Das ist bei einer Datenschutzpanne im Unternehmen zu tun

Panne

Eine Datenschutzpanne im Unternehmen hat unter Umständen schwerwiegende Folgen. Natürlich ist das Ziel, größere und kleinere Datenschutzverletzungen zu vermeiden. Wenn aber doch mal ein Datenleck entsteht, muss schnell und richtig gehandelt werden. Wie, erfahren Sie in diesem Artikel. 

Wann liegt eine Datenschutzpanne vor? 

Grundsätzlich spricht man von einer Datenschutzpanne, wenn gesicherte Daten durch ein Leck nach Außen dringen. Das ist in der Regel der Fall, wenn ein Hackerangriff das System befällt oder sich Schadsoftware anderweitig den Weg in das System gefunden hat. 

Im Grunde ist eine Datenschutzpanne mit einer Datenschutzverletzung gleichzusetzen. Allerdings handelt es sich bei einer Panne um eine ungewollte Datenpanne. Von einer Datenschutzverletzung spricht man eher dann, wenn der Datenleak bewusst in Kauf genommen wurde. 

Die Datenschutzgrundverordnung (DSGVO) macht dabei aber keinen Unterschied und definiert eine Datenpanne als eine „unbeabsichtigte oder unrechtmäßige Verletzung des Schutzes personenbezogener Daten“. 

Dringen personenebezogen Daten nach Außen, handelt es sich also um eine Datenschutzverletzung. Egal, wie diese zustande kam. Das klingt im ersten Moment wie eine große Katastrophe. Das muss es aber nicht sein. 

Datenpannen gibt es in unterschiedlicher Ausprägung und nicht immer droht deswegen gleich das Ende des Unternehmens. Der Umgang mit einer Datenpanne kann unterschiedliche Maßnahmen erfordern. 

Die Meldepflicht bei Datenschutzpannen 

Für schwerwiegende Datenschutzverletzungen beziehungsweise Datenpannen gilt eine Meldepflicht an die zuständige Aufsichtsbehörde. Die Behörde ist dann dafür zuständig, die Konsequenzen zu bestimmen und einzuleiten. Das sind in der Regel hohe Bußgelder. 

Allerdings muss lange nicht jede Datenschutzpanne gemeldet werden. Was als schwerwiegende Datenschutzpanne gilt, lässt sich anhand von drei Faktoren definieren: 

  1. Durch die Datenschutzpanne ist ein Datenschutzverstoß entstanden 
  1. Durch die Datenschutzpanne ist ein unberechtigter Zugriff auf Daten entstanden 
  1. Durch den Zugriff auf die Daten ist ein Schaden für Betroffene oder zumindest ein Risiko für die Rechte und Freiheiten von Betroffenen entstanden 

Wann und warum das der Fall ist, kann natürlich auf unterschiedliche Weise interpretiert werden. Am besten ist es, einen Sicherheitsbeauftragten zur Hilfe zu holen, der Expertise mitbringt. Der weiß, worauf zu achten ist und wann eine schwerwiegende Datenpanne vorliegt. 

Sofern eine Meldung gemacht werden muss, muss die Aufsichtsbehörde innerhalb von 72 Stunden informiert werden. Die DSGVO gibt dabei diese Informationen vor, die an die Aufsichtsbehörde übermittelt werden müssen: 

  • Name und Kontaktdaten des Datenschutzbeauftragten 
  • eine genaue Beschreibung des Datenschutzverstoßes 
  • die Kategorie, der die Datenschutzpanne zuzuordnen ist 
  • die Datensätze, die in falsche Hände geraten sind und wie viele Personen betroffen sind 
  • die Folgen für die betroffenen Personen 
  • die Maßnahmen, die Sie ergreifen werden, um den Schaden zu begrenzen und die Datenschutzpanne zu beheben 
  • eine Dokumentation aller Informationen, Schritte und Maßnahmen 

So kann die Aufsichtsbehörde genau nachvollziehen, was vorgefallen ist und wie Sie handeln. 

Einhaltung der 72-Stunden-Frist 

Die Frist von 72 Stunden für die Meldepflicht an die Aufsichtsbehörde sollte unbedingt eingehalten werden. Andernfalls sollte zumindest eine sehr gute Begründung vorgebracht werden. Beispielsweise, dass es mehrere Angriffe in kurzer Folge gab und Sie die letzten 72 Stunden damit beschäftigt waren, den Schaden zu begrenzen. 

Es müssen aber nicht zwingend alle Informationen innerhalb der 72 Stunden übermittelt werden. Das ist ohnehin nicht immer möglich. Es reicht auch, vorerst innerhalb der Frist zumindest eine grundlegende Meldung an die Aufsichtsbehörde abzugeben. Weitere Informationen können zeitnah nachgereicht werden. 

Die Meldung wird elektronisch über die Webseite der zuständigen Aufsichtsbehörde eingereicht. 

Fazit

Eine Datenschutzpanne im Unternehmen ist keine schöne Sache. Sie muss aber nicht direkt schwerwiegende Konsequenzen haben. Wichtig ist, richtig und schnell zu handeln. Die Meldepflicht gilt nur, wenn es sich um einen Datenschutzverstoß handelt, der mehrere Faktoren erfüllt. Dann muss aber zwingend zeitnah gehandelt werden, damit die Konsequenzen nicht schlimmer wird, als ohnehin schon.