Was tun bei einer Datenpanne?

Foto: Achim Barth
Achim Barth: "Eine Datenschutzbehörde ist kein Gericht. Sie kann sich irren. Es ist schon vorgekommen, dass nicht die Aufsichtsbehörde, sondern dem Unternehmer Recht zugesprochen wurde."

Wir leben im Zeitalter von Big Data. Ohne die Verarbeitung digitaler Informationen läuft nichts mehr. Moderne Finanzberatung funktioniert nur noch mit Onlineunterstützung, mit lokalen und mobilen Speicherlösungen, mit IT- und KI-Systemen. Gleichzeitig sind diese Bits und Bytes gewaltiger, sensibler und wertvoller denn je: Anwender transportieren sie von A nach B, nutzen Daten per Smartphone, Laptop, Standcomputer. Cloud Computing und Webanwendungen sorgen dafür, dass wir von unterschiedlichsten Orten und Geräten auf persönliche Inhalte zugreifen können.

Wie in jedem viel genutzten Lebensbereich können auch hier Pannen passieren: Jemand verliert einen USB-Stick im Zug, schickt eine E-Mail in der Hektik an die falsche Person, löscht aus Versehen ganze Ordner oder wird Opfer eines Hackerangriffs. Dann schrillen die Alarmglocken. Doch nicht alles, was der Volksmund als „Datenpanne“ bezeichnet, bricht gleich Gesetze oder zieht Strafmaßnahmen nach sich. Wer aber tatsächlich gegen die DSGVO verstößt, sollte wissen, was im Ernstfall zu tun ist – und vorbereitet sein.

Verstoß, Verletzung oder Panne?

Datenschutz ist durch diverse Gesetzestexte geregelt. Eine differenzierte Betrachtung auf das Thema lohnt sich. Der Begriff „Datenschutzverstoß“ wird häufig als Oberbegriff verwendet. Je nach Gewicht gilt er auch als Straftat oder Ordnungswidrigkeit. Wird beispielsweise trotz Pflicht kein Datenschutzbeauftragter benannt, gilt das als Verstoß. Ein Datenschutzverstoß bedeutet nicht immer zwingend auch eine „Datenschutzverletzung“. Bei Letzterer wird konkret der Schutz personenbezogener Daten missachtet – zum Beispiel, wenn Mitarbeiter bewusst oder unbewusst Daten an Fremde weitergeben.

Eine „Datenpanne“ hingegen verletzt die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen. Bei diesem Vorfall ist eines der folgenden drei Ereignisse eingetreten: Jemand erlangt Kenntnis über Dinge, die er nicht wissen darf. Informationen werden ungewollt verändert oder sind nicht mehr zugänglich. Art. 4 DSGVO beschreibt das mit den Worten „… Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Eine Behörde ist kein Gericht

Der genaue Blick aufs Wording soll helfen, Ruhe zu bewahren. Wer wird nicht nervös, wenn einen ein Brief vom Amt ermahnt, dass bis zu 20 Millionen Euro Bußgelder fällig werden können? Viele Empfänger solcher offiziellen Schreiben verfallen dann in aktionistische Panik. Sie tun alles, um die Sache schnell vom Hals zu haben. Dabei liegt die Situation selten tief im Argen: Hinter solchen Schreiben steckt vielmehr System. Was auf diesem Papier steht, ist keine Bedrohung, sondern nur ein Abdruck dessen, was seit 2018 in der DSGVO steht.

Bekommt ein Finanzexperte solche Post, sollten er sich erst einmal genau durchlesen, was die Behörde überhaupt will. Die Frist, um auf solche Schreiben zu reagieren, reicht immer aus, um den Vorfall sauber aufzuarbeiten. Der zweite Grund, entspannt zu bleiben: Eine Datenschutzbehörde ist kein Gericht. Sie kann sich irren. Es ist schon vorgekommen, dass nicht die Aufsichtsbehörde, sondern dem Unternehmer Recht zugesprochen wurde.

