Umgang mit Datenpannen: So funktioniert das professionelle Notfallmanagement
Der richtige Umgang mit personenbezogenen Daten und die konsequente Umsetzung der Vorgaben aus der Europäischen Datenschutzgrundverordnung (kurz: DSGVO) schützt Unternehmen und Organisationen vor Bußgeldern sowie Imageschäden. Trotz aller Vorsichtsmaßnahmen kann es dennoch zu Datenpannen kommen. Dann ist ein professionelles Notfallmanagement gefragt, um bei einem Datenleck schnell und gesetzeskonform handeln zu können.
Was ist eine Datenpanne?
Unter dem Begriff Datenpanne ist rechtlich immer ein Verstoß gegen die Vorschriften der DSGVO zu verstehen. Diese nennt den Begriff zwar nicht explizit, bezieht sich in den Artikeln 33 und 34 DSGVO aber genau darauf. Ebenfalls folgt aus Art. 33, 34 DSGVO, welche Maßnahmen eine Datenschutzverletzung bzw. Datenpanne auslöst und welche Folgen Datenpannen für die Verantwortlichen haben.
Datenpannen können ganz unterschiedlich aussehen. Allen Erscheinungsformen gemein ist der Umstand, dass unberechtigte Personen Zugriff auf personenbezogene Daten erhalten.
Zu Datenpannen zählen beispielsweise:
- unbewusste oder unbeabsichtigte Veröffentlichung von personenbezogenen Daten im Internet, auf einer Webseite oder per Aushang an einem „schwarzen Brett“;
- Cyberangriff per Schadsoftware, Phishing, Social Engineering oder CEO-Fraud;
- Missbrauch von Zugriffsrechten durch unberechtigte Personen;
- E-Mail-Versand bei fehlender Verschlüsselung;
- E-Mail-Fehlleitungen;
- Datenverlust durch fehlerhafte Entsorgung von Datenträgern;
- Verlust von unverschlüsselten Datenträgern.
Datenpannen beruhen fast immer auf menschlichem Fehlverhalten. Datenpannen können häufig überhaupt erst dort auftreten, wo Mitarbeitende oder Unternehmensangehörige Fehler machen. Umso wichtiger ist es daher für Unternehmen, Mitarbeitende umfassend zu schulen und für Sicherheitsrisiken zu sensibilisieren. Das gilt nicht nur ganz allgemein zum Thema Datenschutz für Mitarbeitende, sondern gerade auch dort, wo spezielle bzw. höhere Anforderungen gelten wie zum Beispiel für den Datenschutz im Personalwesen oder für den Datenschutz im Marketing.
Folgen
Eine Datenpanne bleibt nach dem Willen des europäischen Gesetzgebers nicht folgenlos. Erlangt ein Unternehmen oder eine Organisation Kenntnis davon, dass es intern zu einer Datenpanne gekommen ist, werden umfassende Prüfungspflichten relevant, die im Rahmen eines Krisenmanagements abgearbeitet werden müssen.
Dabei ist vor allem zu prüfen:
- was passiert ist;
- ob, welche und wie viele personenbezogene Daten i.S.d. DSGVO betroffen sind;
- welche Personen bzw. Personengruppen durch die Datenpanne betroffen sind;
- ob Gegenmaßnahmen noch möglich sind;
- welche Auswirkungen die Datenpanne voraussichtlich auf das Unternehmen haben wird;
- ob die zuständige Aufsichtsbehörde informiert werden muss;
- ob die Betroffenen ebenfalls informiert werden müssen.
Der rechtskonforme Umgang mit Datenpannen ist Bestandteil des E-Learnings von lawpilots zum Thema Datenschutz für Führungskräfte, aber auch Inhalt anderer Online-Schulungen wie zum Beispiel Datenschutz für gewerbliche Mitarbeitende und Datenschutz für öffentliche Einrichtungen. Nur durch das entsprechende Know-how der Belegschaft wird gewährleistet, dass die Meldung von Datenpannen gemäß den gesetzlichen Verpflichtungen erfolgt. Dies gilt gerade auch dann, wenn das Unternehmen im Bereich Datenschutz grundsätzlich die Vorgaben aus der DSGVO beachtet. Schon kleinste Fehler und Unachtsamkeiten können im unternehmerischen Alltag zu Datenpannen führen.
Wie sieht die Meldung einer Datenpanne aus?
