Verstöße gegen die DS-GVO erkennen und richtig handeln
Wenn wir den Datenschutz umsetzen, dann geht es vor allem darum, die personenbezogenen Daten von Betroffenen zu schützen. Was personenbezogene Daten sind, lesen Sie in einem anderen Artikel von Datenschutzberater.NRW.
Alle Maßnahmen, die wir an dieser Stelle wöchentlich vorstellen, sollen dazu beitragen. Aber auch wenn man sich an alle Vorgaben hält, kann es im Datenschutz zu sogenannten Datenpannen kommen. Wie man dann richtig reagiert und worauf man achten muss, fassen wir Ihnen heute noch einmal in diesem Blog zusammen.
Das Wichtigste: alles tun, um Datenpannen zu vermeiden
Erst einmal ist es wichtig, dass ein Unternehmen alles tut, um Datenpannen zu vermeiden. Dazu gehört es die wichtigsten Bausteine der Datenschutzgrundverordnung (DS-GVO) in Schule, Unternehmen, Vereinen, Praxen und allen, die personenbezogene Daten verarbeiten, umzusetzen. Diese sind beispielsweise:
- technische und organisatorische Maßnahmen (TOM)
- Betroffenenrechte
- Informationspflichten für Betroffene
- Verzeichnis von Verarbeitungstätigkeiten (VVT)
- Datenschutzfolgenabschätzung
Vor allem die technischen und organisatorischen Maßnahmen und die Datenschutzfolgenabschätzung sollen die Sicherheit der Daten gewährleisten.
Ein Unternehmen sollte also bei jedem Vorgang, in dem personenbezogene Daten verarbeitet werden genau prüfen, ob diese vor dem Zugriff von Unbefugten ausreichend geschützt werden. Auch die Mitarbeiter sollten für den datenschutzkonformen Umgang mit den Betroffenendaten geschult werden.
Was ist eine Datenpanne im Datenschutz?
Trotz aller Maßnahmen: Eine Datenpanne kann trotz aller Sicherheitsvorkehrungen in jedem Unternehmen passieren. Doch wann sprechen wir von einer Datenpanne? Was sollte gemeldet werden?
Eine Datenpanne liegt immer dann vor, wenn personenbezogene Daten einer natürlichen Person an einen Unbefugten gelangen. Das kann natürlich auf verschiedene Weise passieren. Ein verlorenes Smartphone, ein geklauter Laptop kann genauso eine Datenpanne sein, wie eine falsch weitergeleitete E-Mail mit personenbezogenen Daten. Aber auch, wenn Daten ohne die Einwilligung oder eine gesetzliche Grundlage von Betroffenen – übrigens auch intern – weitergegeben werden. Hackerangriffe, falsche Auskunft am Telefon, Einbrüche, Fotos am Arbeitsplatz in sozialen Medien – die Liste, die man immer wieder in den Medien findet, kann man sicher noch weiterführen.
Egal ob technischer Fehler oder der Faktor Mensch, werden personenbezogene Daten unberechtigt weitergegeben oder gar offengelegt, muss diese Datenpanne gemeldet werden.
Mehr zu den meldepflichtigen Datenpannen finden Sie auch hier.
Eine Datenpanne im Datenschutz – und nun?
Eine Datenpanne kann trotz aller Vorsicht vorkommen. Genauso wie es wichtig ist alles daran zu setzen, um eine Datenpanne zu verhindern, genauso wichtig ist es, auf eine mögliche Datenpanne vorbereitet zu sein.
Machen Sie einen Plan, wie man gewährleistet, dass mit einer Datenpanne richtig umgegangen wird. In diesem muss festgelegt werden, wie eine mögliche Datenpanne festgestellt und im vorgegebenen Zeitrahmen gemeldet werden kann.
Dokumentation und Meldung einer Datenpanne
Liegt eine Datenpanne vor, muss diese bei der Aufsichtsbehörde gemeldet werden, und zwar: ab Bekanntwerden innerhalb von 72 Stunden. Dabei ist es egal, ob es sich um einen Wochen-, Sonn- oder Feiertag handelt. Meldepflichtig sind dabei die Datenverluste, von denen ein Risiko für den Betroffenen ausgeht. Vergessen Sie nicht, auf jeden Fall auch den Betroffenen zu informieren.
Neben der Meldung der Datenpanne ist auch die Dokumentation dieser wichtig. Die Dokumentation gilt für meldepflichtige und nicht meldepflichtige Vorfälle. Auch bei der Meldung gilt: Mehr ist mehr. Melden Sie eine mögliche Datenpanne bei einer Unsicherheit lieber einmal mehr.
Aus Fehlern lernen: Datenpannen sollten sich nicht wiederholen
Liegt eine Datenpanne vor, ist neben der Meldung nicht nur die Dokumentation wichtig. Man sollte auf jeden Fall sicherstellen, dass eine erneute Datenpanne nicht vorkommen kann. Die mögliche Sicherheitslücke muss geschlossen werden und alles darangesetzt werden, dass eine erneute Panne nicht passieren kann.
Auch diese Anstrengungen sollten dokumentiert und der Aufsichtsbehörde weitergegeben werden.
Mitarbeiter informieren
Um die Informationsketten bei einer Datenpanne in den 72 Stunden ausreichend einhalten zu können, müssen auch die Mitarbeiter mit in die Organisation eingebunden werden. Durch ein gutes Konzept zum Vorgehen bei Datenpannen, über das die Mitarbeiter informiert werden, kann eine schnelle Reaktion gewährleistet werden.
Informieren Sie die Mitarbeiter in regelmäßigen Abständen über die Vorgehensweisen, aber auch mögliche Datenpannen, um diese zu verhindern. Mitarbeiterschulungen gehören zur Grundlage des Datenschutzes.
Externer Datenschutzberater bei Datenpannen immer involvieren
Um Datenpannen richtig zu behandeln und mögliche Strafen verhindern zu können, sollte ein Fachmann hinzugezogen werden. Dieser kann beratend bei den Maßnahmen zur Umsetzung des Datenschutzes tätig sein, bestehende Maßnahmen kontrollieren und bei Datenpannen zur Unterstützung hinzugezogen werden.
Ein externer Datenschutzbeauftragter hilft dem Unternehmen, Datenschutz gesetzeskonform umzusetzen und kann das Unternehmen unabhängig beraten.
Das Team von Datenschutzberater.NRW stellt einen externen Datenschutzbeauftragten (TÜV) und unterstützt die Mandanten unter anderem mit folgenden Aufgaben:
- Datenschutz-Erstberatung
- Datenschutz-Audit
- IT-Audit
- GoBD-Beratung – Verfahrensdokumentation
- Mitarbeiterschulungen im Datenschutz
- Projektbezogenem Datenschutz
- Website-Scan zur DS-GVO-konformen Homepage
Gerne erstellen wir Ihnen ein individuelles und praxisnahes Angebot für Ihr Unternehmen. Wir betreuen Schulen und andere Bildungseinrichtungen, Vereine, Praxen und KMU im Großraum Köln, Bonn, Siegburg, Düsseldorf und Siegen.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob bei Ihnen eine Datenpanne vorliegt oder Sie die Vorgaben der DS-GVO einhalten, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.