Suche

Datenschutzpanne im Unternehmen – jetzt richtig handeln

Auch bei aller Vorsicht kann es passieren, dass zu schützende Daten in die falschen Hände gelangen oder bei der Verarbeitung personenbezogener Daten ein Fehler unterlaufen ist. Wichtig ist hier, einen kühlen Kopf zu bewahren und sich an einem idealerweise vorliegenden Reaktionsplan zu halten.
Elisa Ventur, Unsplash

Meldepflicht bei Datenschutzpannen

Wenn es zu einem Verlust oder einer unerlaubten Verwendung personenbezogener Daten kommt, muss gemäß Artikel 33 der DSGVO innerhalb von 72 Stunden eine Meldung an die zuständige Behörde erfolgen. Wird die Frist nicht eingehalten, muss dieses Versäumnis später zusammen mit der Meldung begründet werden.

Eine Meldung ist nur dann nicht erforderlich, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“

Das LfD Niedersachsen hat einige Beispiele aufgeführt, bei denen keine Meldung erfolgen muss:

  • Unbefugte haben Zugang zu personenbezogenen Daten erhalten oder sich verschafft, die aber verschlüsselt sind: Eine Verletzung der Vertraulichkeit von (nach dem Stand der Technik) verschlüsselten Daten, die mit einer bisher nicht „geknackten“ Methode verschlüsselt wurden, birgt ein sehr geringes Risiko für die Rechte und Freiheiten der betroffenen Personen. Die Daten sind nämlich für Dritte faktisch nicht lesbar. Hier ist jedoch zu bedenken, ob es auch zu einer Verletzung der Verfügbarkeit gekommen ist: Wenn die Daten etwa gestohlen wurden und daher nun für den Verantwortlichen verloren sind, kann auch bei verschlüsselten Daten ein zu meldender Datenschutzverstoß vorliegen. Hier kommt es dann auf die Art der verlorenen Daten an: die verlorene Geburtstagliste der Abteilung dürfte nur ein geringes Risiko darstellen (keine Meldepflicht), der Verlust sämtlicher Kundenkontaktdaten jedoch wenigstens ein mittleres (Meldepflicht).
  • Verlust eines verschlüsselten USB-Sticks oder Smartphones: Siehe bereits vorheriges Beispiel. Sollte allerdings lediglich ein einfacher Zugriffschutz aktiviert sein, der in der Vergangenheit bereits überwunden wurde, liegt eher ein mittleres Risiko vor.
  • Fehlversandter Brief kam ungeöffnet zurück: Wenn verschlossene Briefe – egal ob mit der Hauspost oder einem Postdienstleister versandt – ungeöffnet zurückkommen, weil sie den falschen Empfänger erreicht haben und dieser sie hat zurückgehen lassen, besteht in der Regel ein nur geringes Risiko für die betroffene Person.
  • Brief mit falscher Anlage: Wenn aus der Anlage lediglich Namen und Daten zu z. B. gebuchten Hotelzimmern (einschließlich Zeiträumen) hervorgehen, ist das Risiko eher gering. Anders zu beurteilen ist der Fall, wenn der Brief bzw. die Anlage die vollständigen Anschriften oder gar Bankverbindungen der betroffenen Personen enthält – dann ist nicht von einem nur geringen Risiko auszugehen und die Meldepflicht besteht.

Wenn Daten wie Bankverbindungen oder sensible Krankenakten an unbefugte Dritte weitergegeben wurden, besteht auf jeden Fall eine Meldepflicht.

Die Meldepflicht bei Datenschutzpannen soll sicherstellen, dass Verantwortliche für die Verarbeitung personenbezogener Daten geeignete Maßnahmen ergreifen, um Datenschutzverletzungen zu verhindern und die Auswirkungen von Datenschutzverletzungen zu minimieren. Darüber hinaus sollen betroffene Personen schnellstmöglich informiert werden, damit sie geeignete Maßnahmen ergreifen können, um sich vor möglichen Schäden zu schützen.

Die einzelnen Schritte des Reaktionsplans

Umgehende Kenntnis über eine vorliegende Datenpanne

Wer im Unternehmen Kenntnis von einer Datenschutzpanne erlangt oder diese verursacht, muss den Umstand umgehend an den Verantwortlichen und den Datenschutzbeauftragten melden. So soll sichergestellt werden, dass eine mögliche Meldung der Panne innerhalb der vorgeschriebenen 72 Stunden erfolgen kann.

