Der Datenschutz ist in Unternehmen ein brisantes Thema: So wichtig die Vorschriften der DSGVO sind, so komplex kann manchmal ihre Einhaltung sein. Datenpannen können schnell auftreten und massive Folgen für die Firma, aber auch für betroffene Personen haben.
Wie mit einem Datenschutzvorfall umzugehen ist, was wir unter einer Datenpanne überhaupt verstehen, und wie Sie das Risiko für die Rechte und Freiheiten betroffener minimieren – das klärt der nachfolgende Beitrag.
Datenpannen: Definition
Der Datenschutz mit seinen komplexen Vorschriften und Regelungen ist für so manchen Verantwortlichen ein rechter Dschungel. Was ist nun mit einer Datenpanne gemeint, angesichts der Flut an Daten und Datenformen, die im Unternehmen so anfallen? Welche Daten sind besonders zu schützen?
Die DSGVO regelt: Rechte und Freiheiten natürlicher Personen
Wenn Datenschutzexperten flapsig von einer Datenpanne oder auch Datenschutzpanne sprechen, dann meint das einen Verstoß gegen die DSGVO. Genauer, gegen Art. 4 Nr. 12 DSGVO, der sich mit der „Schutzverletzung personenbezogener Daten“ befasst.
Kurz zur Erinnerung: Die Datenschutzgrundverordnung (DSGVO) ist die Verordnung der Europäischen Union zum Thema Datenschutz, sie gilt seit dem 25. Mai 2018. Diese Vorschriftensammlung regelt den Schutz personenbezogener Daten innerhalb der EU und stärkt die Rechte der Bürger, indem sie ihnen mehr Kontrolle über ihre Daten gibt. Unternehmen und Organisationen müssen strenge Anforderungen erfüllen, um den Datenschutz zu gewährleisten, wie z.B. die Einholung von Einwilligungen und die Sicherstellung der Datensicherheit. Die DSGVO zielt darauf ab, die Privatsphäre der Menschen zu schützen und gleichzeitig den freien Datenverkehr innerhalb der EU zu gewährleisten. Verstöße gegen die DSGVO können zu hohen Geldstrafen führen.
Verletzung des Schutzes personenbezogener Daten: Artikel 4 der DSGVO zum Thema Datenpannen
Artikel 4 der DSGVO definiert Begriffe, die in der Verordnung verwendet werden. Zum Thema „Datenpannen“ ist hier der Begriff „Verletzung des Schutzes personenbezogener Daten“ relevant.
Im Artikel 4 Absatz 12 wird diese Verletzung wie folgt definiert:
Eine „Verletzung des Schutzes personenbezogener Daten“ ist ein Sicherheitsvorfall, der zu einer unbeabsichtigten oder unrechtmäßigen Vernichtung, dem Verlust, der Veränderung, der unbefugten Offenlegung von oder dem Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.
Diese Definition dient als Grundlage für die Meldepflichten und Maßnahmen, die im Falle einer Datenpanne von Verantwortlichen zu ergreifen sind.
Verschiedene Arten von Datenpannen
Eine Datenpanne entsteht manchmal schneller als gedacht und vor allem in Bereichen, wo man die Gültigkeit der Datenschutzgrundverordnung zunächst gar nicht vermutet hat. Verantwortliche sind also gut beraten, sich ausführlich mit den Vorschriften zu befassen, um den unbefugten Zugang zu personenbezogenen Daten zu vermeiden.
Das gilt auch im Offline-Bereich. Auch hier kann es zu einem Vorfall kommen, wie die folgenden Beispiele zeigen.
Mögliche Ursachen und Risiken für Datenpannen online:
Mehr lesenDie Konsequenzen: eine Beschreibung der wahrscheinlichen Folgen von Datenpannen
Je nach Art der Verletzungen des Schutzes personenbezogener Daten können die Folgen weitreichend sein. Ob und welche Auswirkungen Datenpannen haben, hängt von mehreren Faktoren ab. Das Risiko für betroffene Unternehmen kann unter Umständen immens sein.
Darum muss im Fall der Fälle gleich nach der Kenntnisnahme eine Risikobewertung erfolgen. Darin sollte geprüft werden, welche Daten betroffen sind, wie viele betroffene Personen es gibt und in welchem Umfang die Aufsichtsbehörde zu informieren ist.
