DSGVO: Datenpanne - was nun?

Die Datenschutzgrundverordnung (DSGVO) macht Vorgaben dazu, welche Melde- und Benachrichtigungs-Pflichten Unternehmen im Falle einer Datenpanne erfüllen müssen. Dabei liegt eine Datenpanne im Sinne der Verordnung vor, wenn der Schutz von personenbezogenen Daten verletzt wurde. Nur was hat ein Unternehmen zu tun, um seinen Pflichten nachzukommen? Verantwortlichkeiten sollten vorab definiert sein "Eine angemessene, insbesondere zeitnahe Reaktion im Falle einer Datenpanne setzt in der Regel voraus, dass ein Unternehmen bereits vorab intern entsprechende Prozesse etabliert hat", erklärt Wiebke Reuter, Fachanwältin für Informations- und Technologierecht bei der Kanzlei Taylor Wessing in Berlin. Besonders wichtig sei es, dass im Unternehmen definiert wird, wer im Falle einer Datenpanne für welche Prozesse verantwortlich ist. Dabei gelte es, alle relevanten Stakeholder mit einzubeziehen: Das sind zum Beispiel Mitarbeiter der IT, die Geschäftsführung, der Datenschutzbeauftragte – sofern benannt, und gegebenenfalls externe Forensik-Dienstleister. Nur so kümmern sich im Falle einer Datenpanne dann eine oder mehrere jeweils dafür zuständige Personen darum, dass die entsprechenden Prozesse eingehalten und überprüft werden. "Diese Prozesse sollten nicht nur Verantwortlichkeiten definieren, sondern auch die einzelnen Schritte darstellen. Schritte, um den Sachverhalt aufzuklären, ihn rechtlich zu bewerten und gegebenenfalls an die Datenschutzaufsichtsbehörde sowie Betroffene zu kommunizieren." Chronologie eines Datenlecks zusammenstellen Relevant seien im Falle eines Datenlecks regelmäßig verschiedene Aspekte. So ist es zuerst einmal wichtig, die Chronologie des Vorfalls so detailliert wie möglich aufzuarbeiten, um den Sachverhalt aufklären zu können, wie Reuter hervorhebt. Hierzu gehören unter anderem Datum und Uhrzeit des Vorfalls sowie des Bekanntwerdens. Auch gilt es, die konkrete Datenpanne zu beschreiben, unter anderem welche Systeme davon betroffen sind. Außerdem müssen mögliche Betroffenenkreise identifiziert werden. Dafür haben Unternehmen die Aufgabe, Informationen etwa dazu zusammenzustellen, ob Mitarbeiter- und/oder Kundendaten betroffen sind, aber auch zu Anzahl der Betroffenen und zu den Kategorien der betroffenen Daten. Prüfung der Meldepflicht nach DSGVO Ein weiterer relevanter Schritt ist, den Vorfall rechtlich zu bewerten, erklärt Reuter. Dabei sollten Unternehmen prüfen, ob erstens eine Datenpanne im Sinne der DSGVO vorliegt und zweitens eine Meldepflicht gegeben ist. Wenn dies nämlich der Fall sein sollte, bleiben dem Betrieb nach Bekanntwerden noch 72 Stunden, um seiner Meldepflicht nachzukommen. "Parallel sollten bereits Abhilfemaßnahmen geprüft werden, die unmittelbar oder mittelbar zur Behebung der Datenpanne sowie der Auswirkungen für die Betroffenen eingesetzt werden können", ergänzt die Anwältin einen weiteren Aspekt. Gegebenenfalls Behörde oder auch Betroffene informieren Je nachdem, was die rechtliche Bewertung ergibt, ist gegebenenfalls eine Meldung an die zuständige Datenschutzaufsichtsbehörde notwendig (Artikel 33 DSGVO). Möglicherweise muss ein Unternehmen dann auch jeweils zuständige Datenschutzbehörden in verschiedenen Ländern informieren, so Reuter. Außerdem kann es gegebenenfalls zusätzlich erforderlich sein, dass die Betroffenen benachrichtigt werden müssen (Artikel 34 DSGVO). "Je nach konkretem Vorfall und Position des Unternehmens sind weitere Maßnahmen nötig", führt Reuter weiter aus. Dazu zählen zum Beispiel eine Strafanzeige bei den zuständigen Ermittlungsbehörden, Kommunikation mit Versicherungen sowie PR-Maßnahmen, um den Vorfall in der Öffentlichkeit zu kommunizieren. Achtung bei Dienstleistern: Auftraggeber in der Pflicht Diese entsprechenden Schritte sollte das Unternehmen dokumentieren, damit sie im Falls der Fälle nachweisbar sind, empfiehlt Reuter. „Neben den einzelnen Schritten ist sicherzustellen, dass auch Vertragspartner entsprechender Informations-, beziehungsweise Mitteilungspflichten unterliegen.“ Denn in der Regel würden Unternehmen der Logistik- und Transportbranche Dienstleister einsetzen, die personenbezogene Daten in ihrem Auftrag verarbeiten. Hierzu gehören regelmäßig zum Beispiel Hosting-Anbieter, Anbieter zur Verwaltung von Mitarbeiterdaten oder Anbieter von Softwarelösungen für die Verwaltung von Lieferketten. "Kommt es bei einem dieser Dienstleister zu einer Datenpanne, wird diese Datenpanne dem Auftraggeber 'zugerechnet'. Das heißt insbesondere, dass den Auftraggeber die Meldepflicht trifft." Dieser sei daher darauf angewiesen, dass sein Dienstleister ihm zeitnah und umfassend mitteilt, wenn eine Datenpanne passiert. Ist der Dienstleister nach der DSGVO ein sogenannter Auftragsverarbeiter, so hat er die gesetzliche Pflicht, eine Datenpanne gegenüber dem Auftraggeber zu melden und bei der Aufklärung einer Datenpanne mitzuwirken. Diese Pflicht muss im Auftragsverabeitungsvertrag (Artikel 28 DSGVO) enthalten sein, erläutert Reuter. Risiken senken "Vermutlich gibt es kaum Möglichkeiten, Datenpannen zu 100 Prozent zu vermeiden", betont Reuter zum Thema Prävention. "Es gibt aber verschiedene Maßnahmen, um das Risiko von Datenpannen zu senken." Hierzu gehören laut der Anwältin unter anderem regelmäßige, auf die konkreten Bedürfnisse des Unternehmens bezogene Mitarbeiterschulungen zum Thema Datenschutz und Datensicherheit. "Ferner ist natürlich eine robuste IT-Sicherheitsstruktur unerlässlich." Wichtigste To-dos für Unternehmen bei einem Datenleck: Vorab Verantwortlichkeiten und Prozesse definieren Aufklärung des Sachverhaltes: Chronologie zusammenstellen Rechtliche Prüfung: Datenpanne nach DSGVO? Besteht eine Meldepflicht? Parallel: Abhilfemaßnahmen prüfen Bei Bestehen einer Meldepflicht: zuständige Behörden und gegebenenfalls Betroffene informieren Je nach Einzelfall weitere Maßnahmen ergreifen

