Worum geht es?
Für Datenschutzvorfälle besteht eine Meldepflicht gegenüber der Aufsichtsbehörde, es sei denn die Verletzung führt nur zu einem geringfügigen Risiko für die Rechte und Freiheiten der betroffenen Personen.
Damit schnell reagiert wird, hat der Gesetzgeber eine Meldefrist von 72 Stunden nach Bekanntwerden des Vorfalls gesetzt. Diese Meldefrist ist in jedem Fall einzuhalten.
Was ist im Vorfeld zu beachten?
- Erläutern Sie allen Mitarbeitenden, was ein Datenschutzvorfall ist, und wie Sie sich zu verhalten haben. Erstellen Sie z.B. eine Liste von praktischen Beispielen, die im Arbeitsalltag des Beschäftigungsbereichs vorkommen können, oder legen Sie eindeutige Kriterien fest, anhand derer die Beschäftigten eine Verletzung des Schutzes personenbezogener Daten erkennen können.
- Stellen Sie sicher, dass alle Beschäftigten über die Bedeutung eines Datenschutzvorfalls informiert sind.
- Erstellen Sie eine Richtlinie für Datenschutzvorfälle, die alle Schritte und notwendigen Prozesse regelt.
- Legen Sie Verantwortliche für die einzelnen Prozessschritte fest, damit im „Ernstfall“ jeder informiert ist, was zu tun ist, und von wem.
- Besprechen Sie die Richtlinie mit ihrem Datenschutzbeauftragten. Er hat die notwendige Kompetenz.
Welche Dokumente benötige ich?
Damit Sie auf einen eventuell eintretenden Datenschutzvorfall vorbereitet sind, sollten Sie einige Dokument vorhalten, die im Falle einer Meldung den Ablauf erleichtern und standardisieren.
- Prozessbeschreibung oder Prozessdiagramm
- Liste der Verantwortlichen mit Funktionsbezeichnungen, damit auch im Falle von Abwesenheiten einzelner Personen Verantwortlichkeiten klar sind.
- Ein interner Meldebogen, um den Sachverhalt zu beschreiben. Dieser kann sich an dem Meldebogen der Aufsichtsbehörde orientieren. Den Meldebogen der Aufsichtsbehörde, oder die Daten, die über ein Online-Formular abgefragt werden, finden Sie auf der Internetseite Ihrer Aufsichtsbehörde.
- Ein Bogen zur Risikobeurteilung für die Rechte und Freiheiten der betroffenen Personen. Dieser Bogen muss die möglichen Risikofaktoren, die Eintrittswahrscheinlichkeit und die mögliche Schadenshöhe berücksichtigen.
- Ein Beurteilungsbogen für den Datenschutzbeauftragten, der in solche Fälle immer eingebunden werden sollte.
Was tun, wenn ein Datenschutzvorfall eintritt?
Früher oder später wird es auch in Ihrer Organisation oder Ihrem Unternehmen zu einem Datenschutzvorfall kommen. Sei es durch eine Unachtsamkeit einer beschäftigten Person, oder durch einen gezielten Angriff von außen. Wenn Sie sich im Vorfeld vorbereitet haben, zahlen sich Ihre Vorbereitungen jetzt aus.
- Bewahren Sie Ruhe. Auch wenn mit Bekanntwerden des Vorfalls die 72-Stunden-Frist zu laufen beginnt, sollten Sie die in Ihrer Richtlinie festgelegten Schritte nacheinander ausführen. So stellen Sie sicher, dass nichts vergessen wird.
- Erfassen Sie umgehend die bekannten Fakten und führen Sie eine Risikoabwägung durch.
- Wenn möglich ergreifen Sie Sofortmaßnahmen, um den Vorfall abzustellen.
- Binden Sie den Datenschutzbeauftragten ein.
- Entscheiden Sie anhand der Risikobeurteilung, ob der Vorfall meldepflichtig ist.
- Prüfen Sie, ob die Betroffenen informiert werden müssen.
- Analysieren Sie, wie es zu dem Vorfall kommen konnte, und ergreifen Sie Maßnahmen, um dies zukünftig zu verhindern.
Fazit
Ein Datenschutzvorfall, oder eine Datenpanne kann jede Organisation und jedes Unternehmen treffen. Wichtig ist es für den Ernstfall gut vorbereitet zu sein, und ein funktionierendes Notfallmanagement vorzuhalten.
Dokumentieren Sie jede Datenschutzverletzung, auch wenn sie nicht meldepflichtig ist. Hierzu sind Sie vom Gesetzgeber verpflichtet. Wenn Sie sich entscheiden eine Datenschutzverletzung nicht zu melden, dokumentieren Sie in jedem Fall Ihre Entscheidungsfindung. Dabei ist eine Risikobeurteilung unumgänglich.