Lesezeit: 5 Min
Richtig reagieren, wenn doch etwas schief geht
Bisher haben wir uns in unserem Blog hauptsächlich damit beschäftigt, wie Datenpannen vermieden werden können und wie mit personenbezogenen Daten DSGVO-konform gearbeitet werden kann. Wir haben Ihnen also erklärt, wie Sie den Datenschutz einhalten können.
Aber so gut wir auch aufpassen und so genau wir arbeiten, im Alltag kann es immer auch zu Datenpannen kommen. Was Sie dabei beachten sollten und warum es wichtig ist, auf einen Verstoß vorbereitet zu sein, soll das Thema des aktuellen Blogs von Datenschutzberater.NRW sein.
Was ist eine Datenpanne – was muss gemeldet werden?
Eine Datenpanne ist eigentlich eine Datenschutzverletzung nach Art. 33 und 34 der EU-DSGVO. Wenn wir von einer Datenpanne sprechen, die aufgrund der Grundlagen von Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) meldepflichtig ist, so kann man dazu sagen, dass eine Meldung stattfinden muss, wenn die Datenschutzverletzung für den Betroffenen mit einem Risiko verbunden ist.
Um sich besser vorstellen zu können, was damit gemeint ist, hier ein paar Beispiele:
Verlorenes Notebook oder Handy mit personenbezogenen Daten
E-Mail an falsche Adresse verschickt
Rechnungsversand an den falschen Kunden
Angriff auf Datenbank durch Dritte
Hierbei muss man dann unterscheiden, inwieweit eine Gefahr für den Betroffenen besteht, dass seine Daten an Dritte gelangt sind oder missbräuchlich verwendet werden können. Das betrifft jegliche Art von personenbezogenen Daten. Diese Vorfälle sind immer meldepflichtig.
Sie sollten an die zuständige Aufsichtsbehörde gemeldet werden, aber auch an den Betroffenen selbst. Ab einer bestimmten Anzahl von Betroffenen können Sie auch eine offizielle Meldung (z.B. in Form einer Pressemitteilung) machen, um die Betroffenen nicht einzeln anschreiben zu müssen. Das sollte aber im Einzelfall in Absprache mit dem (externen) Datenschutzbeauftragten oder Datenschutzberater geprüft werden.
Die Meldung muss immer durch den Verantwortlichen des Unternehmens erfolgen, der Datenschutzbeauftragte kann immer nur auf einen Verstoß gegen den Datenschutz hinweisen.
Wenn Sie feststellen, dass eine Datenpanne in Ihrem Unternehmen vorliegt, sollten Sie direkt auch prüfen, ob Sie durch technische Möglichkeiten den Schaden für den Betroffenen abwenden können. Auch dies sollten Sie für die Aufsichtsbehörde dokumentieren und kommunizieren.
Achtung: Meldefrist und Dokumentationspflicht
Wenn eine meldepflichtige Datenpanne „passiert“, dann gilt es die Meldefrist einzuhalten. Diese beträgt 72 Stunden ab Bekanntwerden der Panne. Dabei ist es besonders wichtig, dass bei dieser Frist weder Wochenende noch Feiertage relevant sind. Das bedeutet: es zählt jeder Tag – egal ob Feiertag oder Wochenende – bei der Meldung der Datenpanne. Ab Bekanntwerden der Datenpanne bedeutet zum Beispiel: Wenn ein Smartphone mit personenbezogenen Daten verschwindet, dies aber zwei Wochen nicht auffällt, dann gilt diese Frist erst nachdem das Verschwinden tatsächlich festgestellt wurde.
Jede Datenpanne, meldepflichtig oder nicht, muss zwingend im Unternehmen dokumentiert werden. Daher sollten Sie Ihre Mitarbeiter dafür sensibilisieren, dass Datenpannen passieren können, es aber immer wichtig ist diese beim Verantwortlichen zu melden. Frei nach dem Motto „wo gehobelt wird, da fallen Späne“, sollten Sie Ihren Mitarbeitern die Angst vor Datenpannen im Datenschutz nehmen. Regelmäßige Mitarbeiterschulungen sollten im Umgang mit personenbezogenen Daten Pflicht sein.
Ein Konzept oder besser ein Reaktionsplan für den Umgang mit Datenschutzverstößen, welche für jeden Mitarbeiter zugänglich ist, machen ebenfalls Sinn. Jeder Mitarbeiter sollte mit diesem Konzept vertraut sein, um im Fall der Fälle vorbereitet zu sein.
Bei der Meldung gilt: Mehr ist mehr
Wer nicht sicher ist, ob die Datenpanne gemeldet werden muss: es ist grundsätzlich immer besser eine Datenpanne bei der Aufsichtsbehörde zu melden und sich vorab mit Ihrem Datenschutzbeauftragten in Verbindung zu setzen. Sie können dabei auch eine vorläufige Datenpanne melden. Wenn zum Beispiel ein Smartphone verloren wurde, es aber nicht sicher ist, ob es wirklich weg oder nur verlegt wurde, dann bietet es sich an eine vorläufige Meldung zu machen. Diese können Sie dann ggf. wieder zurückziehen, falls das Smartphone wieder auftauchen sollte.
Das wichtigste ist: Versuchen Sie nie eine Datenpanne zu verschweigen und sensibilisieren Sie auch Ihre Mitarbeiter dafür. Wenn eine Datenpanne nicht gemeldet wird und der Betroffene oder ein Dritter meldet diese, dann kann dies zu hohen Strafen führen.
