Auch mit der Umsetzung wichtiger Datenschutzmaßnahmen kann es schnell mal zu einer Datenschutzpanne kommen. Dann heißt es: Ruhe bewahren und zügig und gemäß der gesetzlichen Richtlinien handeln. Erfahren Sie, wie Unternehmen bei der Meldung und Behebung einer Datenschutzpanne vorgehen müssen.

Zunächst müssen wir klären, was überhaupt als Datenschutzpanne gewertet wird.

Ein Datenschutzverstoß ist ein Überbegriff für Verstöße in Form einer Verletzung der Richtlinien der Datenschutzgrundverordnung (DSGVO) oder des Bundesdatenschutzgesetzes (BDSG). Eine Datenschutzverletzung bezeichnet konkret Datenschutzverstöße, die zu einer Verletzung des Schutzes personenbezogener Daten führt. Das können Ereignisse sein, durch die vertrauliche Informationen Unbefugten zugänglich gemacht werden, verändert werden oder verloren gehen – kurzum alle Situationen, durch die die Datensicherheit beeinträchtigt wurde. Eine Datenschutzverletzung wird im allgemeinen Sprachgebrauch auch als Datenschutzpanne bezeichnet.

Nach Art. 4 DSGVO ist eine Datenschutzpanne die

„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Die Ursachen für eine Datenschutzpanne können vielfältig sein. Dazu gehören:

• Der Verlust eines USB-Sticks, Smartphones oder einer Festplatte mit sensiblen Daten
• Eine Mail mit sensiblen Informationen wird an den falschen Empfänger verschickt
• Ein Hackerangriff
• Datendiebstahl im Serverraum
• Beschädigung von Datenträgern
• Datenverlust durch Stromausfall

Nur wenn die folgenden Punkte zutreffen, müssen Sie eine Datenschutzpanne melden:

1. Es steht mit Sicherheit fest, dass eine Datenschutzverletzung vorliegt.
2. Personenbezogene Daten wurden offengelegt oder Unbefugte haben auf sie Zugriff
3. Der Zugriff beeinträchtigt die Rechte und Freiheiten der Betroffenen.

Das ist nicht bei jeder Datenschutzpanne der Fall. Es kommt also immer auf den konkreten Einzelfall an. Konsultieren Sie nach einer Datenschutzpanne zuerst Ihren Datenschutzbeauftragten (DSB). Der DSB kann am besten beurteilen, ob eine Meldepflicht vorliegt und welche Maßnahmen getroffen werden müssen.

Ist die Datenschutzpanne meldepflichtig, müssen Sie die zuständige Aufsichtsbehörde innerhalb von 72 Stunden informieren. Schaffen Sie es in dieser Zeit nicht, sollten Sie dafür gute Gründe haben. In jedem Fall ist es jedoch zu empfehlen, sich an den vorgegebenen Zeitraum zu halten. Die Meldung der Datenschutzpanne erfolgt über ein Formular auf der Website der jeweiligen Aufsichtsbehörde.

In Art. 33 DSGVO ist festgelegt, welche Informationen Sie dabei angeben müssen:

1. Beschreiben Sie die Art der Datenschutzverletzung und geben Sie an, wie viele Datensätze und Personen betroffen sind.
2. Geben Sie den Namen und die Kontaktdaten Ihres Datenschutzbeauftragten an. Sind Sie nicht zur Ernennung eines DSB verpflichtet, geben Sie eine andere Kontaktperson an.
3. Schätzen Sie die Folgen der Datenschutzpanne ab und geben Sie diese an.
4. Nennen Sie die bereits ergriffenen oder vorgeschlagenen Maßnahmen, mit denen die Datenschutzpanne behoben und die negativen Folgen gemildert werden sollen.

Diese Information müssen nicht alle sofort angegeben werden. Wichtig ist nur, dass die Aufsichtsbehörde einen ersten Überblick über die Art der Datenschutzpanne erhält und weiß, welche zuständige Person Sie kontaktieren kann. Wenn das Ausmaß der Datenschutzpanne deutlicher wird und weitere Informationen hinzukommen, können Sie diese auch später noch an die Aufsichtsbehörde weitergeben.

In jeder Datenschutzverletzung steckt Verbesserungspotenzial für Ihr Unternehmen. Lernen Sie aus dem Fehler und vermeiden Sie mit Folgemaßnahmen, dass sich das Ereignis wiederholt. Informieren Sie Ihre Mitarbeiter darüber, wie es zu der Datenschutzpanne kommen konnte und klären Sie sie darüber auf, wie das Risiko für Datenschutzverletzungen minimiert werden kann. Ein Datenschutzbeauftragter kann die Schulung Ihrer Mitarbeiter zum Thema Datenschutz übernehmen und Ihnen helfen, Ihre Prozesse hinsichtlich eines effektiven Datenschutzmanagementsystems zu optimieren.

Die rechtlichen Regelungen der DSGVO rund um eine Datenschutzpanne sind komplex und hängen vom jeweiligen Einzelfall ab. Ohne Fachkenntnisse lässt es sich nur schwer abschätzen, ob es sich um eine meldepflichtige Datenschutzpanne handelt oder nicht und ob Sie die betroffenen Personen informieren müssen oder nicht. Im Falle einer Datenschutzpanne sollten Sie nicht übereilt handeln, denn so sparen Sie sich im Idealfall bürokratischen Aufwand und vermeiden eine Untersuchung durch die Aufsichtsbehörde, falls keine Meldepflicht vorliegt.

Auf der sicheren Seite stehen Sie, wenn Sie einen externen Datenschutzbeauftragten konsultieren. Als externer DSB unterstützt die Immerce Consulting Sie im Falle einer Datenschutzpanne:

Wir wissen, ob die Datenschutzpanne gemeldet werden muss oder nicht

Im Falle einer Meldepflicht übernehmen wir die Kommunikation mit der Aufsichtsbehörde

Durch einer Analyse der Datenschutzpanne leiten wir Ursachen und mögliche Folgen ab

Wir unterstützen Sie mit effektiven Folgemaßnahmen bei der Schadensbegrenzung

Wir legen Maßnahmen fest, durch die ein vergleichbarer Vorfall künftig vermieden werden kann

Mit unseren Leistungen gehen Sie in jedem Fall richtig mit einer Datenschutzpanne um. Damit es gar nicht erst dazu kommt, unterstützen wir Sie auch bei der Entwicklung und Implementierung eines Datenschutzmanagementsystems und einer Datenschutzschulung für Ihre Mitarbeiter. Mit einer DSGVO-konformen Datenverarbeitung und einer Sensibilisierung für das Thema Datenschutz minimieren Sie das Risiko einer Datenschutzpanne deutlich. Lassen Sie es nicht darauf ankommen!