Datenpanne im Unternehmen: Was ist jetzt zu tun?

Das Wichtigste in Kürze

·         Wenn personenbezogene Daten in die Hände Unbefugter gelangen, spricht man von einer Datenpanne.

·         Oberstes Gebot bei Datenpannen ist, die Ursache zu ermitteln und abzustellen.

·         Datenpannen können meldepflichtig sein, die Frist beträgt dann 72 Stunden.

·         Ehrlich währt am längsten: Es zahlt sich nicht aus, Datenpannen gegenüber den Behörden zu verschleiern.

·         Bei der Erstellung von Meldungen kann der Datenschutzbeauftragte helfen.

In diesem Beitrag

Den E-Mail-Verteiler in die falsche Zeile kopiert, vertrauliche Dokumente offen liegengelassen: Eine Datenpanne ist in der Praxis leicht passiert. Jetzt kommt es darauf an, einen kühlen Kopf zu bewahren und die Situation zu analysieren. Denn Datenpanne ist nicht gleich Datenpanne, und nicht jedes Missgeschick ist meldepflichtig. Ist eine Benachrichtigung der Behörden unvermeidlich, kann externer Sachverstand helfen.

Wann liegt eine Datenpanne vor?

Die Datenschutzgrundverordnung (DSGVO) definiert Kategorien von personenbezogenen Daten, die besonders geschützt sind. Ihre Verarbeitung ist an bestimmte Voraussetzungen gebunden. Eine Datenpanne liegt dann vor, wenn solche personenbezogenen Daten in die Hände von Menschen und Unternehmen geraten, die keine Berechtigung zum Zugriff darauf haben. Der Schutz der Daten ist somit nicht mehr gewährleistet, es besteht ein Datenleck.

Wie passieren Datenpannen? Drei Beispiele

Jeder Mensch macht Fehler. Datenpannen sind so individuell wie die Personen, die sie verursachen. Dennoch gibt es typische Fälle und Muster. Hier drei Beispiele:

  1. Offene E-Mail-Verteiler: Beim Versenden eines Newsletters oder einer Info-Mail werden die Empfänger statt als Blindkopie in BCC nur in CC gesetzt. Jeder Empfänger kann alle anderen Adressaten sehen. Für ein Unternehmen schlimm genug, dass so mitunter der gesamte Kundenstamm bekannt wird – doch auch jeder einzelne Empfänger wird so möglicherweise in seinen Rechten verletzt.
  2. Personalausweiskopien: Ein klassisches Beispiel für Datenpannen sind Kopien von Ausweisdokumenten, die mehrere sensible personenbezogene Daten enthalten. Fertigt etwa ein Autohaus solche Kopien an und gibt sie ungeschreddert in den Papiermüll, wo Unberechtigte sie einsehen können, liegt eine gravierende Datenpanne vor. Aber auch offenes Liegenlassen solcher Kopien im Betrieb ist problematisch.
  3. Datenleck im Netz: Durch IT-Fehler können ganze Datensätze etwa mit Zahlungsinformationen offen ins Internet gelangen, wie es jüngst der Hotelkette Marriott passierte. Bei dieser Art von Datenpanne geht die Zahl potenziell Geschädigter mitunter in die Millionenhöhe.

Wie minimiere ich das Risiko von Datenpannen?

Es gibt eine Reihe von Verfahren und Arbeitsabläufen, die jedes Unternehmen individuell festlegen kann, um Datenpannen vorzubeugen. Das A und O bei der Prävention von Datenlecks ist aber immer noch die Sensibilisierung von Mitarbeitern, etwa durch regelmäßige Schulungen. Wer sich bewusst ist, dass etwa das unsachgemäße Entsorgen vertraulicher Dokumente nicht nur ein Lapsus ist, sondern ernste Konsequenzen haben kann, wird umso mehr darauf achten.

Welche Pflichten haben Unternehmen bei Datenpannen?

