Anzeige
Suche

Datenschutzpanne im Unternehmen – jetzt richtig handeln

Auch bei aller Vorsicht kann es passieren, dass zu schützende Daten in die falschen Hände gelangen oder bei der Verarbeitung personenbezogener Daten ein Fehler unterlaufen ist. Wichtig ist hier, einen kühlen Kopf zu bewahren und sich an einem idealerweise vorliegenden Reaktionsplan zu halten.
Elisa Ventur, Unsplash
Anzeige

Meldepflicht bei Datenschutzpannen

Wenn es zu einem Verlust oder einer unerlaubten Verwendung personenbezogener Daten kommt, muss gemäß Artikel 33 der DSGVO innerhalb von 72 Stunden eine Meldung an die zuständige Behörde erfolgen. Wird die Frist nicht eingehalten, muss dieses Versäumnis später zusammen mit der Meldung begründet werden.

Eine Meldung ist nur dann nicht erforderlich, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“

Das LfD Niedersachsen hat einige Beispiele aufgeführt, bei denen keine Meldung erfolgen muss:

  • Unbefugte haben Zugang zu personenbezogenen Daten erhalten oder sich verschafft, die aber verschlüsselt sind: Eine Verletzung der Vertraulichkeit von (nach dem Stand der Technik) verschlüsselten Daten, die mit einer bisher nicht „geknackten“ Methode verschlüsselt wurden, birgt ein sehr geringes Risiko für die Rechte und Freiheiten der betroffenen Personen. Die Daten sind nämlich für Dritte faktisch nicht lesbar. Hier ist jedoch zu bedenken, ob es auch zu einer Verletzung der Verfügbarkeit gekommen ist: Wenn die Daten etwa gestohlen wurden und daher nun für den Verantwortlichen verloren sind, kann auch bei verschlüsselten Daten ein zu meldender Datenschutzverstoß vorliegen. Hier kommt es dann auf die Art der verlorenen Daten an: die verlorene Geburtstagliste der Abteilung dürfte nur ein geringes Risiko darstellen (keine Meldepflicht), der Verlust sämtlicher Kundenkontaktdaten jedoch wenigstens ein mittleres (Meldepflicht).
  • Verlust eines verschlüsselten USB-Sticks oder Smartphones: Siehe bereits vorheriges Beispiel. Sollte allerdings lediglich ein einfacher Zugriffschutz aktiviert sein, der in der Vergangenheit bereits überwunden wurde, liegt eher ein mittleres Risiko vor.
  • Fehlversandter Brief kam ungeöffnet zurück: Wenn verschlossene Briefe – egal ob mit der Hauspost oder einem Postdienstleister versandt – ungeöffnet zurückkommen, weil sie den falschen Empfänger erreicht haben und dieser sie hat zurückgehen lassen, besteht in der Regel ein nur geringes Risiko für die betroffene Person.
  • Brief mit falscher Anlage: Wenn aus der Anlage lediglich Namen und Daten zu z. B. gebuchten Hotelzimmern (einschließlich Zeiträumen) hervorgehen, ist das Risiko eher gering. Anders zu beurteilen ist der Fall, wenn der Brief bzw. die Anlage die vollständigen Anschriften oder gar Bankverbindungen der betroffenen Personen enthält – dann ist nicht von einem nur geringen Risiko auszugehen und die Meldepflicht besteht.

Wenn Daten wie Bankverbindungen oder sensible Krankenakten an unbefugte Dritte weitergegeben wurden, besteht auf jeden Fall eine Meldepflicht.

Die Meldepflicht bei Datenschutzpannen soll sicherstellen, dass Verantwortliche für die Verarbeitung personenbezogener Daten geeignete Maßnahmen ergreifen, um Datenschutzverletzungen zu verhindern und die Auswirkungen von Datenschutzverletzungen zu minimieren. Darüber hinaus sollen betroffene Personen schnellstmöglich informiert werden, damit sie geeignete Maßnahmen ergreifen können, um sich vor möglichen Schäden zu schützen.

Die einzelnen Schritte des Reaktionsplans

Umgehende Kenntnis über eine vorliegende Datenpanne

Wer im Unternehmen Kenntnis von einer Datenschutzpanne erlangt oder diese verursacht, muss den Umstand umgehend an den Verantwortlichen und den Datenschutzbeauftragten melden. So soll sichergestellt werden, dass eine mögliche Meldung der Panne innerhalb der vorgeschriebenen 72 Stunden erfolgen kann.