Melden Sie eine Datenschutzverletzung in Ihrem Unternehmen selbst, dann müssen Sie in der Regel erst einmal nicht mit Strafen rechnen, wenn Sie sich an die gesetzlichen Vorgaben halten. Problematisch wird es erst dann, wenn eine Datenpanne wiederholt vorkommt und Sie keine Maßnahmen treffen, um dies zu verhindern.
Wenn Sie die Datenpanne melden, sollten Sie direkt auch angeben, welche Maßnahmen Sie ergriffen haben, um den Schaden vom Betroffenen abzuwenden und die Datenpanne zu beheben.
Nach der Meldung: was wird getan, um eine neue Panne zu vermeiden
Man sollte festhalten, dass der Verantwortliche in einem Unternehmen nachweisen muss, dass er Datenpannen erkennt und auch meldet. Daher sollte in dem Konzept für den Umgang mit Datenpannen auch sehr klar definiert sein, wer diese meldet, wer ist also der Ansprechpartner für die Mitarbeiter aber auch für die Aufsichtsbehörde.
Wenn eine Datenpanne in Ihrem Unternehmen vorliegt und gemeldet wurde, sollte der Verantwortliche natürlich alles daran setzen, dass dies nicht noch einmal vorkommt. Im ersten Schritt (das gilt im Übrigen für jeden Datenschutzverstoß) fragt die zuständige Aufsichtsbehörde dann auch immer nach den Verarbeitungsverzeichnissen (VVT). Hier sollte genau dokumentiert werden, welche personenbezogene Daten, zu welchen Zeitpunkt und aus welchem Grund verarbeitet werden. Ein gut geführtes Verzeichnis der Verarbeitungstätigkeiten kann also schon ein erster Schritt sein, für die Aufsichtsbehörde zu dokumentieren, wie das Unternehmen versucht Datenpannen zu vermeiden. Darüber hinaus sollte der Behörde auch aufgezeigt werden, wie in Zukunft weitere Datenpannen dieser Art vermieden werden können.
Eine wichtige Rolle spielen beim Umgang mit Datenpannen ebenfalls die technisch-organisatorischen Maßnahmen (sogenannte TOMs), die sich auf alle Bereiche des Unternehmens erstrecken können (von Schließanlagen, über die Nutzung von Kameraüberwachung bis hin zur IT).
IT-Sicherheit und Dokumentation
Wir haben schon öfter thematisiert, dass Datenschutz durch die stetig steigende Nutzung von IT, immer auch zusammen mit der IT-Sicherheit einhergeht. Viele Datenpannen entstehen durch Unsicherheiten in IT-gestützten Programmen, aber auch in der falschen Anwendung von diesen. Um Datenpannen zu vermeiden, sollten Firmen über eine ausreichende IT-Sicherheit verfügen, die im besten Falle mit dem Datenschutz verknüpft wird. Sollte eine Datenpanne durch eine fehlende oder schlechte IT-Sicherheit entstehen, müssen die Verantwortlichen entsprechend sicherstellen, dass diese verbessert wird.
Was die DSGVO immer wieder deutlich macht, ist, dass alle den Datenschutz betreffenden Vorgänge dokumentiert werden sollten. Egal ob ein Unternehmen eine Datenpanne meldet, mit der Aufsichtsbehörde kommuniziert oder Maßnahmen getroffen werden: eine Dokumentation ist stets zu empfehlen und meist sogar gesetzlich vorgeschrieben.
Unsicherheiten aufheben – Einschätzung des Datenschutzbeauftragten hilft
Je besser Sie auf mögliche Pannen im Datenschutz vorbereitet sind, desto schneller können Sie reagieren, wenn der Worstcase eintritt. Sprechen Sie im Zweifel mit Ihrem internen Datenschutzbeauftragten oder dem externen Datenschutzbeauftragten. Sollte Ihr Unternehmen aufgrund der gesetzlichen Vorgaben keinen Datenschutzbeauftragten berufen müssen, so kann eine Analyse von einem Datenschutzberater Ihrem Vorgehen im Datenschutz die nötige Sicherheit geben.
Alles, was in diesem Beitrag beschrieben wurde, gilt für jeden, der personenbezogene Daten verarbeitet – dazu gehören auch Vereine, Praxen, Kanzleien, jede Art von Unternehmen usw. – unabhängig von Größe, Umsatz und Menge der zu verarbeitenden Daten.
Vor diesem Hintergrund sollte sich jede Institution beraten lassen, wie der Datenschutz intern umgesetzt werden kann und wie mit Datenpannen umgegangen werden sollte. Datenschutzberater.NRW bringt das nötige Wissen um dieses komplexe Thema mit und berät Kunden in Köln, Bonn, Düsseldorf und ganz NRW. Unser Team kann Ihnen helfen, die nötigen Vorgaben im Datenschutz durchzusetzen (Datenschutz-Erstberatung, Datenschutz-Audit), Ihnen als externer Datenschutzberater zur Seite stehen (auch als Unterstützung für Ihren internen Datenschutzbeauftragten) und berät Sie auch gerne in der Durchsetzung der nötigen IT-Sicherheit (IT-Audit, IT-Erstberatung). Unser Angebot umfasst außerdem auch die GoBD-Beratung (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) von Unternehmen.
Nehmen Sie mit uns Kontakt auf.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.