Datenpannen - Erste Hilfe für Unternehmen in NRW

Verletzung des Schutzes personenbezogener Daten kann jeden treffen

Der Datenschutz in einer Organisation spielt immer eine wichtige Rolle. Auch wenn der Verantwortliche in Zusammenarbeit mit (externen) Datenschutzbeauftragten alle gesetzlichen Vorgaben ausreichend umgesetzt hat und alle technischen und organisatorischen Maßnahmen (TOM) greifen: „eine Verletzung des Schutzes personenbezogener Daten“ – oft als Datenpanne bezeichnet – kann trotzdem vorkommen.

Dabei gibt es verschiedene Szenarien, die auch bei noch so guter Umsetzung des Datenschutzes, eine Datenpanne darstellen können. Worauf dabei zu achten ist und wie man eine Datenpanne beurteilen kann, möchten wir in diesem Artikel einmal genauer beleuchten.

Wie entstehen Datenpannen?

Eine Datenpanne kann – auch bei ausreichenden Sicherheitsvorkehrungen zum Beispiel in Form von TOMs jeden treffen. Beispiele hierfür können sein:

  • Hackerangriffe jeglicher Art
  • Verlust von Datenträgern, Smartphones, Notebooks usw.
  • Falsch versendete E-Mails (z.B. falscher Empfänger, falscher Anhang)
  • Falsch versendete Faxe und Briefe
  • Versehentliches/absichtliches Löschen von personenbezogenen Daten

Datenpannen können durch gezielte Angriffe wie Hackerangriffe, Phishing-Mails oder -Anrufe, Einbrüche usw. erfolgen, aber auch unbeabsichtigt sein.

BLOG-TIPP: HACKERANGRIFFE UND DIE DS-GVO – WENN PERSONENBEZOGENE DATEN VERLOREN GEHEN

Datenpanne – eine Definition

Eine Datenpanne liegt dabei dann immer vor, wenn personenbezogene Daten in irgendeiner Form betroffen sind und für den Betroffenen dadurch ein Risiko entsteht. Es handelt sich nicht nur um eine Datenpanne, wenn die personenbezogenen Daten in die Hände Unbefugter gelangen, sondern auch dann, wenn durch den Verlust der Daten ein Risiko für den Betroffenen entsteht.

Daher muss immer dann, wenn personenbezogene Daten in einen Vorfall involviert sind, beurteilt werden, welches Risiko für den Betroffenen dadurch besteht. Klassischer Weise denken wir dabei immer an Diebstahl von personenbezogenen Daten, die dann ein Risiko für den Betroffenen darstellen, weil seine Daten missbraucht oder veröffentlicht werden.

Aber auch die versehentliche bzw. unrechtmäßige Löschung von personenbezogenen Daten kann für den Betroffenen einen Nachteil oder sogar ein Risiko darstellen. Denken wir einmal daran, dass durch den Verlust von personenbezogenen Daten zum Beispiel Nachteile für den Betroffenen entstehen können, zum Beispiel bei Verträgen, möglichen Krediten usw.

Daher muss jede Art von Unrechtmäßiger Verarbeitung, Verlust usw. von personenbezogenen Daten als eine Verletzung des Schutzes personenbezogener Daten gewertet werden.

Interner und externer Verlust von Daten

Dabei ist es egal, ob der Verlust der Daten, in welcher Form auch immer intern oder extern erfolgt ist. Egal ist auch, ob er mutwillig durch einen Hackerangriff oder eben auch durch einen Mitarbeiter herbeigeführt wurde oder aus Versehen, wegen Unachtsamkeit usw. herbeigeführt wurde.

Für die Beurteilung, ob eine Datenpanne, die im Sinne des Datenschutzes behandelt werden muss, vorliegt ist es also erst einmal egal, wie und warum diese passiert ist, sondern in erster Linie, ob personenbezogene Daten eines oder mehreren Betroffenen involviert sind.

Eine Datenpanne liegt vor – und jetzt?

Sind personenbezogene Daten in einen Vorfall verwickelt, muss im Sinne des Datenschutzes reagiert werden. Das bedeutet es gibt mehrere Pflichten, die sich für den Verantwortlichen aus dieser Datenpanne heraus ergeben.

Elementar ist dabei sicher die Bewertung des Risikos für den Betroffenen, die aus der unrechtmäßigen Verarbeitung (dazu gehören auch die Löschung und der Verlust) hervorgeht. Es muss dabei beurteilt werden, welches Risiko für die Rechte und Freiheiten des Betroffenen entstehen könnten und welcher Schaden der Datenverlust für den Betroffenen darstellen kann.

Betroffener ist nicht nur der Kunde

Was dabei nicht vergessen werden darf: Ein Betroffener ist dabei nicht nur ein Kunde oder Interessent, Schüler, Lieferanten oder sonstige Personen, die als Externe zu bewerten sind. Auch Mitarbeiter und andere Personen, die in einer Organisation zu finden sind, stellen Betroffene dar – auch ihre personenbezogenen Daten werden verarbeitet und können im Falle einer Datenpanne betroffen sein. Sie sind also auch Betroffene im Sinne des Datenschutzes.

BLOG-TIPP: DATENSCHUTZ-AUSKUNFTSRECHT BEI BESCHÄFTIGTEN

Risikobewertung bei Datenverlust

Um zu beurteilen, welches Risiko für den Betroffenen von der Datenpanne ausgeht, macht es Sinn eine sogenannte Risikomatrix zu verwenden. Dabei werden mögliche Schadenshöhe und Eintrittswahrscheinlichkeit miteinander multipliziert und ergeben so einen Wert zur Risikobewertung.

Zu dieser Risikobewertung rät auch die Datenschutzkonferenz (DZK) in einem Kurzpapier vom 26.04.2018.

Meldung bei der Aufsichtsbehörde

Ob eine Meldung der Datenpanne an den Betroffenen erfolgen muss, hängt von dem Risiko im Einzelfall ab. Durch die Risikoermittlung in der Risikomatrix kann bei einem bestimmten Schwellwert das individuelle Risiko des Betroffenen ermittelt werden.

Ist das Risiko als hoch einzustufen, muss der Betroffene über die Datenpanne informiert werden. Dies sollte in jedem Fall durch einen Fachmann im Bereich Datenschutz beurteilt werden.

In jedem Fall ist eine Meldung bei der entsprechenden Aufsichtsbehörde meist zwingend notwendig. In NRW erfolgt eine solche Meldung an die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW). Dies kann zum Beispiel durch ein Onlineformular auf der Homepage erfolgen. Auch hier sollte der (externe) Datenschutzbeauftragte in jedem Fall hinzugezogen werden.

Achtung: Die Meldung der Datenpanne an die Aufsichtsbehörde muss innerhalb von 72 Stunden nach Kenntnis der Verletzung erfolgen. Eine spätere Meldung ist nur in Ausnahmefällen möglich, die begründet werden müssen.

Einhaltung der Meldepflichten

Wer die Frist für die Meldung der Datenpanne nicht einhält, die Datenpanne gar nicht oder nur unvollständig an die Aufsichtsbehörde meldet, der muss mit einem Bußgeld rechnen. Dieses Bußgeld kann bis zu 10.000.000 € oder 2% des weltweiten Jahresumsatzes betragen.

Daher ist es sinnvoll, bereits im Vorfeld ein Konzept bzw. Ablauf zu erarbeiten, welches/welcher im Fall einer Datenpanne greift. Dieser Ablauf sollte neben der Vermeidung von Datenpannen und der Umsetzung des Datenschutzes, regelmäßig in Zusammenarbeit mit dem (externen) Datenschutzbeauftragten (DSB) geprüft und angepasst werden und schriftlich festgelegt sein.

Hierbei sollte der Meldeweg einwandfrei definiert sein, die Einhaltung der Fristen sichergestellt und alle zuständigen Personen informiert werden. Außerdem sollte festgelegt werden, wie der DSB in diese Prozesse eingebunden wird.

Zusammenfassung – Checkliste Datenpanne

Zusammenfassend kann man kurz folgende Schritte bei einer Datenpanne in einer Checkliste erfassen:

  • Was ist passiert?
  • Sind personenbezogene Daten betroffen?
  • Sofortige Meldung an den (externen) Datenschutzbeauftragten
  • Interne Dokumentation des Vorfalls
  • Prüfung, welche Meldepflichten eingehalten werden müssen
  • Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Datenpanne (Meldepflicht bei einer Datenpanne)
  • Risikoabschätzung für den Betroffenen
  • Bei hohem Risiko für den Betroffenen, zusätzliche Meldepflicht an den Betroffenen
  • Erarbeitung und Dokumentation weiterer Schritte, um einen solchen Vorfall in Zukunft zu vermeiden
  • Zusammenarbeit mit der Aufsichtsbehörde: Meldung und Dokumentation von Datenpanne, weiteren Schritten und zukünftigen Maßnahmen zu Vermeidung

Legen Sie dabei auch fest, wie die Abläufe bei einer Datenpanne sind und wie eine fristgerechte und vollständige Meldung erfolgen kann. Ebenso sollten Muster der Meldung sowohl gegenüber der Aufsichtsbehörde als auch gegenüber der Betroffenen vorliegen und alle nötigen Mitarbeiter darüber informiert sein.

Komplexe Prozesse – Datenpanne

Der Datenschutz verfolgt in erster Linie das Ziel, die personenbezogenen Daten und damit den Betroffenen vor Schaden zu schützen. Auch bei größter Aufmerksamkeit und der Umsetzung aller gesetzlichen Vorgaben, kann eine Verletzung des Schutzes personenbezogener Daten also trotzdem vorkommen.

Daher ist es besonders wichtig, nicht nur den Schutz umzusetzen, sondern auch auf eine mögliche Datenpanne vorbereitet zu sein, um dann schnellstmöglich Schaden vom Betroffenen abzuwenden oder diesen möglichst gering zu halten, aber auch die Meldepflichten konkret durchzuführen. Gerade bei Datenpannen sollte man jegliche Konzepte im Umgang mit einem Fachmann, hier der (externe) Datenschutzbeauftragte, entwickeln. Dieser ist bereits bei der Vermeidung von Datenpannen der richtige Ansprechpartner.

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.

Wir betreuen Mandanten in KölnDüsseldorfSiegen, Bonn, Siegburg und ganz NRWLesen Sie mehr zu unserem individuellen Angebot.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

Verdacht auf Datenpannen – was tun?
Markiert in:             
Anfrage