Suche

Datenschutzpanne im Unternehmen – jetzt richtig handeln

Auch bei aller Vorsicht kann es passieren, dass zu schützende Daten in die falschen Hände gelangen oder bei der Verarbeitung personenbezogener Daten ein Fehler unterlaufen ist. Wichtig ist hier, einen kühlen Kopf zu bewahren und sich an einem idealerweise vorliegenden Reaktionsplan zu halten.
Elisa Ventur, Unsplash
Anzeige

Meldepflicht bei Datenschutzpannen

Wenn es zu einem Verlust oder einer unerlaubten Verwendung personenbezogener Daten kommt, muss gemäß Artikel 33 der DSGVO innerhalb von 72 Stunden eine Meldung an die zuständige Behörde erfolgen. Wird die Frist nicht eingehalten, muss dieses Versäumnis später zusammen mit der Meldung begründet werden.

Eine Meldung ist nur dann nicht erforderlich, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“

Das LfD Niedersachsen hat einige Beispiele aufgeführt, bei denen keine Meldung erfolgen muss:

  • Unbefugte haben Zugang zu personenbezogenen Daten erhalten oder sich verschafft, die aber verschlüsselt sind: Eine Verletzung der Vertraulichkeit von (nach dem Stand der Technik) verschlüsselten Daten, die mit einer bisher nicht „geknackten“ Methode verschlüsselt wurden, birgt ein sehr geringes Risiko für die Rechte und Freiheiten der betroffenen Personen. Die Daten sind nämlich für Dritte faktisch nicht lesbar. Hier ist jedoch zu bedenken, ob es auch zu einer Verletzung der Verfügbarkeit gekommen ist: Wenn die Daten etwa gestohlen wurden und daher nun für den Verantwortlichen verloren sind, kann auch bei verschlüsselten Daten ein zu meldender Datenschutzverstoß vorliegen. Hier kommt es dann auf die Art der verlorenen Daten an: die verlorene Geburtstagliste der Abteilung dürfte nur ein geringes Risiko darstellen (keine Meldepflicht), der Verlust sämtlicher Kundenkontaktdaten jedoch wenigstens ein mittleres (Meldepflicht).
  • Verlust eines verschlüsselten USB-Sticks oder Smartphones: Siehe bereits vorheriges Beispiel. Sollte allerdings lediglich ein einfacher Zugriffschutz aktiviert sein, der in der Vergangenheit bereits überwunden wurde, liegt eher ein mittleres Risiko vor.
  • Fehlversandter Brief kam ungeöffnet zurück: Wenn verschlossene Briefe – egal ob mit der Hauspost oder einem Postdienstleister versandt – ungeöffnet zurückkommen, weil sie den falschen Empfänger erreicht haben und dieser sie hat zurückgehen lassen, besteht in der Regel ein nur geringes Risiko für die betroffene Person.
  • Brief mit falscher Anlage: Wenn aus der Anlage lediglich Namen und Daten zu z. B. gebuchten Hotelzimmern (einschließlich Zeiträumen) hervorgehen, ist das Risiko eher gering. Anders zu beurteilen ist der Fall, wenn der Brief bzw. die Anlage die vollständigen Anschriften oder gar Bankverbindungen der betroffenen Personen enthält – dann ist nicht von einem nur geringen Risiko auszugehen und die Meldepflicht besteht.

Wenn Daten wie Bankverbindungen oder sensible Krankenakten an unbefugte Dritte weitergegeben wurden, besteht auf jeden Fall eine Meldepflicht.

Die Meldepflicht bei Datenschutzpannen soll sicherstellen, dass Verantwortliche für die Verarbeitung personenbezogener Daten geeignete Maßnahmen ergreifen, um Datenschutzverletzungen zu verhindern und die Auswirkungen von Datenschutzverletzungen zu minimieren. Darüber hinaus sollen betroffene Personen schnellstmöglich informiert werden, damit sie geeignete Maßnahmen ergreifen können, um sich vor möglichen Schäden zu schützen.

Die einzelnen Schritte des Reaktionsplans

Umgehende Kenntnis über eine vorliegende Datenpanne

Wer im Unternehmen Kenntnis von einer Datenschutzpanne erlangt oder diese verursacht, muss den Umstand umgehend an den Verantwortlichen und den Datenschutzbeauftragten melden. So soll sichergestellt werden, dass eine mögliche Meldung der Panne innerhalb der vorgeschriebenen 72 Stunden erfolgen kann.

