Stand 05-2018 Datenschutzverstöße richtig melden


© Oliver Nowak / Fotolia.com
Datenpannen können jeden treffen. Egal wie viele technische und organisatorische Maßnahmen in Ihrem Haus zum Schutz von Daten umgesetzt sind, ohne die aktive Mithilfe von allen Beschäftigten sind all diese Maßnahmen wirkungslos. Eine Datenpanne liegt immer dann vor, wenn Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind oder gelangen könnten.

Beispiele für Datenpannen

  • Eine E-Mail, ein Brief oder Fax wurde an einen falschen Empfänger verschickt.
  • Eine E-Mail wurde mit einem offenen Verteiler verschickt (jeder Empfänger sieht die E-Mail-Adressen der anderen Empfänger, BCC-Feld nicht genutzt).
  • Ein Datenträger (USB-Stick, CD, DVD, externe Festplatte, Dokument etc.) oder ein mobiles Endgerät (Mobiltelefon, Notebook etc.) ging verloren oder wurde gestohlen.
  • Ein Virus oder eine andere Schadsoftware wurde installiert bzw. aktiv.
  • Unbefugte hatten Zugang zu Systemen durch Einbruch oder einen Hackerangriff.
  • Jemand nutzt eine andere Identität für fragwürdige Aktionen.

Wichtig: schnelles und ehrliches Handeln vermeidet Schlimmeres!

Informieren Sie umgehend die Geschäftsführung und/oder die zuständige Stelle. In jedem Unter-nehmen sollte hierfür eine Abteilung oder ein Team definiert sein. Nur so können schnellstmöglich geeignete Maßnahmen ergriffen werden, um den Schaden zu begrenzen. Helfen Sie der zuständigen Stelle mit Informationen zu dem Vorfall.

Handeln Sie schnell und sachlich. Haben Sie keine Scheu, eventuell einen eigenen Fehler einzugestehen. Es geht nicht darum, jemanden zu bestrafen, sondern durch gezieltes Handeln den Schaden zu begrenzen!

Weitere Vorgehensweise durch Fachabteilung oder Geschäftsleitung

  • Oberstes Ziel ist Schadensbegrenzung.
  • Datenlücken müssen schnellstmöglich geschlossen werden.
  • Eventuell den Datenschutzbeauftragten oder andere Fachabteilung einbinden.
  • Jede Datenpanne muss dokumentiert werden: Wann und wo ist was passiert? Wer ist in welchem Umfang davon betroffen? Wie wurde die Gefahr beseitigt?
  • Möglicherweise muss binnen 72 Stunden die Aufsichtsbehörde informiert werden.
  • In schlimmeren Fällen sind die von der Datenpanne betroffenen Personen zu informieren.
  • Gesetzliche Vorgaben aus dem Datenschutzrecht und der Datensicherheit sind einzuhalten.

Querverweise
Art. 4 Nr. 12 DSGVO – Transparente Information
Art. 33 DSGVO – Meldung an die Aufsichtsbehörde
Art. 34 DSGVO – Benachrichtigung betroffener Personen
Infothek – Aufsichtsbehörde
Infothek – Datenschutzverstoß
Infothek – Datensicherheit
Infothek – Meldepflicht