Bei Versäumnissen im Umgang mit Schutzverletzungen personenbezogener Daten drohen neben teils erheblichen Bußgeldzahlungen auch Reputations- und Haftungsrisiken. Wirksame Notfall- und Krisenmanagementprozesse zum richtigen Handeln bei Datenlecks, Cyber-Angriffen oder anderen Datenverlusten geben Handlungssicherheit und sind wesentlicher Bestandteil einer ganzheitlichen Prävention.
Die DSGVO und nachfolgend angepasste Gesetze wie das Bundesdatenschutzgesetz, das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland oder das Gesetz über den Kirchlichen Datenschutz erfordern eine zeitnahe Meldung an die jeweils zuständige Aufsichtsbehörde, zumeist binnen 72 Stunden nach Kenntniserlangung. Bei neuen Erkenntnissen zu der jeweiligen Datenschutzverletzung muss der Aufsichtsbehörde darüber hinaus ein entsprechendes Update mitgeteilt werden. Zusätzlich bestehen unter Umständen erhebliche Informationspflichten gegenüber dem oder den Betroffenen. Dies stellt die betroffene Organisation insbesondere dann vor erhebliche Herausforderungen, wenn sehr umfangreiche Datensätze betroffen sind oder der Datenschutzbeauftragte erst spät über den Sachverhalt informiert wird. Erfolgen diese Maßnahmen überhaupt nicht, verspätet, nur zögerlich oder unvollständig, drohen der Organisation empfindliche Bußgelder. Hinzu kommen zivilrechtliche Forderungen, Haftungsrisiken und Reputationsschäden.
Von wesentlicher Bedeutung ist daher neben der Zuordnung von Rollen- und Verantwortlichkeiten im Datenschutz innerhalb der Organisation sowie Aufbau, Pflege und Weiterentwicklung des Datenschutzmanagementsystems vor allem die organisationsweite Verankerung entsprechender Melde- und Eskalationsmechanismen; der Datenschutzbeauftragte benötigt zu jedem Zeitpunkt ein klares und eindeutiges Lagebild über sämtliche datenschutzrelevanten Entwicklungen in der gesamten Organisation und allen Beteiligungsgesellschaften, damit die entsprechenden Maßnahmen zur Erfüllung der regulatorischen Vorgaben ohne zeitliche Verzögerungen adressiert werden können.
Zusätzlich besteht die Pflicht zur umgehenden Umsetzung von risikominimierenden Maßnahmen zum Schutz des oder der Betroffenen und zur Eindämmung des jeweiligen Datenlecks. Der Komplexität der Organisation und Ihres IT-Informationsverbunds, des Ausmaßes eines Teils der IT-Angriffe sowie auch mancher unbeabsichtigter, fahrlässiger Datenpreisgaben kann innerhalb einer Organisation nur im partnerschaftlichen Verbund der beteiligten Ressorts und Fachbereiche begegnet werden.
Hierzu sind abgestimmte Kommunikations- und Krisenmanagementprozesse zwischen, abhängig der individuellen Organisation, z.B. Datenschutz, Compliance, Informationssicherheit, Konzernsicherheit, Revision, Kommunikationsabteilung und vor allem auch der Geschäftsführung zu etablieren. Insbesondere dem Aspekt des Cyber-Krisenmanagements und der Vorgehensweise zur Eindämmung eines IT-Angriffs oder zur Durchführung gerichtsverwertbarer interner forensischer Untersuchungen sind hierbei hervorgehobene Bedeutung beizumessen.
Zur wirksamen Risikominimierung durch Prävention empfiehlt sich als Teil der Etablierung eines ganzheitlichen, organisationsweiten Krisenmanagementsystems auch die Implementierung von Instrumenten zur Krisenkommunikation. Welche internen und externen Kommunikationsmaßnahmen sind im Falle eines Datenlecks in welcher Form zu adressieren? Wie kommuniziert die Organisation im Falle einer Cyber-Krise? Welche Maßnahmen wurden durch das Unternehmen adressiert und wie unterstützt es den oder die Betroffenen?
Wirksame Risikominimierungs- und Präventionsinstrumente sind immer organisationsweit zu betrachten und können nur unter Kooperation und Mitwirkung der jeweils relevanten Fachbereiche mit der Zielsetzung der Schaffung ganzheitlicher, übergreifender „Resilience“ umgesetzt werden.