Lesezeit: 3 Min
Verletzung des Schutzes personenbezogener Daten im Unternehmen
Den Datenschutz nach den Vorgaben der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) umzusetzen ist eine komplexe Aufgabe für den Verantwortlichen eines Unternehmens.
Doch auch wenn gesetzliche Vorgaben eingehalten und alle personenbezogenen Daten theoretisch ausreichend geschützt sind, kann es sein, dass personenbezogene Daten verloren gehen.
Verletzung des Schutzes personenbezogener Daten – Datenpanne
Wenn personenbezogene Daten verloren gehen, verändert, gelöscht werden oder in die falschen Hände geraten, dann spricht man im Datenschutz von einer „Verletzung des Schutzes von personenbezogenen Daten“ – oder auch von einer Datenpanne.
Dies kann durch ein Versehen oder auch durch eine kriminelle Handlung passieren. Beispiele für eine Datenpanne sind:
- falsch versendete E-Mail, Fax etc.
- nicht gelöschte Daten auf Datenträgern
- Einbruch in Büroräume und Entwendung von Daten
- Verlust von Datenträgern oder Mobilgeräten
- Datenklau durch Phishing-Mails
- Hackerangriffe
- Versehentliche Veröffentlichung von Daten
- Vertauschen von Betroffenendaten
- Versehentliches oder absichtliches Löschen oder Vernichten von personenbezogenen Daten
- Versehentliches oder absichtliches Verändern von personenbezogenen Daten
BLOG-TIPP: DATENPANNE: E-MAIL FALSCH VERSCHICKT, WAS TUN?
Meldepflichten einer Datenpanne durch Unternehmen
Je nachdem welche Datenpanne vorliegt, entsteht eine Meldepflicht für das Unternehmen. Diese Meldepflicht kann gegenüber der Aufsichtsbehörde und gegenüber dem Betroffenen entstehen. Dabei ist es egal ob die Datenpanne durch das Unternehmen selbst oder durch einen Drittanbieter verursacht wurde.
Die Aufsichtsbehörde in Nordrheinwestfalen ist die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI) NRW.
Was ist eine Datenpanne?
Eine Datenpanne liegt dann vor, wenn die Sicherheit der personenbezogenen Daten durch einen Vorfall verletzt wurde. Dabei kommt es zur Vernichtung, zum Verlust, zur Veränderung der betroffenen Daten oder zu einem unbefugten Zugriff.
Risiko für Betroffene einschätzen
Zur Beurteilung im Umgang mit der Datenpanne, spielt das Risiko für den Betroffenen eine maßgebliche Rolle. Wenn eine Datenpanne voraussichtlich zu einem Risiko für die Rechte und Freiheit des Betroffenen führt, dann muss diese gegenüber der Datenschutzaufsichtsbehörde gemeldet werden.
Besteht durch die Datenpanne voraussichtlich ein hohes Risiko für den Betroffenen, muss der Verantwortliche außerdem die betroffene Person über die Datenpanne informieren.
Entsprechende negative Folgen für den Betroffenen können zum Beispiel sein:
- Bloßstellung oder Diskriminierung
- Identitätsdiebstahl oder Betrug
- wirtschaftliche Nachteile
- finanzieller Schaden
- Rufschädigung
- Verlust des Arbeitsplatzes
- Existenzgefährdung
Risikoanalyse
Um das Risiko für den Betroffenen einschätzen zu können, sollte das Risiko zum Beispiel mittels einer Matrix beurteilt werden. Dabei bietet es sich an die potentielle Schadenshöhe und das Eintrittsrisiko zu bewerten. In der Matrix kann man dafür einen Grenzwert festlegen.
Für eine genaue Erstellung einer Bewertungsmatrix und der Durchführung einer Risikoanalyse sollte ein Fachmann wie der (externe) Datenschutzbeauftragte hinzugezogen werden.
ACHTUNG: Frist beachten
Nach der Kenntnis der Datenpanne muss diese unverzüglich aber spätestens nach 72 Stunden gemeldet werden. Diese Frist gilt auch für Wochenenden und Feiertage. Nur in begründeten Ausnahmefällen ist eine spätere Meldung möglich.
Konzept zur reibungslosen Meldung
Um die Meldefrist einzuhalten, sollte jeder Verantwortliche ein Konzept entwickeln, wie mit einer Datenpanne umgegangen werden muss. Dort sollte festgelegt werden, welche Abläufe bei einer Datenpanne notwendig sind.
Bußgelder bei Datenpannen
Wenn Datenpannen verspätet, nicht ausreichend oder gar nicht gemeldet werden, drohen empfindliche Strafen für die Organisationen.
Der (externe) Datenschutzbeauftragte hat die Aufgabe darauf hinzuwirken, den Datenschutz ausreichend umzusetzen. Dabei berät er den Verantwortlichen bei den Maßnahmen. Daher sollte er auch in die Umsetzung von Konzepten involviert werden.
BLOG-TIPP: MELDEPFLICHTIGE DATENPANNEN – SCHADENSERSATZANSPRÜCHE
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.