So sollte er aussehen, der korrekte Umgang mit Datenpannen

Artikel 4 Abs. 12 der Datenschutzgrundverordnung (DSGVO) definiert eine Datenpanne wie folgt:

[Die „Verletzung des Schutzes personenbezogener Daten“ ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;].

Easy ausgedrückt: Wenn eine Person unbefugter Weise sensible Infos, wie personenbezogene Daten eines anderen, zu Gesicht bekommt, ist das ziemlich doof! Es verletzt den Schutz und die Sicherheit anderer. Eine echte Datenpanne eben!

Angemessene technische und organisatorische Maßnahmen sind deswegen wirklich wichtig! Doch was, wenn es trotzdem mal zu einer Datenpanne kommt?

Generell gilt: Man muss eine Datenpanne innerhalb von 72 Stunden der Datenschutz Aufsichtsbehörde und der betroffenen Person selbst melden. Doch es gibt Ausnahmen! Abhängig ist die Meldepflicht nämlich von der Schwere der Datenpanne, also wie hoch das Risiko für die betroffene Person ist, in ihren Rechten und Freiheiten in Folge eingeschränkt zu werden.

Es gibt deswegen drei festgelegte Meldesituationen, die in den Artikeln 33 Abs. 1 und 34 Abs. 1 der DSGVO geregelt sind:

  • Die Datenpanne führt voraussichtlich nicht zu einem Risiko : Keine Meldung an die Aufsichtsbehörde oder die betroffene Person erforderlich.
  • Die Datenpanne führt voraussichtlich zu einem geringen Risiko : Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden erforderlich .
  • Die Datenpanne führt voraussichtlich zu einem hohen Risiko: Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden und Information an die betroffene Person erforderlich.

Am Ende schützt übrigens keines der drei Szenarien vor einer umfangreichen internen Dokumentation aller Informationen, Auswirkungen und ergriffenen Maßnahmen zur Beseitigung der Datenpanne.

Wie heißt es so schön: “Wer schreibt, bleibt.” Die Dokumentation ist sehr wichtig, um ggf. den Vorgang später der Aufsichtsbehörde darlegen zu können, falls diese z.B. durch den Betroffenen auf eine (möglicherweise nicht meldepflichtige) Panne hingewiesen wird.

Wie immer ist auch im Falle einer solchen Panne die Vorbereitung das A & O. Ein klar definierter Ablauf mit fest zugeteilten Aufgaben gibt Sicherheit und sorgt im Zweifel für einen kühlen Kopf. Eine beispielhafte Vorgehensweise könnte deswegen so aussehen:

Schritt 1: Meldet die Datenpanne dem Datenschutzkoordinator oder dem DSB.

Schritt 2: Der Datenschutzkoordinator oder der DSB stellen das Meldeformular zur Verfügung.

Schritt 3: Wer die Datenpanne verursacht bzw. festgestellt hat, füllt das Formular auch aus.

Schritt 4: Weiterleitung des vollständig ausgefüllten Meldeformulars an die Geschäftsführung.

Schritt 5: Die Geschäftsführung ermittelt das voraussichtliche Risiko für die betroffene Person und entscheidet, ob gemeldet werden muss.

Schritt 6: Das Meldeformular wird zur Überprüfung und Stellungnahme an den DSB gesendet.

Schritt 7: Die Datenpanne wird (wenn nötig) bei der zuständigen Aufsichtsbehörde angezeigt.

Schritt 8: Unabhängig einer Meldung wird der gesamte Vorgang dokumentiert.

 

Ihr braucht Unterstützung bei der Einführung dieses Prozesses und legt Wert auf eine umfangreiche Sensibilisierung Eurer Mitarbeiter? Ruft uns an!