News

Keine Sommerpause im Datenschutz - Datenschutzpannen vermeiden. FKC Consult GmbH

Datenschutz kennt keine Sommerpause

Kategorie: Datenschutz

Sommerpause im Datenschutz? Von wegen? Heute: Datenschutzpanne!

Irgendwie haben wir alle eine Schlagzeile im Kopf, bei der die umgangssprachliche Bezeichnung der Verletzung des Schutzes von personenbezogenen Daten mit einem der gigantischen Tech-Konzerne in Verbindung gebracht wurde und an die Öffentlichkeit gelangt ist. Wir alle haben horrende Bußgelder in siebenstelligen Bereich vor Augen und wünschen uns als Unternehmer*in oder auch als betroffene Person, dass wir zukünftig weiterhin nur aus den Medien mit einer Datenpanne in Kontakt geraten. 

Aber was genau verbirgt sich hinter einer sogenannten Datenschutzpanne, was müssen die Verantwortlichen beachten, welche Schritte müssen eingeleitet werden und was für Folgen können aus ihr entstehen, wenn tatsächlich der Fall der Fälle eingetreten ist?
Dieser Artikel soll einen Einblick und Verständnis für einen Ablauf bei Eintritt des Ernstfalles ermöglichen. 

1. Der Begriff Datenpanne

Der Begriff „Datenpanne“ ist umgangssprachlicher Natur. Laut dem Gesetz handelt es sich um einen Datenschutzverstoß, wenn eine Verletzung des Schutzes von personenbezogenen Daten stattgefunden hat, Art. 33 Abs. 1 DSGVO.

Eine Verletzung des Schutzes von personenbezogenen Daten liegt vor, wenn eine Verletzung, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. 
Kurz: Wenn unberechtigte Dritte Zugriff auf personenbezogene Daten erhalten haben und ein direkter Zugriff nicht ausgeschlossen werden kann.
 
Folgend ein paar Beispiele für einen Datenschutzvorfall:

  •  Verlust oder Diebstahl von Speichermedien oder Dokumentationen, die personenbezogene Daten enthalten
  •  Datenpannen / Datenlecks (z.B. Angriffe auf das IT-System durch Dritte, Softwarefehler)
  • Versehentliche Änderung personenbezogener Daten oder bei Löschung
  • Unrechtmäßige Übermittlung (z. B. Versand eine E-Mail an den falschen Adressaten 

2. Meldepflicht

Im Falle einer Datenpanne, also im Falle einer Verletzung des Schutzes personenbezogener Daten, ist der Verantwortliche seit der Einführung der Datenschutzgrundverordnung dazu verpflichtet, unverzüglich, nachdem ihm die Verletzung bekannt geworden ist, diese der zuständigen Aufsichtsbehörde melden. 
Die Meldung hat binnen 72 Stunden nach Bekanntwerden der Datenschutzpanne zu erfolgen. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. 

Unter dem Verantwortlichen ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, zu verstehen.   

3. Einschränkung der Meldepflicht

Der Gesetzgeber hat eine Ausnahme der Meldepflicht in der DSGVO aufgenommen. Gemeldet werden müssen keine Datenschutzpannen, wenn die Verletzung des Schutzes von personenbezogenen Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. 
Ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, wenn ihnen Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile drohen.

4. Der Vorgang bei Eintritt einer Datenschutzpanne

Der Vorgang der Meldung der Datenschutzpanne gegenüber der zuständigen Aufsichtsbehörde wird durch Kenntniserlangung des Datenschutzvorfalls in Gang gesetzt. In einem Betrieb sollte unter den Betriebszugehörigen eine Meldekette etabliert sein, damit schnell gehandelt werden kann. 

Falls nach grober Prüfung der zuständigen Personen nicht von vornherein ausgeschlossen werden kann, dass personenbezogene Daten betroffen sind, müssen die Geschäftsführung, der Datenschutzbeauftragte und die interne IT-Abteilung informiert werden. Es sollte daher in einem Betrieb ein Ablauf festgelegt werden, der bei Eintritt des Ernstfalles abgerufen wird. 

