Datenschutzpanne? So handeln Unternehmen richtig

So bestraft die EU

Die Europäische Union bestraft vor allem Unternehmen, die gegen die DSGVO verstoßen. Getroffen hat es unter anderem bereits Amazon und WhatsApp, mit Strafen in der Höhe von mehreren Hundert Millionen Euro. Dass Unternehmen, die zumindest bewusst, also vorsätzlich gegen das Datenschutzrecht verstoßen, bestraft werden sollten, ist nur logisch.
Doch auch bei fahrlässigen Verstößen stellt sich die Frage, inwieweit das Unternehmen dafür die Verantwortung tragen muss. Ob und wie sehr ein Unternehmen für eine Datenpanne sanktioniert wird, hängt, neben den TOM, vor allem auch davon ab, wie darauf reagiert wurde. Wie ist mit der Datenpanne umgegangen worden und wie stark wurde vor allem gegen die Verletzung von personenbezogenen gearbeitet, auch im Nachhinein. Die DSGVO, beziehungsweise die EU stellt also darauf ab, wie sehr sich der, bei dem sich die Panne zugetragen hat, für die Sicherheit der Daten eingesetzt hat.

Was ist eine Datenpanne?

Zunächst stellt sich die Frage, was überhaupt eine Daten(schutz)panne ist. Im engeren Sinne ist sie dann gegeben, wenn eine oder mehrere, unberechtigte Person(en) Zugriff auf personenbezogene Daten haben. Im etwas weiteren Sinne fallen auch ungewollte Löschungen von Daten darunter. Also entweder wurde gegen eine Pflicht der DSGVO verstoßen und/oder der Schutz personenbezogener Daten wurde verletzt. Meist ist beides zutreffend.
Die DSGVO bezeichnet die Datenpanne als „Verletzung des Schutzes personenbezogener Daten“. Das umgangssprachliche Wort Datenpanne, gibt also viel mehr Aufschluss darauf, womit wir es hier zu tun haben. Im Englischen ist von der wesentlich treffenderen Bezeichnung „Data Breach“ die Rede. Mit dem Hintergrundwissen, wie die DSGVO die Datenpanne bezeichnet, findet sich jedoch eine Definition in Art. 4 Nr. 12 DSGVO:

„… eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtsmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Wie stellt man die Datenpanne fest?

Um auf die Panne reagieren zu können, muss einem erst einmal bewusst sein, dass sie existiert. Wie stellt man sie also fest?
In vielen Situationen fällt die Datenschutzpanne sehr schnell auf. Wenn ein USB-Stick vergessen wurde oder eine E-Mail mit sensiblen Daten an die falsche Adresse geschickt wurde, so ist einem dies meist schnell bewusst. Mitarbeiter, die in Sachen Datenschutz vorschriftsmäßig geschult sind, geben dann schnell ihrem Vorgesetzten Bescheid.
Außerdem sollten normalerweise regelmäßige Routine-Kontrollen durchgeführt werden, bei denen dann eine Panne auffällt. Häufig ist ein Defekt oder dergleichen für eine Offenlegung verantwortlich. Auch wenn Daten verschwunden sind, obwohl sie einer Aufbewahrungspflicht unterliegen, fällt dies schnell auf. Wenn man Opfer eines Hackerangriffs wurde, ist dies im Normalfall, mit einer Konsequenz verbunden. Wenn Hacker Zugriff zu den Daten der Kunden haben, so kann es sein, dass sie diesen Phishing-Mails schicken, woraufhin sich der Kunden beim Unternehmen meldet. Dies ist nur ein Beispiel dessen, wie ein Hackerangriff und eine damit verbundene Datenpanne deutlich werden können.

Die Meldepflicht

Im Falle einer „Verletzung des Schutzes personenbezogener Daten“, kann es sein, dass diese meldepflichtig ist. Wird gegen die Meldepflicht verstoßen, so ist dies ein Verstoß gegen die DSGVO und wird dementsprechend sanktioniert. Den betreffenden Verantwortlichen sollte also stets bewusst sein, wann sie die Panne melden müssen und wann nicht.

Wann ist die Datenpanne meldepflichtig?

