Datenpannen - Erste Hilfe für Unternehmen in NRW

Verstöße gegen die DS-GVO erkennen und richtig handeln

Wenn wir den Datenschutz umsetzen, dann geht es vor allem darum, die personenbezogenen Daten von Betroffenen zu schützen. Was personenbezogene Daten sind, lesen Sie in einem anderen Artikel von Datenschutzberater.NRW.

Alle Maßnahmen, die wir an dieser Stelle wöchentlich vorstellen, sollen dazu beitragen. Aber auch wenn man sich an alle Vorgaben hält, kann es im Datenschutz zu sogenannten Datenpannen kommen. Wie man dann richtig reagiert und worauf man achten muss, fassen wir Ihnen heute noch einmal in diesem Blog zusammen.

Das Wichtigste: alles tun, um Datenpannen zu vermeiden

Erst einmal ist es wichtig, dass ein Unternehmen alles tut, um Datenpannen zu vermeiden. Dazu gehört es die wichtigsten Bausteine der Datenschutzgrundverordnung (DS-GVO) in Schule, Unternehmen, Vereinen, Praxen und allen, die personenbezogene Daten verarbeiten, umzusetzen. Diese sind beispielsweise:

Vor allem die technischen und organisatorischen Maßnahmen und die Datenschutzfolgenabschätzung sollen die Sicherheit der Daten gewährleisten.

Ein Unternehmen sollte also bei jedem Vorgang, in dem personenbezogene Daten verarbeitet werden genau prüfen, ob diese vor dem Zugriff von Unbefugten ausreichend geschützt werden. Auch die Mitarbeiter sollten für den datenschutzkonformen Umgang mit den Betroffenendaten geschult werden.

Was ist eine Datenpanne im Datenschutz?

Trotz aller Maßnahmen: Eine Datenpanne kann trotz aller Sicherheitsvorkehrungen in jedem Unternehmen passieren. Doch wann sprechen wir von einer Datenpanne? Was sollte gemeldet werden?

Eine Datenpanne liegt immer dann vor, wenn personenbezogene Daten einer natürlichen Person an einen Unbefugten gelangen. Das kann natürlich auf verschiedene Weise passieren. Ein verlorenes Smartphone, ein geklauter Laptop kann genauso eine Datenpanne sein, wie eine falsch weitergeleitete E-Mail mit personenbezogenen Daten. Aber auch, wenn Daten ohne die Einwilligung oder eine gesetzliche Grundlage von Betroffenen – übrigens auch intern – weitergegeben werden. Hackerangriffe, falsche Auskunft am Telefon, Einbrüche, Fotos am Arbeitsplatz in sozialen Medien – die Liste, die man immer wieder in den Medien findet, kann man sicher noch weiterführen.

Egal ob technischer Fehler oder der Faktor Mensch, werden personenbezogene Daten unberechtigt weitergegeben oder gar offengelegt, muss diese Datenpanne gemeldet werden.

Mehr zu den meldepflichtigen Datenpannen finden Sie auch hier.

Eine Datenpanne im Datenschutz – und nun?

Eine Datenpanne kann trotz aller Vorsicht vorkommen. Genauso wie es wichtig ist alles daran zu setzen, um eine Datenpanne zu verhindern, genauso wichtig ist es, auf eine mögliche Datenpanne vorbereitet zu sein.

Machen Sie einen Plan, wie man gewährleistet, dass mit einer Datenpanne richtig umgegangen wird. In diesem muss festgelegt werden, wie eine mögliche Datenpanne festgestellt und im vorgegebenen Zeitrahmen gemeldet werden kann.

Dokumentation und Meldung einer Datenpanne

Liegt eine Datenpanne vor, muss diese bei der Aufsichtsbehörde gemeldet werden, und zwar: ab Bekanntwerden innerhalb von 72 Stunden. Dabei ist es egal, ob es sich um einen Wochen-, Sonn- oder Feiertag handelt. Meldepflichtig sind dabei die Datenverluste, von denen ein Risiko für den Betroffenen ausgeht. Vergessen Sie nicht, auf jeden Fall auch den Betroffenen zu informieren.

Neben der Meldung der Datenpanne ist auch die Dokumentation dieser wichtig. Die Dokumentation gilt für meldepflichtige und nicht meldepflichtige Vorfälle. Auch bei der Meldung gilt: Mehr ist mehr. Melden Sie eine mögliche Datenpanne bei einer Unsicherheit lieber einmal mehr.

Aus Fehlern lernen: Datenpannen sollten sich nicht wiederholen

Liegt eine Datenpanne vor, ist neben der Meldung nicht nur die Dokumentation wichtig. Man sollte auf jeden Fall sicherstellen, dass eine erneute Datenpanne nicht vorkommen kann. Die mögliche Sicherheitslücke muss geschlossen werden und alles darangesetzt werden, dass eine erneute Panne nicht passieren kann.

Auch diese Anstrengungen sollten dokumentiert und der Aufsichtsbehörde weitergegeben werden.

Mitarbeiter informieren

Um die Informationsketten bei einer Datenpanne in den 72 Stunden ausreichend einhalten zu können, müssen auch die Mitarbeiter mit in die Organisation eingebunden werden. Durch ein gutes Konzept zum Vorgehen bei Datenpannen, über das die Mitarbeiter informiert werden, kann eine schnelle Reaktion gewährleistet werden.

Informieren Sie die Mitarbeiter in regelmäßigen Abständen über die Vorgehensweisen, aber auch mögliche Datenpannen, um diese zu verhindern. Mitarbeiterschulungen gehören zur Grundlage des Datenschutzes.

Externer Datenschutzberater bei Datenpannen immer involvieren

Um Datenpannen richtig zu behandeln und mögliche Strafen verhindern zu können, sollte ein Fachmann hinzugezogen werden. Dieser kann beratend bei den Maßnahmen zur Umsetzung des Datenschutzes tätig sein, bestehende Maßnahmen kontrollieren und bei Datenpannen zur Unterstützung hinzugezogen werden.

Ein externer Datenschutzbeauftragter hilft dem Unternehmen, Datenschutz gesetzeskonform umzusetzen und kann das Unternehmen unabhängig beraten.

Das Team von Datenschutzberater.NRW stellt einen externen Datenschutzbeauftragten (TÜV) und unterstützt die Mandanten unter anderem mit folgenden Aufgaben:

Gerne erstellen wir Ihnen ein individuelles und praxisnahes Angebot für Ihr Unternehmen. Wir betreuen Schulen und andere Bildungseinrichtungen, Vereine, Praxen und KMU im Großraum Köln, Bonn, Siegburg, Düsseldorf und Siegen.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob bei Ihnen eine Datenpanne vorliegt oder Sie die Vorgaben der DS-GVO einhalten, dann lassen Sie sich von uns professionell beraten.

Was tun bei Datenpannen?