Liegt der Verdacht auf eine Datenpanne vor, muss der Verantwortliche im Unternehmen diese zunächst qualitativ bewerten: Nicht jedes Malheur ist auch eine Datenpanne, und nicht jede Datenpanne ist meldepflichtig. Das ist immer eine Sache der Abwägung, bei der auch ein externer Datenschutzbeauftragter helfen kann.

Nach der DSGVO ist die Verletzung des Schutzes personenbezogener Daten grundsätzlich meldepflichtig. Die DSGVO definiert jedoch auch eine Ausnahme: Die Meldepflicht entfällt, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“

Ob ein solches Risiko vorliegt, lässt sich am Beispiel E-Mail-Verteiler durchdeklinieren: Wenn der Verteiler beispielsweise nur fünf Personen umfasst, die einander obendrein gegenseitig kennen, können die Umstände darauf hindeuten, dass kein nennenswertes Risiko vorliegt. Handelt es sich aber um den vertraulichen Verteiler eines Journalistenbüros, einer Beratungsstelle oder einer Anwaltskanzlei, sind die verbundenen Risiken offensichtlich ungleich größer.

Welche Fristen gelten für die Meldung von Datenpannen?

Datenpannen sind laut DSGVO innerhalb von 72 Stunden an die zuständigen Aufsichtsbehörden zu melden. Die Frist beginnt ab dem Zeitpunkt, in dem der Verantwortliche erstmals von der Datenpanne erfährt. Erfolgt die Meldung später, muss diese Verzögerung gegenüber der Behörde begründet werden.

Wie erfolgt die Meldung einer Datenpanne?

In der Regel erfolgt die Meldung einer Datenpanne einfach über ein Formular, das Sie auf der Website der zuständigen Behörde finden. Es gibt in den deutschen Bundesländern nicht „die eine zuständige Behörde“. Jede Aufsichtsbehörde ist für die Erfüllung der Aufgaben im Hoheitsgebiet ihres eigenen Mitgliedsstaats zuständig, sodass hier eine Meldung nicht unnötig erschwert wird: Bei Bedarf leiten die Behörden eine Meldung an die zuständige Stelle weiter.

Auch wenn die Meldung formal nicht schwierig ist, ist eine inhaltliche Unterstützung bei der Erstellung durch den Datenschutzbeauftragten sinnvoll. Dieser sollte, wo vorhanden, grundsätzlich sofort kontaktiert werden.

Muss ich beim Melden von Datenpannen Strafen fürchten?

Viele Unternehmer zögern mit der Meldung von Datenpannen, da sie Strafen oder Kontrollen durch die Behörde befürchten. Tatsächlich können gravierende Pannen zu anlassbezogenen Unternehmensprüfungen führen. Aber: Die Nicht-Meldung ist grundsätzlich riskanter als die Meldung. Erfahren die Behörden von einem schwerwiegenden, meldebedürftigen Verstoß durch Meldung eines Betroffenen, wird dies grundsätzlich härtere Sanktionen nach sich ziehen als bei einer Selbstmeldung.

Kann ich eine Meldung erstellen, ohne den Sachverhalt vollständig zu kennen?

Sobald Sie Kenntnis von einer ernsthaften Datenpanne erhalten, können und sollten Sie diese innerhalb der 72-Stunden-Frist den Behörden melden. Dass nicht bei jeder Datenpanne gleich zu Beginn alle Einzelheiten vollständig aufgeklärt sind, ist normal, das wissen auch die Behörden. Sobald die Meldung eingegangen ist, legt die Behörde ein Aktenzeichen an. Unter diesem können Sie Ihre Meldung dann so oft aktualisieren, wie erforderlich. Hierbei spricht man von einer sogenannten Folgemeldung.

Meldungen von Datenschutzverletzungen und Datenschutzbeschwerden – was ist der Unterschied?

Datenschutzbeschwerden sind ein Instrument für Betroffene, um Behörden auf die Verletzung ihrer Rechte aufmerksam zu machen. Die Meldung der Datenschutzverletzung wurde dagegen für diejenigen geschaffen, denen die Panne passiert ist. In der Praxis kommt es bei Datenpannen häufiger zu Missverständnissen, was zur Folge hat, dass die beiden Kategorien verwechselt und somit fehlerhafte Meldungen vorgenommen werden.