Die Datenpanne ist in drei Fällen meldepflichtig:

1.Durch die Datenpanne erfolgte ein Datenschutzverstoß.
Falls dies nicht sicher ist, sollten seitens der Verantwortlichen genaue Untersuchungen durchgeführt werden. Wenn der Verstoß dann zweifelsfrei ausgeschlossen ist, so muss die Panne nicht gemeldet werden.

2.Die Panne führte zu einem unberechtigten Zugriff auf personenbezogene Daten.
Auf jeden Fall muss die Datenschutzpanne gemeldet werden, wenn dadurch ein unberechtigter Zugriff auf personenbezogene Daten erhalten hat.

3.Ein Zugriff auf die Daten führte zu Schäden oder Risiken für Betroffene.
Ebenfalls meldepflichtig sind Fälle, in denen ein Zugriff auf die Daten zu Risiken für die Rechte und Freiheiten der Personen führten, deren Daten betroffen sind. Gleiches gilt, wenn für diese Personen Schäden durch die Panne entstanden sind.

Wie sieht eine Meldung aus?

Ist einer dieser Fälle einschlägig, so muss dies der zuständigen Aufsichtsbehörde mitgeteilt werden. Doch was gilt es dabei zu beachten, beziehungsweise, wie handeln Unternehmen hier, bei einer Datenschutzpanne, richtig?
Zunächst gilt es, eine Frist einzuhalten. Die Panne muss nämlich innerhalb von 72 Stunden gemeldet werden.
Art. 33 DSGVO normiert, was der Behörde alles mitzuteilen ist. Die Behörde benötigt die Kontaktdaten des zuständigen Datenschutzbeauftragten. Zudem muss die Panne genau eingeordnet werden. Damit ist gemeint, dass genau erklärt werden muss, wie verstoßen wurde, wie viele Personen betroffen sind und um was für Daten es sich handelt. Auch müssen die Folgen für die Betroffenen eingeordnet werden. Die Aufsichtsbehörde muss auch darüber aufgeklärt werden, welche Maßnahmen seitens des Unternehmens ergriffen werden, um personenbezogene Daten bestmöglich zu schützen.
Daneben sollten der gesamte Vorgang und alle ergriffenen Maßnahmen dokumentiert werden. Dies dient der Behörde zur Einordnung der Situation und dient vor allem auch dem Unternehmen, sich im Falle einer möglichen Sanktion rechtlich abzusichern. Außerdem kann so der Schaden für sich und die betroffenen Personen minimiert werden.

Fazit

Die EU bestraft Datenschutzverstöße. Im Falle einer Datenpanne gilt es, für Unternehmen, richtig zu handeln. Zunächst muss die Datenpanne erst einmal erkannt werden und richtig eingeordnet werden. Ist dies geschehen, so muss differenziert werden, ob sie der Aufsichtsbehörde zu melden ist oder nicht.
Ist die Verletzung des Schutzes personenbezogener Daten meldepflichtig, so ist es wichtig, ruhig und überlegt zu handeln und vor allem alles zu dokumentieren. Der Aufsichtsbehörde muss innerhalb von 72 Stunden alles Relevante gemeldet werden.
Empfehlenswert ist es generell, einen externen DSB heranzuziehen, der auch in so einer Krisenzeit sinnvoll und verantwortungsbewusst mit der Situation umzugehen weiß.
Die Folgen einer nicht ordnungsgemäßen Reaktion auf eine Daten(schutz)panne, können so bestmöglich abgewendet werden.

Die Immerce GmbH ist Ihre/eine Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für Ihre Kunden Suchmaschinenoptimierung. Seit 2018 mit der Einführung der DSGVO betreut die Immerce GmbH Ihre Kunden erfolgreich in Datenschutz & IT-Sicherheit mit TÜV geprüften Datenschutzauditoren und Informationssicherheitsbeauftragten nach ISO 27001.

Firmenkontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0) 8323 – 209 99 40
info@immerce.de
https://www.immerce-consulting.de/

Pressekontakt
Immerce GmbH
Carvin Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0)8323 – 209 99 40
carvin.muens@immerce.de
https://www.immerce-consulting.de/

Die Bildrechte liegen bei dem Verfasser der Mitteilung.