Handelt es sich um ein meldepflichtiges Ereignis?

Wenn die Datenschutzbehörde sich meldet, dann meist, weil ein Kunde, Mitarbeiter oder Interessent sich beschwert hat. Dann muss die Dienststelle reagieren und schickt Post. Ob die Reklamation berechtigt ist oder von einem notorischen Nörgler kommt, spielt dabei keine Rolle, der Inhaber muss Stellung beziehen. In der Regel bemerkt das Team jedoch selbst die brenzlige Situation: Das Smartphone ist gehackt, der Serverraum unter Wasser, der Laptop gestohlen oder Adressen transparent. Um die Lage richtig einzuordnen, klärt der Inhaber als Erstes, ob wirklich ein meldepflichtiges Problem vorliegt.

Eine Panne bei offizieller Stelle anzeigen müssen Unternehmer nur, wenn 1) sie sicher sind, dass ein Datenschutzverstoß erfolgt, 2) durch die Panne unberechtigter Zugriff auf Daten bestand und 3) dieser Zugriff zu einem Schaden für Betroffene geführt hat oder ein Risiko für dessen Rechte und Freiheiten darstellt. Stellt sich heraus, dass wirklich ein Problem vorliegt, läuft die Zeit. Innerhalb von drei Tagen muss die Meldung raus. Die Aufsichtsbehörde bieten auf ihren Webseiten Formulare an, über die Unternehmer ihren Report elektronisch einreichen können. Folgende Informationen gehören dazu:

  1. Name und Kontaktdaten des Datenschutzbeauftragten
  2. Beschreiben Sie genau, auf welche Weise Sie gegen Datenschutzvorgaben verstoßen haben. In welche Kategorie lässt sich das Ereignis einordnen? Wie viele Personen sind betroffen? Welche Datensätze sind in falsche Hände geraten?
  3. Welche Folgen hat die Verletzung für die Betroffenen?
  4. Welche Maßnahmen wollen Sie ergreifen, um diesen Verstoß zu beheben oder den Schaden zu begrenzen?
  5. Dokumentieren Sie alle Informationen, Schritte und Maßnahmen, damit die Aufsichtsbehörde Ihr Handeln nachvollziehen kann.
  6. Wenn Sie die 72-Stunden-Frist nicht einhalten, sollten Sie eine stichhaltige Begründung ergänzen: etwa, wenn mehrere Angriffe in kurzer Zeit erfolgten und Sie mit Schadensbegrenzung beschäftigt waren.

Es ist nicht nötig – manchmal auch unmöglich – alle Informationen auf einmal einzureichen. Wichtig ist, innerhalb der 72 Stunden eine grundlegende, korrekte Meldung an die Behörde zu senden. Fehlen noch Details wie das genaue Ausmaß können Unternehmen diese schrittweise (aber zeitnah) nachreichen. Entscheidet der Finanzbetrieb, eine Panne nicht zu melden, sollte er die Gründe für sein Stillschweigen nachvollziehbar dokumentieren, falls die Behörde nachfragt.

Auch Betroffene müssen über kritische Situationen informiert werden, sobald sie materielle, finanzielle oder physische Schäden fürchten müssen. Auch diese Meldung sollte klar verständlich sein und folgende Punkte umfassen: Name und Kontaktdaten des Datenschutzbeauftragten; Hinweise zu Anlaufstellen für weitere Informationen; Beschreibung der möglichen Folgen und der veranlassten/geplanten Maßnahmen, um Auswirkungen zu beheben oder einzugrenzen.

Notfallplan gibt Sicherheit

Wieder gilt der Rat: Ruhe bewahren. Das gelingt am besten, wenn Finanzprofis sich auf den Ernstfall vorbereiten. Profis dokumentieren konkret, wie sie mögliche Datenlecks dokumentieren und managen. Wer unterstützt bei der Risikobewertung? Wie stellt der Unternehmer sicher, dass alle im Team im Pannen-Fall wissen, was zu tun ist? Wer dokumentiert den Vorgang und wo? Ein festgelegtes Verfahren verschafft Sicherheit, Übersicht und Transparenz, erspart Ärger und Stress.