Datenpannen müssen der zuständigen Aufsichtsbehörde des jeweiligen Bundeslandes gemeldet werden, wenn personenbezogene Daten i.S.d. DSGVO betroffen sind. Wichtig zu wissen: Für die Meldung einer Datenpanne gilt eine Frist von 72 Stunden. Dies ergibt sich unmittelbar aus Art. 33 Abs. 1 S. 1 DSGVO. Für die Fristberechnung ist der Zeitpunkt der Kenntnis von den jeweiligen Umständen maßgeblich.
Eine Ausnahme von der Meldepflicht ergibt sich in Fällen, in denen eine Datenpanne nach Art. 33 DSGVO „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Als Risiko definiert der europäische Gesetzgeber die erhöhte Eintrittswahrscheinlichkeit eines drohenden Schadensereignisses. Aus dem Erwägungsgrund für die Vorschrift ergeben sich dafür explizit die folgenden Beispiele:
- Verlust der Kontrolle über die persönlichen Daten,
- Einschränkung von Rechten,
- Diskriminierung,
- Identitätsdiebstahl,
- Identitätsbetrug,
- finanzielle Verluste,
- unbefugte Aufhebung von der Pseudonymisierung,
- Rufschädigung,
- Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten,
- andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.
Wie lassen sich Datenpannen vermeiden?
Die Vermeidung von Datenpannen ist oberstes Ziel, wenn es um die Einhaltung des Datenschutzes geht. Für ein Unternehmen steht juristisch viel auf dem Spiel, wenn die DSGVO-Konformität nicht vollumfänglich gewährleistet wird. Da der rechtskonforme Umgang mit personenbezogenen Daten in den Aufgabenbereich aller Mitarbeitenden fällt, sollte eine regelmäßige Schulung der Belegschaft zur Erweiterung des Know-hows daher selbstverständlich sein. Zwar sieht die DSGVO derzeit von einer expliziten Pflicht zur Datenschutz-Schulung ab, eine indirekte Pflicht zur Schulung ist aber mindestens anzunehmen. Diese folgt aus Art. 5 Abs. 2 DSGVO, in der die allgemeine Nachweispflicht der Verantwortlichen zur Einhaltung der datenschutzrechtlichen Vorgaben normiert wird.
Damit Ihrem Unternehmen weder Bußgelder noch Imageverluste drohen, ist es wichtig, dass sich alle Mitarbeitenden mit den rechtlichen Vorgaben der DSGVO auskennen. Mit den interaktiven Online-Schulungen von lawpilots sorgen Sie dafür, dass der Wissensstand Ihrer Mitarbeitenden immer up to date ist und schützen gleichzeitig Ihr Unternehmen bzw. Ihre Organisation vor möglichen Strafen oder sogar Schadensersatzforderungen, die aus Verstößen gegen die DSGVO resultieren.
Wenn Datenpannen nicht gemeldet werden
Melden Sie eine Datenpanne verspätet oder gar nicht, droht ein Bußgeld. Dieses richtet sich in der Höhe nach Art. 83 Abs. 4 DSGVO. Demnach droht Unternehmen, die gegen die Meldepflicht verstoßen, ein Bußgeld von bis zu 10.000.000 Euro oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Gerade erst hat der Europäische Datenschutzausschuss neue Leitlinien zur Berechnung derartiger Bußgelder verabschiedet.
Die Frage, ob eine Datenpanne zu melden ist, sollte im Ernstfall schnell beantwortet werden. Dazu ist es unerlässlich, dass die Belegschaft im Unternehmen entsprechend geschult ist. Da das Thema Datenschutz wirklich alle betrifft, sind auch alle Mitarbeitenden gleichermaßen gefragt, die geltenden Regularien und Vorschriften in der täglichen Arbeit umzusetzen.
Fazit
Datenpannen weisen für Unternehmen und Organisationen großes Problem- und Konfliktpotenzial auf. Dabei stehen sowohl Datenschutzverstöße als auch die möglichen Folgen einer Nicht- oder Falschmeldung im Fokus. Die Vorbereitung auf potenzielle Datenpannen ist daher notwendig, um im „Falle des Falles“ rechtskonform zu reagieren und ggfs. Gegenmaßnahmen einzuleiten. Nur so können Sie weiteren Schaden vom Unternehmen abwehren.
lawpilots ist Experte für E-Learnings zu rechtlich-regulatorischen Themen und schult Ihre Belegschaft nicht nur zum Thema Datenschutz und rund um das Handling von Datenpannen, sondern auch in den Bereichen IT-Sicherheit, Compliance, ESG und Arbeitsschutz. Durch unsere Online-Schulungen stellen Sie sicher, dass Ihre Mitarbeitenden Ihr Unternehmen aktiv vor Bedrohungen und Schäden durch Datenschutzverstöße schützen und Risiken frühzeitig identifizieren und umgehen.