Man hat gedacht, es trifft nur die anderen und selbst ist man gut genug geschützt, doch nun ist es passiert: Eine Datenschutzpanne ist im Unternehmen passiert. Jetzt gilt: Keine Panik, denn die Uhr tickt. In unserem Blog zeigen wir Ihnen, wie Sie in dieser Situation richtig reagieren.
Vor der Datenschutzpanne
Die Sensibilisierung der Mitarbeiter im Umgang mit personenbezogenen Daten und das Vorgehen bei Datenschutzvorfällen ist essenziell. Daraus folgt, dass im Unternehmen verbindliche Prozesse und Richtlinien veröffentlicht werden sollten, wie bei einer Datenschutzpanne vorzugehen ist. Dies umfasst auch das Durchführen von Probeläufen, um die Abläufe zu erproben und die Effektivität der Maßnahme zu überprüfen. Besonders wichtig ist es, dass offen kommuniziert wird, dass solche Vorfälle passieren können und dass diese sofort zu melden sind. In der Praxis hat sich gezeigt, dass es zu empfehlen ist, ein Datenschutzteam (DST) einzurichten, welches alle wichtigen Entscheidungsträger und Fachkompetenzen vereint. Dieses Team tritt vor allem bei Datenschutzpannen zusammen und übernimmt die Koordination dieser.
Es ist passiert, und nun?
Schritt 1: Keine Panik!
Datenschutzvorfälle können trotz größter Sicherheitsmaßnahmen passieren und stellen keinen Weltuntergang dar. Wichtig ist jetzt die fristgerechte Abarbeitung der Datenschutzpanne. Nach Art. 33 DSGVO hat der Verantwortliche innerhalb von 72 Stunden eine Meldung des Vorfalles bei der Aufsichtsbehörde durchzuführen. Sollte dies nicht möglich sein, so ist eine Begründung für die Verspätung hinzufügen. Es empfiehlt sich, in diesem Fall eine Vorabmeldung mit Begründung der Unvollständigkeit zu machen und diese nachfolgend um die neuen Informationen zu ergänzen. Von der Meldung kann abgesehen werden, wenn es voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen gekommen ist. Es gilt zu beachten, dass es sich bei den 72 Stunden um Zeitstunden handelt, welche auch nachts, am Wochenende und Feiertags weiterlaufen. Die Frist beginnt mit Bekanntwerden der Verletzung, wobei dies auch bei einem Mitarbeiter bekannt werden kann. Die Zeit beginnt somit nicht unbedingt mit dem Bekanntwerden beim Verantwortlichen.
Der Inhalt der Meldung umfasst mindestens:
- Beschreibung der Art der Verletzung inkl. wenn möglich die Angabe der Datenkategorien und die ungefähre Anzahl der betroffenen Personen, der betroffenen Kategorien und der personenbezogenen Datensätzen
- Namen und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle für weitere Informationen
- Beschreibung der wahrscheinlichen Folgen des Vorfalles für die betroffenen Personen
- Beschreibung der getroffenen oder vorgeschlagenen Maßnahmen zur Behebung des Vorfalles und ggf. der Abminderung der möglicherweise nachteiligen Auswirkungen
All dies ist zu dokumentieren und den Unterlagen des Datenschutzmanagement hinzuzufügen. Diese Dokumentation muss der Aufsichtsbehörde ermöglichen, die Einhaltung der Bestimmungen des Artikels 33 DSGVO zu überprüfen.
