Datenpannen oder Datendiebstähle passieren in Unternehmen jeden Tag. Doch was müssen Sie tun, wenn Sie z. B. erfahren, dass ein unverschlüsselter USB-Speicherstick mit sensiblen Daten verloren gegangen ist oder personenbezogene Daten durch einen Angriff auf Ihre IT abgeflossen sind? Unter der EU-Datenschutz-Grundverordnung (DSGVO) gelten für Datenpannen die in Art. 33 und Art. 34 zu ergreifenden Maßnahmen. Sie sollten deshalb schnell, aber auch achtsam und juristisch korrekt handeln. Unser Plan für eine Datenpanne hilft Ihnen dabei.
1. Schritt: Datenschutzpannen umgehend bemerken
Wie schnell würde in Ihrem Unternehmen ein Datenleck oder Datenverlust auffallen? Ein möglicher Schaden lässt sich nur dann in Grenzen halten, wenn Vorfälle möglichst sofort entdeckt und Gegenmaßnahmen ergriffen werden. Sowohl ihre IT als auch ihre Mitarbeiter sollten daher für Auffälligkeiten sensibilisiert sein. Kontrollieren Sie, ob entsprechende technische Vorkehrungen der Informationssicherheit getroffen sind und ob ungewöhnliche Ereignisse von den Verantwortlichen genügend ernst genommen und überprüft werden.
- Erfolgt eine Warnung bei fehlgeschlagenen Anmeldeversuchen und unerlaubten Zugriffen auf das Dateisystem? Wie werden solche Ereignisse behandelt?
- Besteht ein Monitoring für den Datenverkehr? Wie wird bei Anomalitäten vorgegangen?
- Inwieweit erfolgt eine regelmäßige Kontrolle zentraler Server?
- Sind die Mitarbeiter hinreichend sensibilisiert, so dass diese in der Lage sind Datenpannen zu bemerken?
- Wie sind die Meldewege für Datenpannen definiert und sind sie allen Mitarbeitern bekannt?
- Gibt es ein zentrales Regelungsdokument zum Datenschutznotfall?
2. Schritt: Der Situation Herr werden durch Implementation eines Incident-Response-Managements
Um angemessen auf einen Vorfall reagieren zu können, müssen Sie selbstverständlich zunächst erfassen, was passiert ist. Dafür sollten eindeutige Zuständigkeiten definiert sein. Wenn Sie etwa feststellen, dass Ihre Webseite gehackt wurde: Wen können Sie rund um die Uhr erreichen, der die Sicherheitslücke schließt und umgehend prüft, auf welche Daten zugegriffen wurde? Sind auch alle anderen Mitarbeiter darüber informiert, an wen sie sich wenden können und wen sie informieren müssen?
Am besten erstellen Sie für dieses Vorgehen eine Notfallliste mit sämtlichen Ansprechpartnern und deren Kontaktdaten, insbesondere dem Datenschutzbeauftragten. Ziel ist es, dadurch ein Incident-Response-Management aufzubauen, mit dem auf eine Störung (Incident) unmittelbar reagiert (Response) werden kann.
3. Schritt: Gesetzliche Pflichten nach Art. 33 und Art 34 DSGVO beachten
Gemäß Art. 33 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu melden. Die Aufsichtsbehörden haben hierfür größtenteils online umfangreiche Eingabemasken eingerichtet. Von einer Meldung kann nur dann abzusehen sein, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führt und setzt demnach die Beschäftigung mit einer dahingehenden Prognoseentscheidung des Verantwortlichen voraus.
Zur Abschätzung des Risikos hat die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – DSK) in ihrem Kurzpapier Nr. 18 eine Hilfestellung veröffentlicht. Zudem kann hierbei auch unsere Muster-Richtlinie zur Risikobeurteilung und die entsprechende Erklärung eine erste Hilfestellung bieten.
Ob der Verantwortliche im Zweifel eher melden sollte und was die Entscheidung beeinflussen könnte, kann in unserem Artikel zur Selbstbelastungsfreiheit bei Datenschutznotfällen nachgelesen werden.
Stellt sich bei der Risikobewertung heraus, dass voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so sind gemäß Art. 34 DSGVO auch die betroffenen Personen deren Daten Gegenstand der Notfalls waren zu benachrichtigen.
Doch der Umgang mit einer Datenpanne endet keinesfalls mit der Meldung bei der Aufsichtsbehörde und ggfs. der Wiederherstellung des Normalbetriebs. Bereits bei der Meldung wird abgefragt, welche Maßnahmen zur Eindämmung des Risikos akut unternommen wurden. Teil der Dokumentation des Datenschutznotfalls ist daher auch die Aufarbeitung und das Implementieren von Maßnahmen, die einen weiteren Datenschutznotfall dieser Art verhindern können.
Auch wenn die durchgeführte Risikobewertung nicht in einer Meldung des Vorfalls an die zuständige Aufsichtsbehörde endet, muss der erkannte Vorfall nach Art. 33 Abs. 5 DSGVO gleichwohl entsprechend dokumentiert werden. Dies dient der Information der Aufsichtsbehörde im Falle einer Prüfung, was Grundlage dieser Entscheidung war.
Ein zentraler Punkt ist auch bei Datenpannen die rechtzeitige Einbindung des Datenschutzbeauftragten. Dieser kann aus neutraler Sicht entscheidende Hilfestellungen zur Risikobewertung geben und letztlich in der Funktion als weißungsunabhängige Kontrollinstanz zur richtigen Handhabe des Vorfalls durch das Unternehmen einen unverzichtbaren Beitrag leisten.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.