Datenpanne? Das müssen Sie unbedingt erledigen

Eine Datenpanne passiert schnell und kann schwerwiegende Folgen für das Unternehmen nach sich ziehen. Die Definition zur Begrifflichkeit der Datenpanne finden Sie in unserem Blogartikel mit „klick“ auf den Link.

Was also ist zu tun, wenn Ihnen eine Datenpanne passiert oder Ihnen eine Datenpanne bekannt wird?

In jedem Fall muss die Geschäftsführung, der Datenschutzkoordinator (falls vorhanden) und der Datenschutzbeauftragte informiert werden. Gemeinsam wird die weitere Vorgehensweise besprochen und alle nötigen Informationen gesammelt.

So ist z.B. bei einem verlorenen USB-Stick, der personenbezogene Daten enthält aber wirksam verschlüsselt ist, keine Meldung an die Aufsichtsbehörde erforderlich. Anders kann es aber beispielsweise aussehen, wenn der USB-Stick nicht verschlüsselt ist, das wäre ganz klar ein Datenschutzvorfall.

Jeder Einzelfall ist gesondert zu betrachten und im Zweifel wenden Sie sich lieber einmal zu viel an Ihren Datenschutzbeauftragten.

Sobald Ihnen der Vorfall „einer Verletzung der personenbezogenen Daten“ bekannt ist, muss zügig festgestellt werden, ob eine Meldepflicht Richtung Aufsichtsbehörde besteht. Wenn von einem Risiko für die Betroffenen ausgegangen werden muss, dann besteht eine Meldepflicht.

Achtung: der Verantwortliche (die Geschäftsführung) hat nach Kenntniserhalt nur 72 Stunden Zeit, eine (Erst-) Meldung an die Aufsichtsbehörde zu veranlassen. Auch hier gilt: Nehmen Sie Ihren Datenschutzbeauftragten mit ins Boot.

Wir bzw. Ihr Datenschutzbeauftragter ermitteln gemeinsam mit Ihnen, ob auch die Betroffenen informiert werden müssen. Dies ist immer der Fall, wenn voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten von Betroffenen besteht. Es gibt einige Ausnahmen von der Benachrichtigungspflicht, wenn z.B. zeitnah Maßnahmen ergriffen werden, durch die das hohe Risiko für die Betroffenen nicht mehr besteht. Sie sehen also, in jedem Fall müssen Risikoanalysen durchgeführt werden. Ich verweise auch hier wieder auf Ihren Datenschutzbeauftragten. Dass ausnahmslos jeder Vorfall, ob meldepflichtig oder nicht, vollständig dokumentiert werden muss, steht dabei außer Frage. Brandaktuell ist in diesem Zusammenhang ein Bußgeld in Höhe von 202.084 €, dass die Datenschutzbehörde der Isle of Man im August 2022 verhangen hat. Ein Gesundheitsunternehmen hat sensible Gesundheitsdaten eines Patienten an 1870 E-Mail-Empfänger gesendet, für die die Daten nicht bestimmt waren. Der Betroffenen wurde nicht informiert. Nachzulesen unter folgendem Link: penalty imposed on manx care.

Sicherlich haben Sie bemerkt, wie oft ich auf den Datenschutzbeauftragten verwiesen habe. Egal wie banal Ihnen die Information über einen Vorfall erscheint, melden Sie sich!

Sie fragen, wir antworten:

Wir haben eine Datenpanne in unserem Online-Shop. Die Adressen von ca. 500.000 Kunden wurden abgegriffen. Müssen wir die jetzt alle anrufen?

„Keine Sorge, hier hat der Gesetzgeber eine Möglichkeit geschaffen, dass Sie mittels Medien eine Individualbenachrichtigung durch eine öffentliche Bekanntmachung ersetzen können. Das kann z.B. eine Anzeigenschaltung bei zwei überregionalen Zeitungen (wie z.B. dem Handelsblatt oder der F.A.Z.) sein oder eine online Veröffentlichung. Das Reputationsrisiko ist hier sehr hoch, daher sollten im Vorfeld alle notwendigen Maßnahmen getroffen werden, damit Datenpannen bzw. Datenverluste erst gar nicht passieren können.“

Bei Fragen zum Thema Datenpanne oder anderen datenschutzrelevanten Themen freuen wir uns über Ihre Nachricht.

Bildquelle: pixabay

2022-09-08
12:35

Name	Borlabs Cookie
Anbieter	Eigentümer dieser Website, Impressum
Zweck	Speichert die Einstellungen der Besucher, die in der Cookie Box von Borlabs Cookie ausgewählt wurden.
Cookie Name	borlabs-cookie
Cookie Laufzeit	1 Jahr

Akzeptieren	Google Maps
Name	Google Maps
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Wird zum Entsperren von Google Maps-Inhalten verwendet.
Datenschutzerklärung	https://policies.google.com/privacy
Host(s)	.google.com
Cookie Name	NID
Cookie Laufzeit	6 Monate

Akzeptieren	OpenStreetMap
Name	OpenStreetMap
Anbieter	Openstreetmap Foundation, St John’s Innovation Centre, Cowley Road, Cambridge CB4 0WS, United Kingdom
Zweck	Wird verwendet, um OpenStreetMap-Inhalte zu entsperren.
Datenschutzerklärung	https://wiki.osmfoundation.org/wiki/Privacy_Policy
Host(s)	.openstreetmap.org
Cookie Name	_osm_location, _osm_session, _osm_totp_token, _osm_welcome, _pk_id., _pk_ref., _pk_ses., qos_token
Cookie Laufzeit	1-10 Jahre

Akzeptieren	YouTube
Name	YouTube
Anbieter	Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Zweck	Wird verwendet, um YouTube-Inhalte zu entsperren.
Datenschutzerklärung	https://policies.google.com/privacy
Host(s)	google.com
Cookie Name	NID
Cookie Laufzeit	6 Monate