Wie geht man bei einem Datenschutzvorfall vor?

Während einige Unternehmen Datenschutzvorfälle sammeln wie Pokémon-Karten, sind sie in anderen wie das Einhorn der Compliance und wurden noch nie gesichtet. Fakt ist: Praktisch jedes Unternehmen, jeder Verein und jede Organisation verursacht Datenschutzvorfälle. Der große Unterschied ist, wie gut man darin ist, diese als solche zu erkennen. Ein Datenschutzvorfall oder auch „Datenpanne“ genannt, ist ein Ereignis, bei dem die Regeln der DSGVO im Umgang mit personenbezogenen Daten natürlich identifizierbarer Personen (Betroffene) verletzt wurden. Dies muss nicht die filmreife Hackerattacke sein, bei der sich ein Angreifer unter Umgehung von drei Firewalls Zugang zu ihren Geburtstagslisten verschafft – ein Vorfall beginnt schon beim Verlust eines USB-Sticks oder dem Versand einer E-Mail oder eines Briefes an eine falsche Adresse. Art. 4 Abs. 12 DSGVO definiert die „Verletzung des Schutzes personenbezogener Daten“ als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Die meisten Datenschutzvorfälle geschehen unbeabsichtigt durch Verwechslungen, in Eile, aus Nachlässigkeit oder weil die Autokorrektur bei der Adresseingabe macht, was auch immer sie macht. So banal dies auch für manche Verantwortliche zu scheinen mag, nicht gemeldete Datenschutzvorfälle sind wie Krümel, die beim Fegen unter dem Sofa landen – unangenehm wird es erst, wenn einer nachschaut. Es gibt eine gesetzliche Pflicht zur Erfassung, Bewertung und Meldung solcher Vorfälle. Wenn Sie einmal schnell bei „den Großen Mitspielen“ wollen, dann sind Datenschutz-Bußgelder aufgrund nicht gemeldeter Vorfälle ein möglicher Ansatzpunkt.

WIE REAGIERE ICH BEI EINER DATENPANNE?

Haben Sie den Datenschutzvorfall identifiziert, ist zunächst Ruhe zu bewahren und die Meldekette einzuhalten. Der erste Schritt ist, die verantwortliche Person, z. B. die Geschäftsführung sowie den Datenschutzbeauftragten (DSB) in Kenntnis über den Datenschutzvorfall zu setzen. Datenschutzvorfälle liegen zu lassen ist, wie Wäsche nicht aus der Maschine zu holen, irgendwann mieft es. Wichtig ist deshalb, den Fall unverzüglich nach Eintritt intern zu melden. Selbst wenn Sie sich nicht sicher sind, ob es ein Datenschutzvorfall ist, ist es empfehlenswert trotzdem den Prozess anzustoßen und die genaue Feststellung im Rahmen der Untersuchung zu treffen. Im nächsten Schritt bewerten Verantwortliche und DSB den Vorfall, führen eine Risikoabschätzung durch und leiten adäquate Maßnahmen ein. Die Risikoabschätzung und der Vorfall sollten dokumentiert werden. Wird festgestellt, dass der Vorfall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, ist dieser Fall bereits mit der Dokumentation abgeschlossen – er ist nicht meldepflichtig. Art. 33 und 34 DSGVO normieren diese Regelungen. Ist der Datenschutzvorfall hingegen meldepflichtig, muss dieser innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde mit den notwendigen Informationen gemeldet werden: Was ist vorgefallen, welche Datenkategorien sind betroffen, welche Personen sind betroffen, Kontaktdaten des DSB, wahrscheinliche Folgen, welche Maßnahmen getroffen werden, Zeitpunkt des Vorfalls und ob Betroffene bereits informiert wurden. Die Meldung an die zuständige Aufsichtsbehörde wird mit dem DSB abgestimmt und wird von diesem bei der Behörde eingereicht. Wichtig für alle, die gerne freitags früher gehen: Wochenende schützt vor Strafe nicht und selbst Weihnachten ist der Frist nicht heilig. Tun Sie sich und Ihrem DSB daher einen Gefallen und melden immer zeitnah.

WAS PASSIERT NACH DER MELDUNG?

Die Rückmeldung der Aufsichtsbehörde kann länger dauern, oder auch ganz ausbleiben. Im letzten Fall wurden die getroffenen Maßnahmen als ausreichend bewertet. Nach dem Datenschutzvorfall ist nicht vor dem Datenschutzvorfall. Setzen Sie daher die getroffenen Maßnahmen zeitnah um und sensibilisieren Sie Ihre Mitarbeiter, z. B. durch Schulungen der DEUDAT-Akademie gegen Phishing und Social Engineering, um das Risiko weiterer Vorfälle zu minimieren. Für Rückfragen rund um die Dokumentation und Meldung von Datenschutzvorfällen wenden Sie sich gerne an Ihren persönlichen DEUDAT-Ansprechpartner.

Über die DEUDAT GmbH

DEUDAT GmbH – Datenschutz und Informationssicherheit

Als inhabergeführtes Unternehmen können wir in der Geschäftsführung auf über 25 Jahre Erfahrung im Bereich Datenschutz und Informationssicherheit zurückblicken. Unser Team aus Experten und Rechtsanwälten ist darauf spezialisiert, Ihnen bei der Einführung, Umsetzung und Aufrechterhaltung eines angemessenen Datenschutzniveaus zu helfen und Sie bei sämtlichen Fragen in Sachen Datenschutz und Informationssicherheit vollumfänglich und unabhängig von der Branche, Größe oder Ausrichtung Ihres Unternehmens zu beraten.

Wir zeigen Ihnen, wie Sie die damit verbundenen Herausforderungen mit dem entsprechenden Know-how und einer geeigneten Organisationsstruktur sicher und einfach meistern – und vor allem: welche Chancen Ihnen ein professioneller Datenschutz bietet. Was bei unserer Zusammenarbeit entsteht, ist mehr als nur eine Problemlösung oder Risikominimierung. Wir entwickeln gemeinsam mit Ihnen Werkzeuge, die zu Ihrem Unternehmenserfolg beitragen und stehen Ihnen als starker Partner zur Seite.

Dabei ist unser Leitmotiv für uns maßgebend: Einfach, sicher, gut beraten.

Firmenkontakt und Herausgeber der Meldung:

DEUDAT GmbH
Zehntenhofstraße 5b
65201 Wiesbaden
Telefon: +49 (611) 950008-40
Telefax: +49 (611) 950008-59
http://www.deudat.de

Ansprechpartner:
Philip Reichardt
E-Mail: philip.reichardt@deudat.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel