Wie geht man bei einem Datenschutzvorfall vor?
Wie erkenne ich einen Datenschutzvorfall?

Wiesbaden, 25.05.2023 (PresseBox) - Während einige Unternehmen Datenschutzvorfälle sammeln wie Pokémon-Karten, sind sie in anderen wie das Einhorn der Compliance und wurden noch nie gesichtet. Fakt ist: Praktisch jedes Unternehmen, jeder Verein und jede Organisation verursacht Datenschutzvorfälle. Der große Unterschied ist, wie gut man darin ist, diese als solche zu erkennen. Ein Datenschutzvorfall oder auch „Datenpanne“ genannt, ist ein Ereignis, bei dem die Regeln der DSGVO im Umgang mit personenbezogenen Daten natürlich identifizierbarer Personen (Betroffene) verletzt wurden. Dies muss nicht die filmreife Hackerattacke sein, bei der sich ein Angreifer unter Umgehung von drei Firewalls Zugang zu ihren Geburtstagslisten verschafft – ein Vorfall beginnt schon beim Verlust eines USB-Sticks oder dem Versand einer E-Mail oder eines Briefes an eine falsche Adresse. Art. 4 Abs. 12 DSGVO definiert die „Verletzung des Schutzes personenbezogener Daten“ als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Die meisten Datenschutzvorfälle geschehen unbeabsichtigt durch Verwechslungen, in Eile, aus Nachlässigkeit oder weil die Autokorrektur bei der Adresseingabe macht, was auch immer sie macht. So banal dies auch für manche Verantwortliche zu scheinen mag, nicht gemeldete Datenschutzvorfälle sind wie Krümel, die beim Fegen unter dem Sofa landen - unangenehm wird es erst, wenn einer nachschaut. Es gibt eine gesetzliche Pflicht zur Erfassung, Bewertung und Meldung solcher Vorfälle. Wenn Sie einmal schnell bei „den Großen Mitspielen“ wollen, dann sind Datenschutz-Bußgelder aufgrund nicht gemeldeter Vorfälle ein möglicher Ansatzpunkt.

WIE REAGIERE ICH BEI EINER DATENPANNE?

Haben Sie den Datenschutzvorfall identifiziert, ist zunächst Ruhe zu bewahren und die Meldekette einzuhalten. Der erste Schritt ist, die verantwortliche Person, z. B. die Geschäftsführung sowie den Datenschutzbeauftragten (DSB) in Kenntnis über den Datenschutzvorfall zu setzen. Datenschutzvorfälle liegen zu lassen ist, wie Wäsche nicht aus der Maschine zu holen, irgendwann mieft es. Wichtig ist deshalb, den Fall unverzüglich nach Eintritt intern zu melden. Selbst wenn Sie sich nicht sicher sind, ob es ein Datenschutzvorfall ist, ist es empfehlenswert trotzdem den Prozess anzustoßen und die genaue Feststellung im Rahmen der Untersuchung zu treffen. Im nächsten Schritt bewerten Verantwortliche und DSB den Vorfall, führen eine Risikoabschätzung durch und leiten adäquate Maßnahmen ein. Die Risikoabschätzung und der Vorfall sollten dokumentiert werden. Wird festgestellt, dass der Vorfall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, ist dieser Fall bereits mit der Dokumentation abgeschlossen – er ist nicht meldepflichtig. Art. 33 und 34 DSGVO normieren diese Regelungen. Ist der Datenschutzvorfall hingegen meldepflichtig, muss dieser innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde mit den notwendigen Informationen gemeldet werden: Was ist vorgefallen, welche Datenkategorien sind betroffen, welche Personen sind betroffen, Kontaktdaten des DSB, wahrscheinliche Folgen, welche Maßnahmen getroffen werden, Zeitpunkt des Vorfalls und ob Betroffene bereits informiert wurden. Die Meldung an die zuständige Aufsichtsbehörde wird mit dem DSB abgestimmt und wird von diesem bei der Behörde eingereicht. Wichtig für alle, die gerne freitags früher gehen: Wochenende schützt vor Strafe nicht und selbst Weihnachten ist der Frist nicht heilig. Tun Sie sich und Ihrem DSB daher einen Gefallen und melden immer zeitnah.

WAS PASSIERT NACH DER MELDUNG?

Die Rückmeldung der Aufsichtsbehörde kann länger dauern, oder auch ganz ausbleiben. Im letzten Fall wurden die getroffenen Maßnahmen als ausreichend bewertet. Nach dem Datenschutzvorfall ist nicht vor dem Datenschutzvorfall. Setzen Sie daher die getroffenen Maßnahmen zeitnah um und sensibilisieren Sie Ihre Mitarbeiter, z. B. durch Schulungen der DEUDAT-Akademie gegen Phishing und Social Engineering, um das Risiko weiterer Vorfälle zu minimieren. Für Rückfragen rund um die Dokumentation und Meldung von Datenschutzvorfällen wenden Sie sich gerne an Ihren persönlichen DEUDAT-Ansprechpartner.