Handlungsempfehlungen bei Datenpannen

Präventive Maßnahmen zur Verhinderung einer Datenpanne

im Optimalfall kommt es natürlich gar nicht erst zu so einer Datenpanne. Im Fokus eines Unternehmens sollten daher präventive Maßnahmen stehen, die durch Einführung geeigneter Prozesse stattfinden und geeignet sind, die Entstehung von Datenpannen im Vorhinein zu verhindern. Dies schützt aus Unternehmersicht von vornherein von datenschutzrechtlichen Konsequenzen und einen Reputationsverlust, jedenfalls bei schwerwiegenden Datenpannen, die öffentlich werden, vielfach nicht zu verhindern ist. Zu empfehlen ist beispielsweise die Einführung eines Leitfadens oder einer Checkliste, womit ein Prozess zum Umgang mit Datenpannen unter der gesamten Belegschaft eines Unternehmens kommuniziert wird. Erst hierdurch und durch geeignete Mitarbeiterschulungen wird die Belegschaft eines Unternehmens überhaupt für die Verhinderung bzw. Erkennung von Datenpannen geschult und sensibilisiert.

Fallbeispiele einer Datenpanne

In der Praxis besonders relevant sind Datenpannen, die stattfinden, indem beispielsweise eine E-Mail mit personenbezogenen Daten an den falschen Empfänger versendet wird. Auch der Verlust eines Laptops oder eines Handys mit personenbezogenen Daten oder der Verlust von personenbezogenen Daten auf Basis eines Hackerangriffs, sind nicht selten vorkommende Beispiele für eine Datenpanne. Eine Datenpanne liegt jedoch selbstverständlich auch in allen anderen Fällen vor, die unter die oben genannte Definition fallen.

Wie ist auf eine Datenpanne zu reagieren?

Sollte dennoch eine Datenpanne stattfinden, darf diese aus Unternehmersicht auf keinen Fall unbeachtet bleiben, sondern erfordert stattdessen regelmäßig sofortiges Handeln. Im Optimalfall lässt sich ein Unternehmer schon dann fachkundig durch einen Datenschutzbeauftragten oder einen Juristen beraten, wenn der Verdacht einer Datenpanne im Unternehmen besteht.

Konkreter Umgang mit einer Datenpanne und Fristen

Was genau im Falle einer Datenpanne zu tun ist, ergibt sich aus Artikel 33 DSGVO. Demnach muss eine Datenpanne durch den Verantwortlichen unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, bei der zuständigen Aufsichtsbehörde gemeldet werden. Eine Ausnahme besteht nur dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Ob diese Ausnahme vorliegt oder nicht, sollte fachkundig geprüft werden. Die Meldung selbst muss im Falle der Abgabe die in Artikel 33 Absatz 3 DSGVO geforderten Informationen beinhalten. Wenn eine Meldung an die Aufsichtsbehörde trotz Verpflichtung nicht binnen 72 Stunden stattfindet, sondern erst zu einem späteren Zeitpunkt nachgeholt wird, muss die Meldung dann auch eine Begründung für die Verzögerung enthalten. Unabhängig von der Abgabe einer Meldung an die Aufsichtsbehörde muss der Verantwortliche die Verletzung des Schutzes personenbezogener Daten im Sinne des Artikels 33 Abs 5 DSGVO auch dokumentieren. Hierzu zählen auch die Auswirkungen und die ergriffenen abhilfemaßnahmen.

Benachrichtigung der betroffenen Person

Fachkundig zu prüfen ist außerdem stets, ob die Personen, deren personenbezogenen Daten von der Datenpanne betroffen sind, benachrichtigt werden muss. Hierfür ist eine Abwägung des Einzelfalls erforderlich. Grob skizziert kann festgestellt werden: Umso höher das Risiko für die Rechte und Freiheiten der betroffenen Person ausfällt, umso mehr spricht für eine Verpflichtung zur unverzüglichen Benachrichtigung. Konkret ergeben sich die Voraussetzungen dieser Benachrichtigungspflicht aus Artikel 34 DSGVO.

Der Sonderfall des Auftragsverarbeiters

Wird eine Datenpanne hingegen zunächst einem Auftragsverarbeiter bekannt, so hat dieser die Verletzung unverzüglich dem Verantwortlichen zu melden und dieser hat dann, wie vorstehend beschrieben, zu verfahren.