Es passiert immer mal wieder: Schnell ist im Alltag der Newsletter geschrieben und die Empfänger versehentlich in CC statt BCC gesetzt. Oder ein Mitarbeiter hat auf den Link in einer gut gemachte Phishingmail geklickt und eine mittlere Netzwerkkatastrophe ausgelöst. Fehler sind menschlich und passieren in jedem Unternehmen. Zumal die Methoden der Cyberkriminellen auf der anderen Seite immer raffinierter und professioneller werden.
Verstöße gegen die Gewährleistungsziele der IT-Sicherheit
sind in aller Regel auch datenschutzrechtlich zu bewerten, da in fast allen Fällen auch personenbezogene Daten betroffen sind. Ein Datenunfall löst also in aller Regel mindestens eine Meldepflicht nach Art.33 DSGVO aus. Besteht ein erhebliches Risiko für den Betroffenen, kommt die Informationspflicht nach Art. 34 hinzu, alle Betroffenen sind direkt zu informieren.
Sie benötigen einen betrieblichen Datenschutzbeauftragten?
Wir betreuen mittelständische Unternehmen und Unternehmensgruppen aus unterschiedlichen Branchen und stellen bei Bedarf den betrieblichen Datenschutzbeauftragten auch im Konzernverbund.
Meldepflichten nach DSGVO
sollten ernst genommen und innerhalb der gesetzten Fristen erfüllt werden. Im Falle eines meldepflichtigen Vorgangs nach Art. 33 muss die Meldung bei der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden erfolgen, es sei denn, dass kein Risiko für den Betroffenen besteht.
Aus einer meldepflichtigen Datenpanne folgt keineswegs automatisch ein Bußgeld.
Was oftmals nicht klar ist, die Behörden haben einen nicht unerheblichen Ermessenspielraum. Keineswegs folgt auf eine Datenpanne zwingend ein Bußgeld. Es kommt vielmehr darauf an, wie der Verantwortliche mit der Situation umgeht.
Handlungsspielräume nutzen
Nach Bekanntwerden einer Datenpanne sollten Verantwortliche in drei Schritten vorgehen:
- Tatbestand und Ursachen, die zur Datenpanne geführt haben sorgfältig analysieren.
- Risiko für den Betroffenen einschätzen und Meldepflichten zeitnah erfüllen
- Abhilfemaßnahmen, die eine Wiederholung des Vorfalls verhindern können, in der Organisation einführen.
In allen drei Phasen der Vorfallsbearbeitung hat der Verantwortliche nicht unerhebliche Handlungsspielräume. Es empfiehlt sich, die Analyse detailliert und sorgfältig vorzunehmen, damit mögliche Abhilfemaßnahmen auf einem soliden Fundament ruhen. Welche potentiellen Auswirkungen eine Datenpanne haben kann, hängt nicht zuletzt von der Kommunikation der Organisation ab. In Fällen eines hohen Risikos für den Betroffenen muss damit gerechnet werden, dass der Vorfall öffentlich wird. Darauf sollten sich Verantwortliche im Sinne einer Resilienzstrategie einstellen.
Geeignete Abhilfemaßnahmen
sollten zeitnah eingeführt und dokumentiert werden. Idealerweise sollte bereits die Meldung an die Datenschutzbehörde erste Hinweise auf künftige Abhilfemaßnahmen enthalten. Diese Schritte bieten zwar keine Garantie, machen aber deutlich, dass der Verantwortliche seinen Verpflichtungen nach DSGVO nachkommt. Ignoranz gegenüber rechtlichen Verpflichtungen führt selten zu einer wohlwollenden Beurteilung durch die Aufsichtsbehörden.
Die Mitarbeiterinnen und Mitarbeiter einbeziehen
Transparenz innerhalb der Organisation hilft, Mitarbeiterinnen und Mitarbeitern die Angst zu nehmen, einen meldepflichtigen Vorgang innerhalb der Organisation bekannt zu geben. Zudem können aus der transparenten Bewältigung einer Datenpanne innerhalb der Organisation wertvolle Erkenntnisse gewonnen und die Mitarbeitenden sensibilisiert werden.