Die Bewertung der Datenpanne

Gemeinsam mit dem Verantwortlichen untersucht der Datenschutzbeauftragte die gemeldete Panne und stellt eine Bewertung zusammen. Bei der Ermittlung des Risikos sind zum Beispiel die Kategorien der betroffenen Daten oder die Art der Verletzung von Relevanz.

Ergreifung von Gegenmaßnahmen

Die Ergreifung geeigneter Gegenmaßnahmen erfolgt direkt aus der Bewertung der Datenpanne von DSB und Verantwortlichem. Die ergriffenen Maßnahmen sollen den entstandenen Schaden effektiv reduzieren und eine Ausweitung verhindern.

Entscheidung über die Notwendigkeit der Meldung an die Behörde

Die durch Bewertung und Gegenmaßnahmen erlangten Erkenntnisse führen zu der Entscheidung, ob eine Meldung an die zuständige Datenschutzbehörde vonnöten ist oder darauf verzichtet werden kann. An dieser Stelle sollte auch die Geschäftsführung des Unternehmens eingebunden werden. Sofern die Panne meldepflichtig ist, erfolgt die Meldung umgehend und in vorgegebenen Rahmen an die Behörde und / oder die Betroffenen.

Meldung der Datenschutzpanne

Um den Verantwortlichen die Meldung einer Datenschutzpanne zu erleichtern, bieten zahlreiche Behörden die Möglichkeit einer Online-Meldung. Auch wenn der Verantwortliche die Meldung abgeben muss, sollte dies immer in Rücksprache mit dem Datenschutzbeauftragten geschehen.

Die nötigen Angaben bei der offiziellen Meldung einer Datenschutzpanne

Wer eine Datenpanne online meldet, sollte folgende Informationen parat halten, um eine schnelle Abwicklung zu gewährleisten.

  • Wer erstattet Meldung?
  • Was ist passiert?
  • Beschreibung der Datenpanne
  • Welche Datenarten sind betroffen?
  • Wie viele Personen sind betroffen?
  • Risikoeinschätzung

Wer Interesse hat, kann sich unter folgenden Links die Fragebögen der Bundesländer anschauen

Baden-Württemberg

Bayern

Berlin

Brandenburg

Bremen

Hamburg

Hessen

Mecklenburg-Vorpommern

Niedersachsen

NRW

Rheinland-Pfalz

Saarland

Sachsen

Sachsen-Anhalt

Schleswig-Holstein

Thüringen

Quellen:

LfD Niedersachen

Weitere Artikel zum Thema

XPS, Unsplash
Fast ein Jahr nach der von noyb gestarteten Abmahnwelle gegen mutmaßlich nicht datenschutzkonforme Cookie Banner gibt es nun einen Berichtsentwurf mit Mindestanforderungen.[...]
Mohamed_hassan, Pixabay
Abgesagte Operationen und Flüge, geschlossene Supermärkte, Millionenausfälle: Auch Unternehmen aus Gastronomie und Hotellerie sollten das fehlerhafte Crowdstrike-IT-Update zum Anlass nehmen, einen IT-Notfallplan zu erstellen und ihre Cyber-Resilienz zu prüfen.[...]
geralt, Pixabay
Am 12. Januar 2023 hat der Europäische Gerichtshof in einem Urteil darüber entschieden, das Auskunftsrecht nach Artikel 15 DSGVO noch zu verschärfen. Unternehmen sollten ihre internen Prozesse zur Handlung bei Auskunftsersuchen überprüfen und ggf. anpassen,[...]
Tumisu, Pixabay
Wer viel im Internet unterwegs ist oder eine eigene Webseite betreut, ist mit der Thematik vertraut: Der sogenannte Cookie-Banner dient dazu, die Erlaubnis zum Speichern kleiner Textdateien einzuholen, die das Nutzererlebnis optimieren sollen. So weit,[...]
LuckyLife11, Pixabay
Nicht nur nach Corona-Infektionen sind Mitarbeiter zum Teil für viele Wochen arbeitsunfähig, auch ein Beinbruch oder andere Krankheiten können eine lange Auszeit bedingen. Wenn die Wiedereingliederung ansteht, stellt sich schnell die Frage nach den zu[...]
Unser Newsletter

Bleiben Sie auf dem Laufenden mit regelmäßigen Informationen zum Thema Gastgewerbe. Ihre Einwilligung in den Empfang können Sie jederzeit widerrufen.