Datenschutzanzeige? So reagieren Sie richtig

In der Europäischen Datenschutzgrundverordnung (DSGVO) sind genaue Datenschutzregelungen zum Umgang mit personenbezogenen Daten festgehalten, an die alle Unternehmen innerhalb der EU sich halten müssen. Die DSGVO ist mit ihren 99 Artikeln nicht nur sehr umfangreich, sondern unterliegt auch ständigen Anpassungen und Änderungen.

In Artikel 32 DSGVO wird angegeben, welche Anforderungen Ihr Unternehmen erfüllen muss:

• Sie müssen personenbezogene Daten pseudonymisieren und verschlüsseln.
• Sie müssen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.
• Sie müssen fähig sein, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
• Sie benötigen ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Sie brauchen also ein effektives Datenschutzmanagementsystem, Richtlinien zur DSGVO-konformen Verarbeitung, Speicherung und Löschung personenbezogener Daten und müssen personenbezogene Daten vor einem Zugriff durch Unbefugte schützen. All diese Anforderungen bringen auch ein hohes Risiko von Fehlern bei der Umsetzung der DSGVO mit sich.

Als Unternehmer ist es kaum möglich, sich neben dem Kerngeschäft das nötige Wissen rund um die DSGVO anzueignen, sich stets auf dem Laufenden zu halten und bei Bedarf entsprechende Datenschutzmaßnahmen umzusetzen. Trotz aller Bemühungen ist es da schnell passiert, dass eine Datenschutzabmahnung in Ihren Briefkasten flattert.

• Sind Ihr Impressum oder die Datenschutzerklärung unvollständig?
• Arbeiten Sie mit Diensten, die nicht DSGVO-konform sind, zum Beispiel mit US-amerikanischen Diensten?
• Wurden personenbezogene Daten versehentlich an Unbefugte weitergeleitet?

Was auch immer der Grund für die Abmahnung ist: Nun müssen Sie schnell und richtig handeln. Auf der sicheren Seite stehen Sie, wenn Sie sich an folgenden Ablauf halten: Stellen Sie sich zunächst die Frage:

• Werden durch den Datenschutzverstoß die Rechte und Freiheiten Betroffener verletzt?

Um den Sachverhalt zu klären, dient dieses Kurzpapier der Datenschutzkonferenz als erste Orientierung. Dennoch sollten Sie umgehend Ihren internen oder externen Datenschutzbeauftragten konsultieren.

Sie können die Frage mit „nein“ beantworten? Sehr gut! Nun müssen Sie erst einmal nichts weiter tun.

Sie müssen die Frage leider mit „ja“ beantworten?

Nun müssen Sie diese innerhalb von 72 Stunden diese 7 Dinge tun:

1. Melden Sie den Datenschutzverstoß umgehend der zuständigen Aufsichtsbehörde. Das gilt auch dann, wenn schon mehr als 72 Stunden seit dem Datenschutzverstoß vergangen sind.

In diesem Fall sollten Sie die Verzögerung nachvollziehbar begründen.

2. Nennen Sie der Aufsichtsbehörde den Namen und die Kontaktdaten Ihres Datenschutzbeauftragten.
3. Legen Sie der Aufsichtsbehörde in groben Zügen dar, um welche Art von Datenschutzverstoß es sich handelt und wann dieser vorgefallen ist. Liefern Sie außerdem eine Einschätzung, wie hoch die Zahl der Betroffenen ist und um welche Datensätze es geht. Dazu können Sie sich mit Ihrem Datenschutzbeauftragten abstimmen.
4. Geben Sie an, welche Folgen der Datenschutzverstoß für die betroffenen Personen Auch dazu berät Sie Ihr Datenschutzbeauftragter.
5. Falls für die Betroffenen durch den Datenschutzverstoß ein Risiko besteht hinsichtlich der unbefugten Enthüllung ihrer Identität, müssen Sie diese darüber informieren. Wenn in dieser Hinsicht kein Risiko besteht oder die Daten ausreichend verschlüsselt waren, sodass kein Unbefugter darauf zugreifen kann, müssen Sie bis auf die Aufsichtsbehörde niemanden über den Datenschutzverstoß aufklären.
6. Erläutern Sie der Aufsichtsbehörde, welche Maßnahmen zur Schadensbegrenzung oder Behebung des Schadens Sie ergreifen wollen und wie Sie die Ursache für den Datenschutzverstoß untersuchen Dokumentieren Sie alle geplanten Schritte und Maßnahmen sorgfältig und nachvollziehbar.
7. Außerdem spricht es für Sie, wenn Sie der Aufsichtsbehörde einen Plan vorlegen können, wie ein Datenschutzverstoß ähnlicher Art in Ihrem Unternehmen künftig verhindert werden kann.

