Datenschutzpanne – was tun?

Menschliche Fehler, fehlende organisatorische oder technische Maßnahmen oder gezielte Angriffe durch Hacker sind häufige Gründe für meldepflichtige Datenschutzvorfälle. Bei einer Datenschutzverletzung personenbezogener Daten spielt es keine Rolle, ob diese verbotenerweise oder unbeabsichtigt passiert ist. Erfahren Sie wie Sie richtig reagieren.

Ituso (0780)-lr

Was zählt zu den sogenannten Datenschutzpannen?

atenschutzpannen sind weit gefächert. Kurz gesagt erhalten Unbefugte Zugriff auf personenbezogene Daten oder Betriebsinterna. Auch unerwünschtes Löschen von Daten gehört dazu. Das Eindringen Unbefugter und die mögliche Verbreitung sensibler Daten aufgrund eines Datenlecks kann für ein Unternehmen wirtschafts- und imageschädigend sein. Betroffenen können dadurch persönliche, finanzielle Schäden bis hin zum Identitätsdiebstahl entstehen. Je nach Schwere des Vorfalls ist dieser meldepflichtig an die Aufsichtsbehörde.

Hier einige Beispiele für Datenpannen:

  • ein vergessener Laptop in der Bahn
  • liegengelassene Unterlagen mit personenbezogenen Daten im Meetingraum
  • eine E-Mail an einen großen Verteiler, in der jeder alle E-Mailadressen überblicken kann und vertrauliche Adressen offengelegt werden
  • Daten wurden vernichtet
  • Verbreitung von personenbezogenen Daten
Florian_Padberg_lr

„Bei einer Datenpanne muss man nicht sofort in Panik verfallen. Viel mehr geht es darum den Vorfall richtig einzuordnen, einzuschätzen und strukturiert die entsprechenden Schritte einzuleiten. Wir helfen Ihnen gerne dabei.“

—Florian Padberg
Geschäftsführer

Wie entdeckt man eine Datenpanne?

Es gibt verschiedene Möglichkeiten, Datenpannen festzustellen. Diese können zum Beispiel bei der regulären Nutzung oder Kontrolle des IT-Systems auffallen oder Kunden oder Dritte melden merkwürdige E-Mails. Möglicherweise meldet sich ein Mitarbeiter, dass eine E-Mail an den falschen Empfänger versendet wurde oder ein Laptop oder Handy mit sensiblen Daten wurde gestohlen. Die genannten Beispiele sind nur einige Möglichkeiten eine Datenschutzverletzung aufzudecken.

3 wichtigste Punkte zum Datenschutzverstoß

Aufmerksamkeit

Sie und Ihre Mitarbeiter sollten sensibilisiert sein, damit mögliche Datenschutzpannen innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet werden können.

Vorbereitung

Stellen Sie bereits jetzt ein Datenpannen-Team zusammen und beherrschen Sie Ihr Risiko-Management-System.

Konsequenz

Die unmittelbare Reaktion und Kooperation wird von der Aufsichtsbehörde in Ihrer Bußgeldentscheidung positiv bewertet. Seien Sie also konsequent und handeln umgehend.

Was bei einer Datenpanne? Die konkreten Schritte

Nach Feststellen einer Datenpanne müssen bestimmte Maßnahmen ergriffen werden. Ein meldepflichtiger Verstoß muss der Aufsichtsbehörde innerhalb der ersten 72 Stunden nach Bekanntwerden des Datenschutzvorfalls gemeldet werden. Aus diesem Grund sollte umgehend der Datenschutzbeauftragte und die Geschäftsführung informiert werden, um eine sofortige Analyse zu starten.

Die Verantwortlichen, unter anderem der Datenschutzbeauftragte, müssen nun die Datenschutzverletzung genau analysieren und dafür bestimmte Informationen sammeln. Folgende Fragen müssen geklärt werden:

  • Wie groß ist das Problem? Wie viele Betroffene und wie viele Datensätze?
  • Welche Systeme sind betroffen?
  • Was für Daten sind betroffen?
  • Wurde die Datenschutzverletzung schon gestoppt oder eingedämmt?
  • Wie hoch ist das entstandene Risiko?
  • Ist bereits ein Schaden entstanden?

Nach ausführlicher Analyse muss entschieden werden, ob eine Meldepflicht an die Aufsichtsbehörde besteht oder der Datenschutzvorfall bereits eingedämmt ist und keine „Gefahr“ besteht. Sind Risiken für die Betroffenen feststellbar, müssen auch diese informiert werden.

Wenn z. B. die Daten auf einem Laptop aufgrund von vorher getroffenen technischen Maßnahmen stark verschlüsselt waren, ist eine Kommunikation an die Betroffenen vermutlich nicht notwendig.

Was ist meldepflichtig?

Wenn Sie sich fragen, welcher Sachverhalt meldepflichtig ist, sollten Sie sich folgende Fragen stellen:

  • Wurden personenbezogene Daten unwiderruflich gelöscht?
  • Wurden personenbezogene Daten unberechtigt veröffentlicht?
  • Wurden personenbezogene Daten ohne Erlaubnis beschädigt oder verändert?

Wenn Sie eine dieser Fragen mit „Ja“ beantworten können, dann handelt es sich um eine Datenschutzpanne und die oben genannten Maßnahmen müssen ergriffen werden.

Was passiert bei Nichtmeldung?

Wenn Sie einen meldepflichtigen Datenschutzvorfall nicht der Aufsichtsbehörde melden und dies rauskommt, kann ein Bußgeld verhängt werden. Es reicht bereits ein verärgerter Kunde oder ehemaliger Mitarbeiter, der Sie anschwärzt.

Die Höhe des Bußgeldes hängt von der jeweiligen Datenschutzbehörde ab. Es sollte abschreckend wirken, aber nicht existenzbedrohend. Schadenshöhe, Risiko, Verstoßdauer und andere Faktoren werden in die Berechnung einbezogen und ergeben einen individuellen zu zahlenden Betrag.

Datenschutzpanne vermeiden

Nicht jeder Datenschutzvorfall kann vollständig verhindert werden, aber im besten Fall können Bußgelder, rechtliche Sanktionen und Negativpresse verhindert werden. Der Datenschutzbeauftragte kann dafür sorgen, dass entsprechende Konzepte bereits im Vorhinein ergriffen werden und die EU-Datenschutzgrundverordnung befolgt wird.

Sie sollten sich über die möglichen Datenschutzverletzungen im Klaren sein, damit sie Ihnen auffallen. Auch die Mitarbeiter sollten über potenzielle Datenpannen und ihre Vermeidung Bescheid wissen. Zudem sollte Ihr Unternehmen einen Reaktionsplan haben, wie im Falle eines Datenlecks zu verfahren ist, damit möglichst schnell gehandelt und der Schaden begrenzt werden kann.