Tipps: 5 Maßnahmen bei einer Datenschutzverletzung

Eine Datenschutzverletzung kann leichter passieren als gedacht. Doch was ist dann zu unternehmen? Vor allem schnelles und unverzügliches Handeln ist wichtig. Wir stellen fünf Maßnahmen bei einer Datenpanne vor.

Zeitfenster beachten

Laut §33 DSGVO (Datenschutz-Grundverordnung) muss eine Datenpanne der zuständigen Aufsichtsbehörde sowohl unverzüglich als auch binnen 72 Stunden gemeldet werden.

Ist eine Meldung nicht innerhalb von diesem Zeitrahmen möglich, muss eine schriftliche Erklärung erfolgen. Doch ist eine Meldung immer erforderlich? Dazu mehr in Maßnahme drei.

Maßnahme #1: sofortiges Handeln

Erfolgt eine Datenschutzpanne können, entsprechend der Verletzung, sofortige Erste-Hilfe-Maßnahmen eingeleitet werden.

Dazu zwei Beispiele aus der Praxis:

1. Installation einer Schadsoftware > Sofort die zuständige IT-Abteilung kontaktieren und den Computer vom Internet trennen.
2. Dokumente weggeworden ohne diese zu schreddern > Dokumente wieder einsammeln und ordnungsgemäß vernichten

Maßnahme #2: Meldung an den Datenschutzbeauftragen

Tritt eine Datenschutzverletzung auf, müssen die Verantwortlichen in dem Unternehmen oder Verein unverzüglich informiert werden. Außerdem muss der Datenschutzbeauftrage eine Meldung über die Datenpanne erhalten.

Die Verantwortlichen entscheiden anschließend darüber, welche weiteren Maßnahmen umgesetzt werden müssen. Das ist abhängig von dem potenziellen Schaden der Datenpanne.

Maßnahme #3: Aufsichtsbehörden informieren

Die zuständigen Aufsichtsbehörden müssen informiert werden, wenn die folgende Voraussetzung erfüllt ist: Wenn die Datenschutzverletzung ein Risiko für den*ie Betroffene*en darstellt.

Dann müssen die oben genannten Zeitfenster berücksichtigt werden. Doch was gilt als Risiko?

Das Risiko bezieht sich nicht auf das Unternehmen sondern auf den*ie Betroffenen*e. Mögliche Risiken sind beispielsweise:

• Verlust des Arbeitsplatzes
• Mögliche Diskriminierung
• Finanzielle Einbußen

Die Meldung an die Aufsichtsbehörde sollte laut §33 DSGVO mindestens folgende Informationen beinhalten:

1. Art der Verletzung
2. Welche Daten sind betroffen
3. Ungefähre Anzahl der betroffenen Personen
4. Namen und Kontaktdaten des Datenschutzbeauftragten
5. Mögliche Folgen der Verletzung
6. Geplante oder bereits getroffene Maßnahmen zur Behebung der Verletzung

Maßnahme #4: Betroffenen*e informieren

Nicht nur die zuständigen Aufsichtsbehörden sollten informiert werden. Das gilt ebenfalls für die betroffenen Personen.

Ob eine betroffene Person informiert werden muss, ist zunächst eine Risikoabwägung vorzunehmen. Stellt die Datenschutzpanne ein hohes Risiko dar, muss die betroffene Person benachrichtigt werden. Bei der Abwägung können die Aufsichtsbehörden unterstützen.

Maßnahme #5: transparente und umfassende Dokumentation

Punkt 5 von §33 DSGVO weist nochmal explizit auf die sogenannte Dokumentationspflicht hin. Die*er Datenschutz-Verantwortliche hat die Aufgabe, folgende Informationen lückenlos zu dokumentieren:

1. Verletzungen des Schutzes personenbezogener Daten
2. Alle damit im Zusammenhang stehenden:
   1. Fakten
   2. Auswirkungen
   3. Ergriffenen Abwehrmaßnahmen

Ziel der Dokumentation ist, dass zum einen eine lückenlosen Nachverfolgung durch die Behörde. Zum anderen als Begründung warum eine Meldung an die Behöre nicht erfolgte.

Wichtig: Die Dokumentationspflicht greift immer, unabhängig davon ob die Datenschutzverletzung meldepflichtig war oder nicht.