Sollte es bei der Analyse des Vorfalls klar werden, dass es sich um ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen handelt, so sind die betroffenen Personen unverzüglich zu benachrichtigen. Diese Benachrichtigung muss, sollte der Kreis der Betroffenen nicht klar festgestellt werden, an alle möglichen Betroffenen versendet werden. In der Formulierung ist auf eine klare und einfache Sprache zu achten. Der Mindestinhalt ist:
- Namen und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle für weitere Informationen
- Beschreibung der wahrscheinlichen Folgen des Vorfalles für die betroffenen Personen
- Beschreibung der getroffenen oder vorgeschlagenen Maßnahmen zur Behebung des Vorfalles und ggf. der Abminderung der möglicherweise nachteiligen Auswirkungen
(vgl. Art. 34 DSGVO)
Von einer Meldung kann abgesehen, wenn mindestens eine der folgenden Bedingungen erfüllt ist:
- Der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese auf die von der Verletzung betroffenen pb-Daten angewendet. Insbesondere solche, welche den Zugang auf die pb-Daten für Unbefugte verhindern. Wie z. B. Verschlüsselung.
- Durch nachfolgende Maßnahmen hat der Verantwortliche sichergestellt, dass das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht.
- Die Benachrichtigung ist mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder ähnliche Maßnahme zu erfolgen, welche die betroffenen Personen vergleichbar wirksam informiert.
(vgl. Art. 34 (3) DSGVO)
Aber warum nun ein DST einrichten?
Das Datenschutzteam besteht im Optimalfall aus den Verantwortlichen oder einer Vertretung mit entsprechenden Berechtigungen, dem Datenschutzbeauftragten und den Leitern aus den Bereichen PR, Legal, IT und der Leitung der betroffenen Abteilung. Es ist dabei sicherzustellen, dass diese während den Zeiten, in welchen ein Datenschutzvorfall möglich ist, erreichbar und einbindbar sind. Diese Zusammensetzung vereint dadurch alle wichtigen Kompetenzen und Fachwissen in einem Team und ermöglicht dadurch die Bearbeitung, Analyse, Koordination und Lösung von Datenschutzpannen in kürzester Zeit. Möglich wird dies durch die kurzen Entscheidungswege und die Bündelung des Fachwissens. Ebenso verhindert dies, dass im Falle des Falles wichtige Kompetenzen fehlen, da für Abwesenheiten ein Vertretungskonzept vorliegen muss.
Nach der Datenschutzpanne
Sie haben es geschafft! Der Vorfall wurde erfolgreich bearbeitet, die Meldungen sind erfolgt und nun? Alles in Ablage P und Feierabend?
Nach dem Vorfall ist vor dem Vorfall. Jetzt beginnt der wichtige Teil: Lessons learned! Reflektieren Sie nun über die Geschehnisse und betrachten Fragen wie z. B.:
- Haben die Abläufe funktioniert?
- Wie konnte dies passieren?
- Was können wir verbessern?
- Was lief gut und was nicht?
Außerdem ist jetzt die Zeit, die Dokumentationen, welche in aller Schnelle erstellt wurden, erneut zu prüfen und ggf. zu korrigieren und diese dann in Reinform in das Datenschutzmanagementsystem zu übernehmen. Nehmen Sie sich die Zeit und analysieren Sie den Vorfall und nehmen diesen als Möglichkeit des Lernens und der Verbesserung wahr. Selbstverständlich soll es nie zu einer Datenschutzpanne kommen, aber wenn es geschehen ist, dann sollte man dies auch zur Weiterentwicklung nutzen.
Fazit
Datenschutzpannen können jeden treffen. Wichtig ist dabei der Umgang mit diesen, welcher strukturiert und organisiert erfolgen sollte. Auch wenn es möglicherweise unwahrscheinlich erscheint, dass es zu einer Panne kommt, sollte dieser Fall im Vorhinein geplant und geprobt werden. Denn wenn die Abläufe routiniert ablaufen, lassen sich die Fristen einhalten und schnell eine Lösung finden.
Wir bei Rewion helfen Ihnen gerne und unterstützen Sie bei der Vorbeugung oder, falls es zu einer Datenschutzpanne gekommen ist, bei der Schadensminimierung. Weitere Informationen erhalten Sie auf unserer Datenschutz-Seite: Datenschutz Beratung
Disclaimer: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge übernehmen wir keine Gewähr. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.
