Achtung, Datenpanne! – So handeln Sie richtig

Ein verlorener Firmen Laptop, ein Hacker Angriff, eine falsch versendete E-Mail mit vertraulichen Daten – Eine Datenpanne kann jedem von uns passieren! 

Aber haben Sie sich auch schon gefragt, wie Sie denn in so einem Ernstfall eigentlich korrekt reagieren sollen?

Wir zeigen Ihnen, wie Sie im Fall der Fälle handeln sollten und welche Schritte Sie dabei beachten müssen.

Denn Achtung – durch eine falsche oder keine Reaktion machen Sie sich strafbar!

Was ist eine Datenpanne?

Eine Datenpanne ist gegeben, wenn personenbezogene Informationen versehentlich oder unrechtmäßig preisgegeben, verändert, gelöscht oder abgerufen werden. Dies kann durch technische Fehler, menschliches Versagen oder auch durch böswillige Handlungen geschehen. Die DSGVO spricht hier von einer „Verletzung des Schutzes personenbezogener Daten“.

Eine solche Verletzung liegt vor, wenn die Vertraulichkeit, Verfügbarkeit oder Integrität personenbezogener Daten verletzt wurde. Dies ist der Fall, wenn

  • Daten verloren gehen,
  • Daten ungewollt oder unberechtigt gelöscht oder verändert werden,
  • sich unbefugte Personen Zugriff auf personenbezogene Daten verschaffen,
  • oder wenn Daten unbefugten Personen offengelegt werden.

Eine Datenpanne kann schneller passieren als man vielleicht denkt… Hier ein paar Beispiele:

Der Laptop eines Mitarbeiters wird im Zug liegen gelassen.
Eine Datenbank mit Kundendaten wird versehentlich unwiederbringlich gelöscht.
Der Mailaccount eines Mitarbeiters wird gehackt.
Informationen zu einem Kunden werden an den falschen Empfänger versendet.

Welche Schritte muss ich nach Bekanntwerden einer Datenpanne durchführen?

Einerseits sollte die Datenpanne umgehend der Geschäftsleitung und anderen relevanten Abteilungen mitgeteilt werden. Zusätzlich sollten Maßnahmen ergriffen werden, um die Panne zu stoppen und weiteren Schaden bzw. Risiken zu minimieren. Die potentiellen Auswirkungen und Risiken der Datenpanne sollten beurteilt werden, um gegebenenfalls eine Meldung bei der zuständigen Datenschutzbehörde abzugeben.

Diese Schritte sind bei einer Datenpanne durchzuführen

Schritt 1: Das Risiko abschätzen

Als ersten Schritt nach Bekanntwerden einer Datenpanne, sollten Sie abschätzen, welche Folgen diese für die betroffenen Personen haben kann. Diese können einerseits finanziell sein. Andererseits zählen beispielsweise aber auch Rufschädigung oder der Verlust von vertraulichen Daten zu möglichen Konsequenzen. Genauer gesagt, sollten Sie dabei einschätzen, ob ein Risiko in Bezug auf die Rechte und Freiheiten von natürlichen Personen besteht. Außerdem ist dieses nach der Schwere des Risikos zu bewerten. Dabei sollten Sie sich unter anderem folgende Fragen stellen:

  • Welche personenbezogenen Daten verarbeite ich eigentlich?
  • Sind diese verarbeiteten Daten sensibel?
  • Habe ich geeignete Maßnahmen zum Schutz der personenbezogenen Daten getroffen?
  • etc.

Besteht voraussichtlich ein Risiko, egal welcher Stärke, müssen Sie sofort zu Schritt 2, der Meldung, übergehen. Ist das Risiko besonders hoch, ist bei der Meldung noch mehr zu beachten. Dazu aber später mehr!

Schritt 2: Die Datenpanne unverzüglich melden

Das Wichtigste vorweg: Sie müssen Ihre Datenpanne innerhalb von 72 Stunden nach Bekanntwerden melden!

Die Meldung einer Datenpanne ist von entscheidender Bedeutung, um den Schutz der Betroffenen zu gewährleisten. Durch eine rechtzeitige Benachrichtigung können potenzielle Schäden begrenzt und Gegenmaßnahmen ergriffen werden, um die Sicherheit der Daten wiederherzustellen.

Eine Datenpanne muss gemeldet werden, wenn voraussichtlich ein Risiko in Bezug auf die Rechte und Freiheiten der betroffenen Personen besteht. Ob ein Risiko besteht, muss in jedem Fall individuell beurteilt werden. Bei der Einschätzung muss immer berücksichtigt werden, wie schwer der potenzielle Schaden ist und wie wahrscheinlich der Eintritt des Schadens ist.

