Datenpanne
Erich von Maurnböck

Erich von Maurnböck

Datenpanne – Was ist zu tun?

Ein Email, das versehentlich an den falschen Empfänger geschickt wird, das Entsorgen eines Formulars mit Namen eines Kunden oder der Verlust des unverschlüsselten Diensthandys in der Straßenbahn: Auch Ihnen kann eine Datenpanne passieren – und zwar schneller als Sie denken!

Datenpanne – Datenschutzverletzung – Datenschutzvorfall – Data Breach: Die Begriffe werden alle synonym verwendet und beschreiben eine äußerst unangenehme Situation:

Bei einer Datenpanne wird die Datensicherheit verletzt, sprich: Ein angemessener Datenschutz kann nicht mehr gewährleistet werden.

Nun wollen wir uns gleich einige Beispiele für Datenpannen ansehen, um das Thema besonders praxisnah zu verstehen:

•Die Löschung von Daten durch eine nicht autorisierte Person = Datenverlust
•Ein Datendiebstahl (durch Hacking oder physisches Eindringen in ein Büro)
•Verlust eines unverschlüsselten Laptops, Smartphones, USB-Sticks
•Entsorgen von ungeshredderten Papierakten im Müll
•Weiterleitung von personenbezogenen Daten an einen unberechtigten Empfänger
•etc. …

Was ist nun zu tun, wenn sich in Ihrem Unternehmen ein ähnliches Szenario wie die oben beschriebenen ereignet hat?

Für das Vorgehen in einer solchen Situation muss intern ein Prozess festgelegt werden – und zwar vorab, sodass im Datenschutz-Notfall sofort klar ist, wie vorgegangen werden muss. Bei der Erstellung eines solchen Leitfadens stehen wir Ihnen sehr gerne zur Seite.

Melden Sie die Datenpanne unbedingt sofort der dafür intern zuständigen Person – auch wenn es sich nur um einen Verdacht handelt! Das kann Ihr Vorgesetzter, ein Datenschutzbeauftragter oder auch ein interner Datenschutzkoordinator sein.

Der oder die Zuständige(n) muss daraufhin eine Risikoabschätzung vornehmen und zusammen mit der Geschäftsführung über weiter Schritte entscheiden.

Meldung einer Datenpanne bei der Datenschutzbehörde:
ACHTUNG: Diese muss innerhalb von nur 72 Stunden nach Bekanntwerden der Datenpanne – das heißt nachdem die erste Person diese bemerkt hat – erfolgen. Wird diese Frist nicht eingehalten, kann es zu hohen Strafen kommen!

Die Datenschutzbehörde muss allerdings nicht über jede Datenschutzverletzung informiert werden, sondern nur dann, wenn ein Risiko für die betroffenen Personen besteht.

Zusätzlich müssen sofort Maßnahmen eingeleitet werden, um das Risiko für Betroffene zu minimieren. Diese Maßnahmen müssen der Behörde in der Meldung ebenfalls mitgeteilt werden.

Wie so eine Verständigung der Datenschutzbehörde nun genau abläuft und was sie alles beinhalten muss, werden wir nächste Woche detailliert beschreiben.

Unser Praxistipp der Woche: Lösen Sie möglichst keine Datenpannen aus ;).

Share on linkedin
Share on xing
Share on facebook
Share on twitter
Share on pinterest
Share on email

Weitere Beiträge

Und gleich abonnieren