Zu empfehlen ist, dass betriebsintern ein Datenschutzkoordinator benannt wird. Dem Datenschutzkoordinator kommt bei diesem Prozess die Aufgabe der Koordinierung und Information der Beteiligten zu.  Die rechtliche Prüfung des Vorfalls obliegt dem Datenschutzbeauftragten.  
Letztendlich trifft die Geschäftsführung die abschließende Entscheidung, ob ein Vorfall bei der zuständigen Aufsichtsbehörde gemeldet wird oder nicht.  

5. Meldung an den Betroffenen

Zudem muss geprüft werden, ob die betroffene Person informiert werden muss. Die betroffene Person ist diejenige, deren Daten beispielsweise unrechtmäßig durch Diebstahl oder Hacking an eine dritte Person gelangt sind. Eine Meldung muss jedoch nicht immer erfolgen. Im Vergleich zu den Anforderungen der Meldung an die Aufsichtsbehörde sind die Anforderungen höher anzusetzen: Sie ist nur dann vorgeschrieben, wenn voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person besteht. Ob ein derartiges hohes Risiko besteht, wird ebenfalls anhand einer Risikoabwägung festgestellt. 

6. Maßnahmen und Risiken

Beim Eintritt eines Datenschutzvorfalls ist schnelles Handeln gefragt. Vor allem müssen umgehend Maßnahmen ergriffen werden, damit die Lücken geschlossen werden, die zu der Verletzung des Schutzes der personenbezogenen Datengeführt haben. Welche Risiken mit einer Datenpanne einhergehen, hängt von mehreren Faktoren ab. Im Allgemeinen gilt: Je größer die Auswirkungen für die Betroffenen, desto höher das Risiko aus Sicht des Unternehmens und desto höher kann ein entsprechendes Bußgeld durch die Aufsichtsbehörde verhängt werden, wenn falsch gehandelt wird. 

Die beste Risikominimierung verspricht ein ganzheitliches Datenkonzept. Dieses umfasst Maßnahmen, die auf verschiedenen Ebenen angesiedelt sind und alle relevanten Bereiche innerhalb einer Organisation abdecken.

7. Fazit: Unverzügliches und koordiniertes Handeln ist von Vorteil

Wenn es in Ihrem Betrieb zu einem Datenschutzvorfall kommt, ist schnelles und vor allem koordiniertes Handeln angesagt. Ein Meldesystem mit gewissen Meldeketten muss im Unternehmen implementiert sein. 

Letztendlich kommt es auf Ihr Verhalten an, wenn es zu einem Datenschutzvorfall kommt. Es sollte weder Zeit verstreichen, noch sollten die formalen und inhaltlichen Anforderungen an eine Meldung ignoriert werden. Wer sich exakt an die Regeln hält, handelt taktisch gut und klug und sorgt u.a. auch trotz Panne für eine gute Reputation. Eine sorgfältige und detaillierte Dokumentation ist nicht nur wichtig, sondern ausschlaggebend.  

Wenden Sie sich an uns!

Wenden Sie sich in jedem Fall an Ihren Berater von FKC um präventive Maßnahmen zu ergreifen! 
Im Ernstfall ist es oft zu spät, um in der kurzen Frist richtig zu reagieren, wenn keine Vorbereitungen, getroffen worden sind. Wir stehen Ihnen selbstredend zur Seite, um alle Regularien einzuhalten und schnellstmöglich, strukturiert und effizient eine Verletzung des Schutzes von personenbezogenen Daten zu bearbeiten, Risiken mit Ihnen gemeinsam zu bewerten, Maßnahmen zu ergreifen und letztendlich bei einer vorliegenden Meldepflicht richtig vorzugehen. 

 

datenschutzberatung@fkc-gmbh.de

Nutzen Sie unsere Tipps als Aushang für Ihre Mitarbeiter

Gerne teilen wir unser Wissen mit Ihnen und bieten Ihnen unsere Informationen als Download:
AI_Datenschutz_0822.pdf08.2022AI_Datenschutz_0822.pdf (317 KB)