Die Bewertung der Datenpanne

Gemeinsam mit dem Verantwortlichen untersucht der Datenschutzbeauftragte die gemeldete Panne und stellt eine Bewertung zusammen. Bei der Ermittlung des Risikos sind zum Beispiel die Kategorien der betroffenen Daten oder die Art der Verletzung von Relevanz.

Ergreifung von Gegenmaßnahmen

Die Ergreifung geeigneter Gegenmaßnahmen erfolgt direkt aus der Bewertung der Datenpanne von DSB und Verantwortlichem. Die ergriffenen Maßnahmen sollen den entstandenen Schaden effektiv reduzieren und eine Ausweitung verhindern.

Entscheidung über die Notwendigkeit der Meldung an die Behörde

Die durch Bewertung und Gegenmaßnahmen erlangten Erkenntnisse führen zu der Entscheidung, ob eine Meldung an die zuständige Datenschutzbehörde vonnöten ist oder darauf verzichtet werden kann. An dieser Stelle sollte auch die Geschäftsführung des Unternehmens eingebunden werden. Sofern die Panne meldepflichtig ist, erfolgt die Meldung umgehend und in vorgegebenen Rahmen an die Behörde und / oder die Betroffenen.

Meldung der Datenschutzpanne

Um den Verantwortlichen die Meldung einer Datenschutzpanne zu erleichtern, bieten zahlreiche Behörden die Möglichkeit einer Online-Meldung. Auch wenn der Verantwortliche die Meldung abgeben muss, sollte dies immer in Rücksprache mit dem Datenschutzbeauftragten geschehen.

Die nötigen Angaben bei der offiziellen Meldung einer Datenschutzpanne

Wer eine Datenpanne online meldet, sollte folgende Informationen parat halten, um eine schnelle Abwicklung zu gewährleisten.

  • Wer erstattet Meldung?
  • Was ist passiert?
  • Beschreibung der Datenpanne
  • Welche Datenarten sind betroffen?
  • Wie viele Personen sind betroffen?
  • Risikoeinschätzung

Wer Interesse hat, kann sich unter folgenden Links die Fragebögen der Bundesländer anschauen

Baden-Württemberg

Bayern

Berlin

Brandenburg

Bremen

Hamburg

Hessen

Mecklenburg-Vorpommern

Niedersachsen

NRW

Rheinland-Pfalz

Saarland

Sachsen

Sachsen-Anhalt

Schleswig-Holstein

Thüringen

Quellen:

LfD Niedersachen

Weitere Artikel zum Thema

Christina Morillo, Pexels
Wer im Unternehmen die Daten von Mitarbeiter:innen verarbeitet, gilt laut DSGVO als „Verantwortlicher“ und muss die betroffenen Personen proaktiv über die Verarbeitung ihrer Daten aufklären. Nur so können die Beschäftigten ihre Rechte angemessen wahrnehmen und[...]
petrenkod - iStockphoto.com
Prominente haben mit Essens-Bildern im Restaurant oder Zuhause einen Trend geschaffen. Unter dem Hashtag #foodporn gibt es für diese Erscheinung auch einen Namen. Doch müssen Köche, Hoteliers und Gastronomen die Verbreitung von Fotos ihrer Gerichte[...]
DS-GVO easy umgesetzt – mit dem Online Toll dsgvo-vorlagen.Hotel-Restaurant Klosterhof | MF3d. iStockphoto.com
Der Klosterhof Gutenzell in der Nähe von Memmingen und dem Bodensee hat das Angebot der Experten genutzt und die elementaren Bausteine der DS-GVO erfolgreich umgesetzt. Im Gespräch mit dem Gastgewerbe-Magazin hat Familie Sax von ihren[...]
PeopleImages, iStockphoto
Die Arbeitszeiterfassung ist sowohl für Arbeitgeber:innen als auch Arbeitnehmer:innen ein wichtiges Tool, um die geleisteten Arbeitsstunden nachzuhalten. Die Methoden der Erfassung sind vielfältig, der neue Trend ist das Ein- und Ausloggen über biometrische Daten wie[...]
Häufige Fehlerquellen bei der Umsetzung der DSGVO in Unternehmendesigner491, iStockphoto
Für Unternehmen des Gastgewerbes ist es zwingend erforderlich, die Unternehmensabläufe und somit die Datenschutzmaßnahmen an die DSGVO anzupassen. [...]
Unser Newsletter

Bleiben Sie auf dem Laufenden mit regelmäßigen Informationen zum Thema Gastgewerbe. Ihre Einwilligung in den Empfang können Sie jederzeit widerrufen.