Sie müssen nicht gleich bei der ersten Meldung des Datenschutzverstoßes alle diese Informationen liefern. Wichtig ist, dass Sie innerhalb der ersten 72 Stunden den Datenschutzverstoß melden und grob beschreiben. Alle weiteren Informationen können Sie nachreichen. So können Sie nach der ersten Meldung an die Aufsichtsbehörde in Ruhe den Vorfall analysieren und die Anzahl der betroffenen Personen und der Datensätze sowie die Folgen des Datenschutzverstoßes abschätzen.

Übrigens: Diese 7 Schritte fallen nicht nur dann an, wenn Sie eine Datenschutzanzeige erhalten haben. Auch ohne Datenschutzanzeige sollte Ihnen ein Datenschutzverstoß in Ihrem Unternehmen nicht entgehen. Wird ein größerer Datenschutzverstoß aufgedeckt, sollten Sie diesen auch aus eigenem Antrieb der Aufsichtsbehörde melden.

Eine DSGVO-Abmahnung flattert in den Briefkasten und Sie sind völlig überfordert? Mit einem Notfallplan im Falle einer Datenschutzanzeige sind Sie gut vorbereitet und können sofort richtig reagieren. Halten Sie im Notfallplan die Antwort auf folgende Fragen fest:

1. An welchen Stellen ist Ihr Unternehmen in technischer und organisatorischer Hinsicht anfällig für Sicherheitslücken und Datenschutzverstöße?
2. Wie kann auf mögliche Datenschutzverstöße reagiert werden?
3. Wie kann das Risiko für Betroffene im Falle eines Datenschutzverstoßes eingeschätzt werden? Hier lohnt sich die Erstellung einer Datenschutzfolgenabschätzung.
4. Welche Maßnahmen können zur Schadensbegrenzung umgesetzt werden?
5. Wer ist der Ansprechpartner für Mitarbeiter, denen ein Datenschutzverstoß aufgefallen ist? Gibt es eine interne Meldestelle für den Hinweisgeberschutz? Der Ansprechpartner ist in der Regel in der Datenschutzbeauftragte.

Stellen Sie den Notfallplan als Dokument allen involvierten Mitarbeitern zur Verfügung. So wissen Sie und Ihre Mitarbeiter, was im Falle einer Datenschutzanzeige oder internen Aufdeckung eines Datenschutzverstoßes zu tun ist und können der Aufsichtsbehörde alle wichtigen Informationen schneller liefern.

Die Vorgaben der DSGVO sind vielfältig und die Regelungen zum Datenschutz sind im stetigen Wandel. Da kommt es durch Unachtsamkeit und fehlendes Fachwissen schnell zu einem Datenschutzverstoß. Im Rahmen einer Datenschutzschulung durch einen Datenschutzexperten erhalten Ihre Mitarbeiter das notwendige Grundwissen zum Thema DSGVO und bekommen einen Leitfaden an die Hand, wie Sie personenbezogene Daten DSGVO-konform verarbeiten. Ihre Mitarbeiter haben die Möglichkeit, dem Experten individuelle Fragen zu stellen. So fällt Ihnen die Datenverarbeitung gemäß der geltenden Richtlinien leichter.

Für Unternehmen ab einer gewissen Größe gilt die Verpflichtung zur Ernennung eines Datenschutzbeauftragten. Ein Datenschutzbeauftragter in Ihrem Unternehmen ist unverzichtbar, wenn es um Datenschutzanzeigen geht. Er hilft Ihnen dabei, den Umfang und das Ausmaß des Datenschutzverstoßes einzuschätzen und übernimmt die Kommunikation mit der Aufsichtsbehörde. Der Datenschutzbeauftragte kümmert sich außerdem um die Planung und Umsetzung von Maßnahmen zur Schadensbegrenzung und Prävention von ähnlichen Vorfällen.

Im Vergleich zu einem Mitarbeiter, der zum internen Datenschutzbeauftragten ernannt wird, bringt ein externer DSB das notwendige Fachwissen und die Kapazitäten mit, um den Datenschutz in Ihrem Unternehmen zu etablieren, zu optimieren und zu kontrollieren. Als externer Datenschutzbeauftragter konzipieren wir ein auf Ihr Unternehmen zugeschnittenes Datenschutzmanagementsystem, mit dem Sie und Ihre Mitarbeiter den Datenschutz DSGVO-konform umsetzen können. Sie können sich auf Ihr Kerngeschäft konzentrieren und das Risiko einer Datenschutzanzeige verringert sich erheblich.