Jede Unregelmäßigkeit bei der Verarbeitung personenbezogener Daten kann eine Datenschutzverletzung bzw. einen Datenschutzvorfall darstellen. Welche Maßnahmen zu ergreifen sind, hängt vom individuellen Fall ab. Vor einer Meldung an die verantwortliche Aufsichtsbehörde sollten Sie sich dabei nicht scheuen, zumal diese sogar zur Image-Rettung beitragen kann.
BESTEHT ÜBERHAUPT EIN MELDEPFLICHTIGER DATENSCHUTZVORFALL?
Datenschutzverstöße müssen nach der DSGVO in den Fällen gemeldet werden, in denen ein Risiko für die „Rechte und Freiheiten natürlicher Personen“ besteht. Ausführliche Informationen sind im Kurzpapier Nr. 18 der Niedersächsischen Behörde zu finden. Hier eine übersichtliche Zusammenfassung für Sie:
Stellen Sie sich zunächst folgende Fragen:
- Haben Dritte unbefugten Zugriff auf oder Einsicht in personenbezogene Daten erhalten?
- Sind Dienst-Geräte, Hardware oder Unterlagen verloren gegangen oder gestohlen worden?
- Wurden personenbezogene Daten unrechtmäßig oder zu falschen Zwecken verarbeitet?
- Wurden personenbezogene Daten unbeabsichtigt gelöscht, zerstört oder geschädigt?
Falls Sie eine der oberen Fragen mit JA beantworten können, überprüfen Sie, ob die betroffenen Daten wie folgt eingeordnet werden können:
- Handelt es sich um sog. „Risikodaten“? = Besondere Arten von Daten, wie medizinische Daten, ethnische Herkunft, Sexualleben oder religiöse Überzeugungen, siehe Art. 9 DSGVO?
- Handelt es sich um Daten, die einem Berufsgeheimnis unterliegen?
- Handelt es sich um Zahlungs- oder Kreditkartendaten?
- Handelt es sich um Daten, die im Zusammenhang mit Ordnungswidrigkeiten oder strafbaren Handlungen stehen?
- Handelt es sich um Daten, die die Möglichkeit zum Identitätsdiebstahl, zur Rufschädigung oder zur Profilerstellung anhand von persönlichen Aspekten bieten?
Falls Sie eine der vorangegangenen Fragen ebenfalls mit JA beantworten können, dann ist die Wahrscheinlichkeit hoch, dass es sich um einen meldepflichtigen Vorfall handelt. Es besteht kein Grund zur Panik – melden Sie sich aber bitte schnellstmöglich bei Ihrem Datenschutzbeauftragten.
INFORMIEREN SIE IHREN DATENSCHUTZBEAUFTRAGTEN (DSB)
Handelt es sich um einen meldepflichtigen Vorfall, dann ist die zuständige Datenschutzbehörde innerhalb von 72 Stunden zu informieren. Damit eine fundierte Einschätzung der Lage stattfinden kann und Sie keine wertvolle Zeit verlieren, sollten diese 5 W-Fragen direkt bei dem ersten Kontakt mit Ihrem DSB beantwortet werden:
- WANN hat der Vorfall stattgefunden und wann wurde dieser entdeckt (Datum, Uhrzeit, Zeitspanne)?
- WELCHE Daten sind betroffen (Liste)?
- WIE VIELE Datensätze /USER sind betroffen?
- WO ist der Vorfall passiert (bei Ihnen oder bei Ihrem Dienstleister)?
- WIE ist die Datenpanne entstanden (z.B. technischer Fehler; höhere Gewalt wie Blitzeinschlag; Hackerangriff; Schadenssoftware;…)?
Eine Meldung an die Behörde stellt Ihre Firma nicht in ein schlechtes Licht oder setzt Sie auf die „Abschussliste“ der Behörde. Mit einer Meldung erfüllen Sie Ihre rechtlichen Pflichten und vermeiden einen Verstoß gegen das Datenschutzgesetz. Fehler und Pannen passieren überall, es ist nur wichtig, mit diesen richtig umzugehen und sie nicht unter den Teppich zu kehren. Zudem schmälern Sie das Risiko eines öffentlichen Fauxpas und einer Rufschädigung für den Fall, dass eine betroffene Person den Datenschutzvorfall öffentlich macht.
BENACHRICHTIGUNG DER BETROFFENEN
Unter Umständen sind Sie darüber hinaus verpflichtet, die Betroffenen zu benachrichtigen. Diese Verpflichtung unterliegt aber nicht der 72-Stunden-Frist. Vielmehr sollten Sie sowohl das Ob der Benachrichtigung als auch das richtige Vorgehen zeitnah mit Ihrem Datenschutzbeauftragten sowie unter Umständen mit der Aufsichtsbehörde abstimmen.