Mehr lesenDatenpanne erkennen und reagieren: Was ist zu tun
USB-Sticks gingen verloren, Datenträger wurden unsachgemäß entsorgt, eine E-Mail mit vertraulichen Daten ging an die falschen Personen: All das kommt vor. Jetzt müssen Sie möglichst binnen 72 Stunden handeln. Von der Offenlegung der Panne zur Erfüllung der Meldepflicht bis hin zur Schadensbegrenzung und vorbeugenden Maßnahmen zur Wahrung des Schutzes personenbezogener Daten: Verantwortliche sind gefragt, zügig, professionell und umfassend zu handeln.
Die Meldung von Datenschutzverletzungen
Wann die Datenpanne meldepflichtig ist
Eine Datenpanne ist meldepflichtig: Wenn aus welchem Grund auch immer Maßnahmen zum Datenschutz nicht gegriffen haben und die Vorgaben der DSGVO verletzt wurden, müssen Verantwortliche eine Meldung an die Aufsichtsbehörde einreichen.
Grundsätzlich sollten alle Datenschutzverletzungen dokumentiert werden, auch dann, wenn eine Meldung an die Aufsichtsbehörde zunächst nicht notwendig erscheint. Für den Fall, dass sich die Einschätzung noch einmal ändert, und um jedwedes Risiko auszuschließen, sollten auch Überlegungen, Abwägungen und Maßnahmen zum Datenschutzvorfall umfassend festgehalten werden.
Mehr lesenSo melden Sie Datenschutzverletzungen
In den Regelungen der DSGVO ist klar festgelegt, wer Datenpannen wie und wann zu melden hat.
Die erste Meldung zum Datenschutzverstoß geht an die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO, falls der Vorfall zu einem Risiko für die Rechte und Freiheiten der betroffenen Person geführt hat oder führen kann. Die Aufsichtsbehörde ist abhängig vom Bundesland: Genauere Regelungen dazu finden sich im Art 55 DSGVO.
Eine zweite Meldung ist nötig, falls betroffene Personen voraussichtlich einem hohen Risiko für persönliche Rechte und Freiheiten ausgesetzt werden: Dann sind diese ebenfalls zu informieren (Art 34 DSGVO).
Meldung möglichst binnen 72 Stunden absetzen!
Die Meldung zum Datenschutzvorfall müssen Verantwortliche binnen 72 Stunden bei den Aufsichtsbehörden abgeben. Dieses Zeitfenster gilt auch an Wochenenden, während Feiertagen oder Betriebsferien.
Die Uhr tickt also – es sei denn, das Risiko einer Verletzung ist trotz des Vorfalls eher gering. Ein Beispiel wären Daten auf einem verschlüsselten Datenträger, den Verantwortliche verlieren: Da hier das Risiko einer Verletzung des Schutzes personenbezogener Daten wegen der Verschlüsselung der Inhalte recht gering ist, gilt die 72-Stunden-Frist in diesem Fall nicht.
Mehr lesenDas gehört in die Meldung zum Datenschutzverstoß
Im Art 33 DSGVO ist festgelegt, was die Meldung an die Aufsichtsbehörde zur Datenpanne enthalten muss:
- Beschreibung der Art der Verletzung des Datenschutzes: Kam es zum Verlust oder Diebstahl von Daten?
- Welche betroffenen Personen gibt es: Kundschaft, Mitarbeitende, Geschäftspartner?
- Anzahl der betroffenen Personen, im Zweifel als Schätzung
- Beschreibung möglicher Folgen des Datenschutzvorfalls
Vorsicht ist besser als Nachsicht: Datenpannen vorbeugen
Besser als im Fall der Fälle den Schaden einzudämmen ist eine gute Vorbeugung gegen den nächsten Datenschutzverstoß.
Mit einem umfassenden professionellen Konzept zum Datenschutz lässt sich die Risikominimierung verwirklichen. Maßnahmen auf allen Ebenen des Datenschutzes, in allen Abteilungen des Unternehmens schützen vor einer Verletzung der Rechte und vor einem Verlust von Daten.
Mehr lesenIhre Daten gut geschützt – FK-Datenschutz hilft
Das Risiko ist hoch, die Möglichkeiten, die Rechte von betroffenen Personen an der einen oder anderen Stelle zu verletzen: Eine Datenpanne im Unternehmen kann überall auftreten und erfordert schnelles, professionelles Vorgehen.
Noch besser als die Schadensbegrenzung zum Schutz der Daten von Betroffenen ist ein umfassendes Konzept, das die Datenschutzverletzung gar nicht erst auftreten lässt. Minimieren Sie das Risiko der Vernichtung oder des Verlustes von Daten, und beugen Sie der nächsten Datenpanne vor.
Mehr lesen