Die Bewertung der Datenpanne

Gemeinsam mit dem Verantwortlichen untersucht der Datenschutzbeauftragte die gemeldete Panne und stellt eine Bewertung zusammen. Bei der Ermittlung des Risikos sind zum Beispiel die Kategorien der betroffenen Daten oder die Art der Verletzung von Relevanz.

Ergreifung von Gegenmaßnahmen

Die Ergreifung geeigneter Gegenmaßnahmen erfolgt direkt aus der Bewertung der Datenpanne von DSB und Verantwortlichem. Die ergriffenen Maßnahmen sollen den entstandenen Schaden effektiv reduzieren und eine Ausweitung verhindern.

Entscheidung über die Notwendigkeit der Meldung an die Behörde

Die durch Bewertung und Gegenmaßnahmen erlangten Erkenntnisse führen zu der Entscheidung, ob eine Meldung an die zuständige Datenschutzbehörde vonnöten ist oder darauf verzichtet werden kann. An dieser Stelle sollte auch die Geschäftsführung des Unternehmens eingebunden werden. Sofern die Panne meldepflichtig ist, erfolgt die Meldung umgehend und in vorgegebenen Rahmen an die Behörde und / oder die Betroffenen.

Meldung der Datenschutzpanne

Um den Verantwortlichen die Meldung einer Datenschutzpanne zu erleichtern, bieten zahlreiche Behörden die Möglichkeit einer Online-Meldung. Auch wenn der Verantwortliche die Meldung abgeben muss, sollte dies immer in Rücksprache mit dem Datenschutzbeauftragten geschehen.

Die nötigen Angaben bei der offiziellen Meldung einer Datenschutzpanne

Wer eine Datenpanne online meldet, sollte folgende Informationen parat halten, um eine schnelle Abwicklung zu gewährleisten.

  • Wer erstattet Meldung?
  • Was ist passiert?
  • Beschreibung der Datenpanne
  • Welche Datenarten sind betroffen?
  • Wie viele Personen sind betroffen?
  • Risikoeinschätzung

Wer Interesse hat, kann sich unter folgenden Links die Fragebögen der Bundesländer anschauen

Baden-Württemberg

Bayern

Berlin

Brandenburg

Bremen

Hamburg

Hessen

Mecklenburg-Vorpommern

Niedersachsen

NRW

Rheinland-Pfalz

Saarland

Sachsen

Sachsen-Anhalt

Schleswig-Holstein

Thüringen

Quellen:

LfD Niedersachen

Weitere Artikel zum Thema

Melpomenem - iStockphoto.com
Seit Jahresbeginn müssen alle Unternehmer alle geschäftlichen E-Mails speichern.[...]
Workshops zu den Themen Reiserecht und DSGVO der IHAMIH83 | Pixabay
IHA-Justitiarin Laura-Sophie Franze wird als eine der beiden Vortragenden die für die Hotels in Deutschland wesentlichen Aspekte der Datenschutzgrundverordnung aufbereiten und Fragen zur praktischen Umsetzung für die Hotellerie erläutern.[...]
Alpha Oinam, Unsplash
Der Schreibtisch ist für viele nicht nur Arbeitsplatz, sondern auch Ablagefläche für Dokumente, Arbeitsmappen und Kaffeetassen. Während die Kaffeetasse bleiben darf, sollten geschäftliche Dokumente zum Feierabend oder bei Abwesenheit weggeräumt werden. Viele weitere Regeln sorgen[...]
Haftung der Verantwortlichen bei Verstößen gegen DSGVO und BDSGerhui1979, iStockphoto
Aus der Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz ergeben sich Risiken für Führungskräfte, wie z.B. Geschäftsführer, Inhaber und IT-Leiter. Dieser Personenkreis kann jetzt persönlich – ergo als "natürliche Personen" – bei Verletzungen der Datenschutzbestimmungen zur Rechenschaft[...]
Eva Birkmann
Nun ist sie da und mit ihr jede Menge Fragen: Wie funktioniert die Corona-App, wie ist die Nutzung juristisch und hier vor allem arbeitsrechtlich zu bewerten? Können Arbeitgeber die Nutzung von Beschäftigten und Besuchern verlangen?[...]
Unser Newsletter

Bleiben Sie auf dem Laufenden mit regelmäßigen Informationen zum Thema Gastgewerbe. Ihre Einwilligung in den Empfang können Sie jederzeit widerrufen.