Schritt für Schritt erklärt: Wie gehe ich bei einer Datenpanne vor?

  • Schritt 1: Analysieren Sie die Situation: Besteht das Risiko, dass durch die Datenpanne Persönlichkeitsrechte Dritter verletzt wurden? Wenn Sie sich unsicher sind, ziehen Sie am besten schon in diesem Schritt Ihren Datenschutzbeauftragten hinzu.
  • Schritt 2: Zeitgleich zur ersten Beurteilung sollten Sie auch alle notwendigen und in Ihrer Macht stehenden Schritte veranlassen, um mögliche Beeinträchtigungen fremder Persönlichkeitsrechte zu verhindern bzw. diese unverzüglich zu beenden.
  • Schritt 3: Holen Sie spätestens jetzt Ihren Datenschutzbeauftragten mit ins Boot. Gemeinsam mit Ihnen klärt er, ob es sich um eine meldepflichtige Panne handelt.
  • Schritt 4: Melden Sie den Vorfall spätestens 72 Stunden, nachdem er Ihnen bekannt wird. Ihr Datenschutzbeauftragter unterstützt Sie nach Bedarf bei der Meldung und klärt, an welche Behörde Sie sich optimalerweise wenden sollten.
  • Schritt 5: Arbeiten Sie den Vorfall intern auf. Bei Bedarf können Sie der Behörde jederzeit relevante Tatsachen nachmelden.
  • Schritt 6: Ziehen Sie Konsequenzen: Die Aufarbeitung der Panne kann Ihnen helfen, ähnliche Vorfälle in Zukunft zu vermeiden. Auch hier kann der Datenschutzbeauftragte Sie unterstützen, datenschutzkonforme Arbeitsabläufe, Verfahren und Prozesse zu entwickeln.

Fazit

Sensibilisierung ist das Schlüsselwort zur Vermeidung von Datenpannen: Datenschutz im Arbeitsalltag ist vielschichtig, hierfür sollte insbesondere bei Mitarbeitern ein Bewusstsein entstehen. Kommt es dennoch zu Datenpannen, sollten Sie mit kühlem Kopf agieren: Ermitteln Sie die Ursachen, stellen Sie diese ab und kommen Sie gegebenenfalls Ihren Meldepflichten nach. Holen Sie sich bei Bedarf externe Hilfe ins Haus. Jede Panne birgt so zumindest auch die Chance, für die Zukunft zu lernen und datenschutzkonformer zu agieren.

Über den Autor

Maren Wienands

Maren Wienands ist zertifizierte Datenschutzbeauftragte und Information Security Officer gem. ISO 27001 (TÜV). Als Principal Corporate Consultant bei DataGuard betreut sie rund 280 Kunden in puncto internationalem (Konzern-)Datenschutz. Mit dem Thema kam sie in einer Unternehmensberatung erstmals in Berührung, wo sie sich etwa mit datenschutzrechtlichen Maßnahmen für die Verarbeitung von Big Data befasste. In ihrem Studium in Deutschland und der Schweiz hat sie über die EU-Grenzen hinaus einen umfassenden Einblick in die datenschutzrechtlichen Herausforderungen der Übermittlung von personenbezogenen Daten in ein Drittland erlangen können. Dabei standen insbesondere die informierte Einwilligung und ihre Grenzen sowie die Besonderheiten der gemeinsamen Verantwortlichkeit im grenzüberschreitenden Kontext im Fokus.  Heute ist ihr Datenschutz ein besonderes Anliegen: „In einer wirtschaftlich getriebenen Welt, in der einige wenige eine Monopolstellung in Bezug auf personenbezogene Daten haben, die wie Öl gehandelt werden, muss es Regeln für einen fairen und transparenten Handel geben.“ Für dieses Ziel setzt sie sich ein, um die gleichen fairen Bedingungen für Verbraucher und Unternehmen zu schaffen.

Weitere Beiträge von Maren Wienands

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
089 442 550 - 62649 bundesweiter Service