Bei einer Datenpanne sollten Sie sich umgehend bei Ihrem Datenschutzbeauftragten melden, damit dieser die Beurteilung des Risikos für die betroffenen Personen vornehmen kann. Je nach Risiko müssen anschließend entweder eine oder zwei Meldungen durchgeführt werden.

Eine Datenpanne ist passiert, aber Sie haben noch keinen Datenschutzbeauftragten? Dann sichern Sie sich gleich Ihr kostenloses & unverbindliches Erstgespräch. Wir helfen Ihnen gerne!

Leichtes Risiko40%

40%

Stellt Ihre Datenpanne „nur“ ein leichtes Risiko für die Betroffenen dar, genügt es, eine Meldung durchzuführen. Dies muss bei der zuständigen Aufsichtsbehörde gemacht werden.

Aber Vorsicht! Die Meldung einer solchen Panne unterliegt strengen gesetzlichen Vorschriften. Mehr darüber erfahren Sie in unserem Beitrag „Meldung einer Datenpanne – Das müssen Sie dabei unbedingt beachten!“.

Hohes Risiko100%

100%

Stellen Sie bei der Abschätzung ein hohes Risiko für die Betroffenen fest, müssen Sie die Datenpanne doppelt melden. Neben der Aufsichtsbehörde müssen in diesem Fall auch die betroffenen Personen informiert werden.

Ein hohes Risiko stellt dabei etwa ein Hackerangriff, bei dem vertrauliche Passwörter, E-Mail-Adressen etc. von Kunden gestohlen werden, dar. Vor allem wenn sensible Daten betroffen sind.

 

Wie schnell muss eine Datenpanne gemeldet werden?

Besteht ein Risiko für Personen, ist die Datenpanne der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden zu melden. Die Frist beginnt nicht erst mit der Kenntnis der Datenpanne durch die Geschäftsführung oder den Datenschutzbeauftragten, sondern bereits, wenn ein Beschäftigter die Relevanz des Vorfalls erkennt. Aus diesem Grund ist es wichtig, Ihre Mitarbeiter zu sensibilisieren.

Unser Tipp! Nutzen Sie die von uns angebotenen Schulungen der DSGVO Schutzteam Plattform, damit Datenpannen frühzeitig erkannt und kommuniziert werden.

Schritt 3: Datenpanne dokumentieren

Jede Datenpanne in Ihrem Unternehmen muss ausführlich dokumentiert werden. Sie sollten festhalten…

  • …was genau passiert ist.
  • …welche Auswirkungen möglicherweise zu erwarten sind.
  • …welche Maßnahmen vom Verantwortlichen eingeleitet wurden.

Wichtig: Sie müssen JEDE Datenpanne dokumentieren. Auch wenn diese nach Ihrer Einschätzung nicht meldepflichtig ist!

Welche Strafen drohen?

Die Nichteinhaltung der Meldepflicht bei einer Datenpanne kann ernsthafte rechtliche Konsequenzen nach sich ziehen. Ein Verstoß gegen die Meldepflicht kann ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2% des Jahresumsatzes zur Folge haben.

Die norwegische Datenschutzbehörde hat beispielsweise gegen die Argon Medical Devices Inc. ein Bußgeld von ca. € 218.365 verhängt, weil die Meldung einer Datenpanne verspätet abgegeben wurde. Nachdem der E-Mail-Account eines wichtigen Mitarbeiters der HR-Abteilung gehackt wurde, bestand die Möglichkeit eines Zugriffs auf Personaldaten von Beschäftigten, darunter auch Gehaltsdaten.

Wir vom DSGVO Schutzteam lassen Sie bei einer Datenpanne nicht im Stich!

Mit dem DSGVO Schutzteam stehen Ihnen bei Datenpannen oder Anfragen von Betroffenen zertifizierte Datenschutzbeauftragte und Compliance Juristen zur Seite!

  • Ihr persönlicher Datenschutzberater hilft Ihnen die richtigen Schritte zu setzen.
  • Gemeinsam mit Ihnen wird der Vorfall dokumentiert und bewertet. Jede Datenpanne ist dabei nachvollziehbar auf Ihrer DSGVO Schutzteam Plattform dokumentiert.
  • Falls erforderlich wird die Meldung bei der Aufsichtsbehörde durchgeführt und die betroffenen Personen informiert.
  • Mit den informativen E-Learning Kursen können Sie Ihre Mitarbeiter ganz einfach sensibilisieren, damit Datenpannen frühzeitig erkannt werden oder erst gar nicht passieren.

 

In Ihrem Unternehmen ist eine Datenpanne passiert oder Sie möchten mehr über das DSGVO Schutzteam erfahren? 

Dann sichern Sie sich am besten gleich Ihr kostenloses & unverbindliches Erstgespräch mit einem unserer Datenschutz Experten. Wir helfen Ihnen gerne!

Das könnte Sie auch interessieren:

Menü