Eine kleine Unachtsamkeit, und schon ist es geschehen: Eine Datenschutzanzeige flattert in den Briefkasten. Lesen Sie hier, was Sie im Fall einer Datenschutzpanne unbedingt tun sollten!
In der DSGVO ist klar geregelt, wie Datenschutz aussieht
Die DSGVO ist nicht nur eine umfassende Sammlung aller Vorschriften, die Sie in Sachen Datenschutz beachten müssen. Sie enthält auch klare Empfehlungen, wie eben diese personenbezogenen Daten vor unbefugtem Zugriff geschützt werden sollen.
In Artikel 32, Absatz 1a-d finden Sie dazu folgende Maßnahmen, die es umzusetzen gilt:
a. Die Pseudonymisierung und Verschlüsselung personenbezogener Daten
b. Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen
c. Die Fähigkeit, die Verfügbarkeit personenbezogener Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
d. Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Einfacher ausgedrückt: Sie müssen durch Firewalls, geeignete Software und geschulte Mitarbeiter sicherstellen, dass keine unbefugten Personen Zugriff auf Daten haben. Außerdem müssen Sie Sorge tragen, dass Daten in Ihrem Unternehmen nicht anders als angegeben verarbeitet werden und kein Rückschluss auf bestimmte Personen möglich ist.
Nun haben Sie aber dennoch eine Datenschutzanzeige vorliegen
Wenn Sie auf diesen Beitrag gestoßen sind, heißt das jedoch eins: Sie konnten diese Maßnahmen nicht vollständig erfüllen und nun liegt eine Datenschutzanzeige gegen Sie vor. Vielleicht wurde eine E-Mail mit Kundendaten an die falsche Person weitergeleitet. Vielleicht wurden Informationen unerlaubterweise verarbeitet – zum Beispiel, indem ein Mitarbeiter ohne Einverständnis Kontakt über Facebook aufgenommen hat. Was es auch ist – nun ist schnelles Handeln angesagt. Wie genau das aussieht, will ich Ihnen jetzt sagen.
Das sollten Sie jetzt tun
Als allererstes sollten Sie abwägen, ob der Datenschutzverstoß Risiken für die betroffene Person bringt. Werden damit ihre Rechte oder ihre persönliche Freiheit verletzt? Eine Hilfestellung zum Einschätzen des Risikos bietet dieses Kurzpapier der Datenschutzkonferenz. Sprechen Sie sich im Zweifel jedoch mit Ihrem Datenschutzbeauftragten oder einem Datenschutzexperten ab.
Lautet die Antwort „nein“, dürfen Sie nun aufatmen – Sie müssen nicht dringend handeln. Dennoch sollten Sie den Vorfall dokumentieren und Maßnahmen treffen, um das Risiko eines erneuten Vorfalls zu minimieren.
Beantworten Sie diese Frage jedoch mit ja, sollten Sie den Verstoß unverzüglich (d.h. innerhalb von maximal 72 Stunden) an Ihre zuständige Aufsichtsbehörde melden. Ist diese Frist schon verstrichen, schicken Sie die Meldung bitte dennoch und fügen eine nachvollziehbare Begründung für die Verspätung bei.
Fünf Schritte, die in den nächsten 72 Stunden anfallen
Anschließend fordert die Aufsichtsbehörde noch einige Informationen nach Artikel 33 der DSGVO. Die können Sie nach und nach einreichen, falls Sie nicht sofort alle parat haben.
- Geben Sie Name und Kontaktdaten Ihres Datenschutzbeauftragten an.
- Beschreiben Sie genau, auf welche Weise Sie gegen die DSGVO verstoßen haben. In welche Kategorie lässt sich das Ereignis einordnen, auf das die Datenschutzanzeige folgte? Wie viele Personen sind betroffen und welche Datensätze sind in falsche Hände geraten?
- Welche Folgen hat diese Verletzung für die betroffene Person? Falls die Person selbst von dem Datenschutzverstoß noch nichts weiß, müssen Sie sie übrigens nicht zwingend benachrichtigen – unter zwei Bedingungen: Es besteht für diese Person kein Risiko oder die Daten waren beispielsweise so weit verschlüsselt, dass kein fremder Zugriff darauf erfolgen kann.
- Welche Maßnahmen wollen Sie jetzt ergreifen, um diesen für die Datenschutzanzeige verantwortlichen Verstoß zu beheben oder den Schaden zu begrenzen?
- Dokumentieren Sie alle Informationen, Schritte und Maßnahmen, damit die Aufsichtsbehörde Ihr Handeln nachvollziehen kann.
Ein Notfallplan hilft, wenn es zur Datenschutzanzeige kommt
Sollte es noch einmal zu einem Verstoß und einer Datenschutzanzeige kommen, empfehle ich Ihnen, sich vorsorglich einen Notfallplan für solche Fälle bereit zu legen. Haben Sie die eben beschriebenen fünf Schritte schon einmal befolgt, können Sie die anschließende Dokumentation als Grundlage nutzen. Ihr Notfallplan sollte folgende Stichpunkte enthalten:
- Was sind risikobehaftete Stellen in Ihrem Unternehmen, an denen Datenschutzpannen eher auftreten könnten? Und welche möglichen Situationen ergeben sich daraus?
- An wen können sich Mitarbeiter wenden, wenn sie einen Datenschutzverstoß bemerken oder gemeldet bekommen? Listen Sie hier am besten alle Verantwortlichen mit Kontaktdaten auf – von der Webseitenbetreuung bis zum Datenschutzbeauftragten.
- Mit welchen Prüfschritten kann das Risiko für die Betroffenen abgeschätzt werden?
- Welche weiteren Schritte sollten nun je nach Situation befolgt werden?
Vorsicht ist besser als Nachsicht. Nehmen Sie den Notfallplan deshalb ernst und stellen Sie Ihn allen Mitarbeitern in Ihrem Unternehmen zur Verfügung, damit im Fall der Fälle jeder sofort handeln kann!
Vermeiden Sie Datenschutzanzeigen mit regelmäßigen Schulungen
Apropos Mitarbeiter: Hätten Sie gedacht, dass die in Unternehmen das größte Datenschutzrisiko darstellen? Viele Menschen sind sich nämlich gar nicht bewusst, dass Datenschutz jeden im Betrieb betrifft. Eine falsche E-Mail geöffnet, sensible Daten an einen falschen Empfänger geschickt, ein Dokument nachlässig entsorgt – schon ist die Grundlage für eine handfeste Datenschutzanzeige geschaffen.
Ich kann es deshalb nur immer wieder sagen: Schaffen Sie in Ihrem Unternehmen ein grundlegendes Verständnis und Bewusstsein für Datenschutz! Im besten Fall finden Schulungen regelmäßig statt – denn immer wieder kommen neue Aspekte hinzu. Somit wird nicht nur grundlegende Datensicherheit vonseiten der Mitarbeiter geschaffen. Auch die Wahrscheinlichkeit einer Datenschutzanzeige sinkt, wenn alle besser informiert sind.