Meldepflichten und Dokumentationen
Die Sicherheit und Vertraulichkeit personenbezogener Daten sind essenzielle Aspekte in jedem Unternehmen und Steuerkanzlei. Bei der Umsetzung des Datenschutzes sollte daher genau darauf geachtet werden, alle Maßnahmen zum Schutz der personenbezogenen Daten umzusetzen.
Dennoch kann es zu Datenpannen kommen, die durch versehentliches Löschen, unbefugten Zugriff oder technische Fehler verursacht werden. In einem solchen Fall ist ein schnelles und strukturiertes Vorgehen entscheidend, um den entstandenen Schaden zu minimieren und den gesetzlichen Anforderungen gerecht zu werden. Darüber hinaus sollte immer auch ein Notfallplan erstellt werden, wie bei einer Datenschutzverletzung vorgegangen werden sollte.
BLOG-TIPP: Datenschutz in der Praxis – Was sind personenbezogene Daten nach DS-GVO?
Was ist eine meldepflichtige Datenschutzverletzung?
Eine meldepflichtige Datenschutzverletzung liegt vor, wenn eine Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Dies kann durch verschiedene Szenarien verursacht werden, wie z. B. unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugte Offenlegung von oder Zugriff auf personenbezogene Daten.
Gemäß DS-GVO und den ergänzenden Regelungen im BDSG müssen solche Datenschutzverletzungen innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet werden. Eine Benachrichtigung der betroffenen Personen ist ebenfalls erforderlich, wenn das Risiko als hoch eingestuft wird. Die Frist gilt unabhängig von Wochentag, Wochenende oder Feiertag.
BLOG-TIPP: Warum Datenschutz für Organisationen mit personenbezogenen Daten unerlässlich ist
Beispiele meldepflichtiger Datenschutzverletzungen sind:
- Unbefugter Datenzugriff durch Hacker
- Verlust eines unverschlüsselten Laptops
- fehlerhafte Versendung von E-Mails
- Ransomware-Angriff auf ein Unternehmenssystem
- versehentliche Veröffentlichung personenbezogener Daten
Das Erkennen und richtige Handhaben meldepflichtiger Datenschutzverletzungen ist ein zentraler Bestandteil eines wirksamen Datenschutzmanagements.
Schritte und Maßnahmen bei einer Datenschutzverletzung
Um eine Datenschutzverletzung richtig zu behandeln, muss diese im ersten Schritt erkannt werden. Überwachen Sie daher Ihre Systeme kontinuierlich und sensibilisieren Sie Ihre Mitarbeiter für mögliche Anzeichen einer Datenpanne. Sichern Sie bei einem Verdacht auf einen Datenschutzverstoß Beweise und dokumentieren Sie alle relevanten Informationen.
Im nächsten Schritt sollte der Vorfall bewertet werden. Führen Sie eine sorgfältige Analyse durch, um den Umfang und die Art der Datenpanne zu bestimmen. Identifizieren Sie die betroffenen Datenkategorien und bewerten Sie das Risiko für die betroffenen Personen. Informieren Sie sofort den Datenschutzbeauftragten und gegebenenfalls die Geschäftsführung. Alle Beteiligten sollten über den Vorfall und die weiteren Schritte im Klaren sein.
Sofortmaßnahmen ergreifen
Ergreifen Sie alle notwendigen Maßnahmen, um den Schaden zu begrenzen. Dazu gehören unter anderem das Isolieren betroffener Systeme, das Wiederherstellen von Backups und das Implementieren zusätzlicher Sicherheitsmaßnahmen.
Dokumentieren Sie detailliert alle Schritte, die im Zusammenhang mit der Datenpanne ausgeführt wurden. Diese Dokumentation ist wichtig für interne Audits und externe Prüfungen durch Aufsichtsbehörden.
Meldepflichten und Fristen
Gemäß der DS-GVO (Datenschutzgrundverordnung) und dem BDSG (Bundesdatenschutzgesetz) gibt es klare Vorgaben, wie und wann eine Datenschutzverletzung gemeldet werden muss:
- Meldung an die Aufsichtsbehörde
Wenn aus der Datenpanne ein Risiko für die Rechte und Freiheiten der betroffenen Personen resultiert, müssen Sie die zuständige Datenschutzaufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls informieren. Die Meldung sollte folgende Informationen enthalten: Art der Datenschutzverletzung, betroffene Datenkategorien und ungefähre Anzahl der betroffenen Personen, mögliche Folgen der Datenpanne, ergriffene und geplante Maßnahmen zur Behebung der Panne und zur Abmilderung der negativen Auswirkungen
- Benachrichtigung der betroffenen Personen
Wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, müssen diese ebenfalls unverzüglich informiert werden. Die Benachrichtigung sollte klar und verständlich sein und umfassen:
- Beschreibung der Art der Datenschutzverletzung
- mögliche Folgen der Datenpanne
- ergriffene Maßnahmen zur Behebung des Schadens
- Empfehlungen für die betroffenen Personen zur Schadenminderung
- Kontaktinformationen des Datenschutzbeauftragten oder eines anderen Ansprechpartners im Unternehmen
BLOG-TIPP: Risiken für den Datenschutz bei der Nutzung von Messenger-Diensten in Unternehmen
Datenschutzbeauftragten involvieren
Der Datenschutzbeauftragte ist in der Regel der Ansprechpartner für die Aufsichtsbehörde, daher sollte er bei einer Datenpanne und bei der weiteren Umsetzung der Maßnahmen unbedingt hinzugezogen werden.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.