SicherheitWiesbaden – Angesichts der hohen Zahl von Ladendiebstählen und Raubüberfällen verstärken der Handelsverband Hessen und das Hessische Ministerium des Innern, für Sicherheit und Heimatschutz die Maßnahmen gegen den Ladendiebstahl und für mehr Sicherheit im Handel. Vor diesem Hintergrund wurde heute in Wiesbaden eine Kooperationsvereinbarung zwischen dem Handelsverband Hessen und dem Hessischen Innenministerium unterzeichnet.handel.digital auf der EuroCIS 2024 - Ein Rückblick
07.03.2024Aus- und Weiterbildung, Digitalisierung, E-CommerceDas Team von Handel.digital nahm am 28.02. und 29.03. gemeinsam mit Händlerinnen und Händlern aus Hessen und NRW an der EuroCIS in Düsseldorf teil. Die Messe bot eine hervorragende Gelegenheit, spannende Technologien und hilfreiche Tools zu entdecken.Rückblick: IT-Sicherheit im Handel am 27.06.2023 in Wiesbaden
29.06.2023Sicherheit & IT-SicherheitDer Handel steht im Visier von Cyberkriminellen. Umso wichtiger wird das Thema IT-Sicherheit für kleine und mittlere Unternehmen (KMU). Zum Schutz führt der Handelsverband Hessen regelmäßig Schulungen zum Thema IT-Sicherheit im Handel durch. So auch am 27.06.2023 in Wiesbaden.