Autoland AG: Rekordjahr mit zweistelligem Wachstum

AÜK: Akkreditierungsunternehmen erteilt Bescheid

Jaguar Type 00 Concept: Kühne Kehrtwende

IG Metall: Fast 100.000 Teilnehmer bei VW-Warnstreiks

Automanagerin Labbé: Software verändert Handel stärker als E-Mobilität

Alle Schlagzeilen

DSGVO: Datenpanne - was nun?

HASHTAG

#Datenschutz

Verwendung von Google Fonts: Abmahnungen in Sachen Datenschutz

Irreführende Werbung und Fahrzeugüberwachung: Tesla verklagt

Verbraucherschutz & Sicherheit: 25 Jahre ADAC Test- und Technikzentrum

MEISTGELESEN

Stellantis-Chef Tavares geht: Verwaltungsrat akzeptiert sofortigen Rücktritt

Verkaufsstudie 2024: Autohandel am Scheideweg

Große Warnstreiks bei VW: Fast alle VW-Standorte betroffen

STELLENANGEBOTE

Volkswagen Kfz-Mechatroniker (m/w/d)

Werkstattmeister Karosserie (m/w/d)

Leiter IT (w/m/d)

KFZ - Mechatroniker (M/W/D) - Ferrari

Servicetechniker (m/w/d)

WEITERLESEN

NEWSLETTER