Natürlich können Unternehmer das Thema Datenschutz auch delegieren. Wer mehr als 20 Mitarbeiter beschäftigt, hat sowieso einen Datenschutzbeauftragten in petto. Trotzdem kursiert ein Irrglaube: Die Mehrheit geht davon aus, der angeheuerte Profi sei für den Datenschutz in der Firma verantwortlich. Das stimmt so nicht. Verantwortlich bleibt der Geschäftsführer, Vorstand oder Inhaber. Die Fachkraft kann zwar Teilaufgaben übernehmen, nicht aber die Verantwortung. Neben seinen täglichen Aufgaben dient der Beauftragte als zentrale Unterstützung im Notfall: Er hilft bei der Gretchenfrage – wann ist ein Vorfall meldepflichtig? Er kümmert sich um Behördenschreiben und bewertet kritische Anfragen. Gleichzeitig hilft der Profi dabei, den Notfallplan aufzustellen.

Wer niemanden mit diesen Themen beauftragt, muss sich als Inhaber selbst um alles kümmern. Die DSGVO gilt schließlich auch für Kleinstbetriebe. Wer keine Lust auf Ärger hat, ruft lieber freiwillig einen Experten. Dann kann auch kein Behördenschreiben mehr Panik verbreiten.   

Autor Achim Barth ist digitaler Aufklärer und kennt sie alle – die Gefahren der Datenspinne, die Tricks der Datenräuber, aber auch zuverlässige Wege, wie jeder seine Privatsphäre im Netz schützen kann. Achim Barth ist einer der kompetentesten Ansprechpartner rund um den Schutz personenbezogener Daten. Zielgerichtet, sachkundig und immer up to date begleitet der mehrfach zertifizierte Datenschutzbeauftragte Privatleute und Unternehmen in die IT-Sicherheit. In Workshops, Seminaren und Vorträgen begeistert der Gründer von „Barth Datenschutz“ mit praktikablen Lösungen. Sein Fachwissen vermittelt er eingängig und unterhaltsam – sodass sowohl Unerfahrene als auch Technikfans vom Mehrwert und Wettbewerbsvorteil seines Know-hows profitieren. www.barth-datenschutz.de

Das Buch zum Thema

30 Minuten DSGVO richtig umsetzen

96 Seiten (Kartoniert/Paperback/Softback)
978-3-96739-121-3
€ 9,90 (D) | € 10,20 (A)
GABAL Verlag, Offenbach 2022

ET: 30.08.2022

Die DSGVO einfach, schnell und rechtssicher umsetzen

Als Inhaber oder Vorstand möchten Sie vor allem eines: Schaden von Ihrem Unternehmen oder Verein abwenden. Das ist, was die Datenschutz-Grundverordnung (DSGVO) betrifft, vor allem das Risiko, ein Bußgeld bezahlen zu müssen, abgemahnt zu werden, einen Imageverlust zu erleiden und/oder Opfer eines Cyberangriffes zu werden. Wie sich dieses Risiko reduzieren lässt und was Sie als Verantwortlicher dafür genau tun müssen, erfahren Sie kompakt und auf das Wesentliche zusammengefasst in diesem Buch. Dabei müssen Sie nicht mit ausschweifenden Herleitungen und Begründungen rechnen, sondern erhalten in aller Kürze Informationen darüber, was zu tun ist, um das Thema DSGVO angemessen umzusetzen. Hier gehts zum Buch >>

Abonnieren
Benachrichtige mich bei
0 Comments
Inline Feedbacks
View all comments
Weitere Artikel
Wissen, was los ist – mit den Newslettern von Cash.
Wissen, was los ist – mit den Newslettern von Cash.