Reaktionsplan bei einer Datenpanne: Muster und Tipps

Wenn Ihnen eine Datenpanne unterlaufen ist, drängt die Zeit. Handelt es sich um einen meldepflichtigen Verstoß gegen die DS-GVO, müssen Sie den Vorfall binnen 72 Stunden der zuständigen Aufsichtsbehörde melden. Dennoch sollten Sie sich vorab mit Ihrem Datenschutzbeauftragten absprechen und prüfen, ob in Ihrem Fall überhaupt eine Meldepflicht vorliegt. Unser Reaktionsplan bei einer Datenpanne als Muster hilft Ihnen dabei, keinen Schritt zu übersehen.

Das Wichtigste in Kürze

  • Ein klarer Reaktionsplan bei der Datenpanne spart Zeit und Aufwand.
  • Im ersten Schritt sollte erörtert werden, ob es sich tatsächlich um eine Verletzung des Schutzes personenbezogener Daten handelt und somit die Datenpanne meldepflichtig ist.
  • Besprechen Sie zeitnah mögliche Maßnahmen mit Ihrem Datenschutzbeauftragten.
  • Alle Rahmenbedingungen und Folgen müssen überprüft werden.
  • Schlussendlich folgt im Fall eines DS-GVO-Verstoßes die Meldung an die Aufsichtsbehörde.
  • Gegebenenfalls müssen auch die unmittelbar betroffenen Personen benachrichtigt werden.

In diesem Beitrag

  1. Verhaltensmaßnahmen bei einer Datenpanne: Muster für den Ablauf
  2. Schritt 1: Kontakt zum Datenschutzbeauftragten aufnehmen
  3. Schritt 2: Überprüfung des Falls
  4. Schritt 3: Sofortige Gegenmaßnahmen ergreifen
  5. Schritt 4: Meldung an die Aufsichtsbehörde
  6. Schritt 5: Meldung an Betroffene
  7. Schritt 6: In Zukunft vorbeugen
  8. Fazit: Datenpannen souverän meistern

Verhaltensmaßnahmen bei einer Datenpanne: Muster für den Ablauf

Wenn Sie eine Datenpanne bemerkt haben oder vermuten, sollten Sie schnell handeln – die Konsequenzen für Ihr Unternehmen können unter Umständen sehr umfangreich sein. Bußgelder und Imageschäden sind mögliche Folgen. Daher ist es sinnvoll, sich für die Aufstellung eines Reaktionsplans bei der Datenpanne an einem Muster zu orientieren. Dieses greift immer dann, wenn ein datenschutzrechtlich kritisches Ereignis aufgefallen ist.

Schritt 1: Kontakt zum Datenschutzbeauftragten aufnehmen

Der erste Ansprechpartner im Fall einer Datenpanne ist Ihr Datenschutzbeauftragter. Dieser kann Ihnen bei der Einschätzung des Schadens sowie bei den weiteren erforderlichen Schritten helfen.

Gibt es in Ihrem Unternehmen keinen Datenschutzbeauftragten, weil dieser für Sie aufgrund der Unternehmensgröße oder Branche nicht verpflichtend ist? Dann können Sie sich auch beim Landesbeauftragten für Datenschutz informieren.

Schritt 2: Überprüfung des Falls

Wichtig zu wissen ist, dass Sie nicht jeden Schadensfall melden müssen. Daher ist eine detaillierte Überprüfung des Sachverhalts erforderlich. Relevant ist vor allem die Einstufung des Risikos für die Rechte und Freiheiten der Betroffenen. Jede Datenpanne ist mit einem Risiko verbunden; entscheidend ist jedoch, ob dieses als gering, normal oder hoch eingeschätzt wird. Hierbei hilft Ihnen wiederum der Datenschutzbeauftragte.

1. Geringe Risiken

Ein Beispiel für ein geringes Risiko ist der Verlust eines Speichermediums mit personenbezogenen Daten, das aber verschlüsselt ist. Das könnte zum Beispiel durch ein Passwort gegeben sein. Ebenso könnte ein fehlerhaft versandter Brief, der aber ungeöffnet zurück an Ihre Adresse kommt, ein geringes Risiko darstellen. Auch der Verlust einer internen Unternehmensliste, auf der die privaten Rufnummern der Mitarbeiter stehen, dürfte als gering eingestuft werden.

2. Normale bis mittlere Risiken

Normale bis mittlere Risiken sind zum Beispiel Newsletter, die unabsichtlich so verschickt wurden, dass die Empfänger alle E-Mail-Adressen der anderen Empfänger einsehen können. Zwar ist der Personenkreis hier in der Regel umfangreich; doch die Herausgabe von E-Mail-Adressen mag weniger heikel sein als etwa die Weiterleitung von Bankverbindungen.

3. Hohe Risiken

Personenbezogene Daten, wie medizinische Diagnosen oder Bankverbindungen, können bei der Einsicht Dritter umfangreiche Folgen für die Betroffenen haben. Datenpannen in Zusammenhang mit solch sensiblen Informationen sind daher vorwiegend als „hoch“ einzustufen.

Generell gilt: Überprüfen Sie, welche konkreten Daten verloren gegangen und wie viele Personen von der Datenpanne betroffen sind. Je umfangreicher der Verlust, desto heikler die Informationen und je größer der betroffene Personenkreis, desto höher ist auch das Risiko.

Schritt 3: Sofortige Gegenmaßnahmen ergreifen

Natürlich sollten Sie, sobald Sie die Situation geklärt haben, so gut es geht gegensteuern. Haben Sie beispielsweise Zugriffsdaten auf interne Server verloren, gilt es, die Passwörter zeitnah zu ändern. Sorgen Sicherheitslücken im System dafür, dass ein Hackerangriff erfolgreich war, sollten Sie Ihren IT-Spezialisten kontaktieren und das Risiko beseitigen.

Zusätzlich hilfreich bei dieser Verhaltensmaßnahme bei einer Datenpanne ist ein Muster-Schreiben, das Sie immer vorliegen haben und im Notfall einsehen können. Notieren Sie für den Fall auch die jeweiligen Ansprechpartner, zum Beispiel in der IT-Security, damit Sie und Ihre Mitarbeiter im Zweifelsfall schnell reagieren können.

Schritt 4: Meldung an die Aufsichtsbehörde

Bei normalen bis mittleren Risiken sowie bei hohen Risiken infolge einer Datenpanne muss die zuständige Aufsichtsbehörde Ihres Bundeslandes über den DS-GVO-Verstoß informiert werden. Sie haben für die Meldung 72 Stunden Zeit. Die Frist startet, nachdem Ihnen die Verletzung bekannt wurde. Nur bei geringen Risiken entfällt die Meldepflicht. Trotzdem sollten Sie Maßnahmen ergreifen, die ähnliche Fälle in Zukunft vermeiden.

Tipp: Können Sie aus zwingenden Gründen nicht binnen 72 Stunden reagieren, müssen Sie Ihrer Meldung eine Begründung für die Verzögerung beifügen. Ist diese nachvollziehbar (weil Sie beispielsweise mit Gegenmaßnahmen zur Eindämmung des Schadens beschäftigt waren), drohen in der Regel keine zusätzlichen Strafen für die bisher ausgebliebene Meldung.

Zu einem guten Reaktionsplan bei einer Datenpanne gehört ein Muster für eine Meldung an die Aufsichtsbehörde. Darin sollten Sie eintragen können, was sich genau zugetragen hat, wie viele Personen voraussichtlich betroffen sind, welche Maßnahmen ergriffen werden und wie die möglichen Folgen aussehen. Im Musterschreiben können Sie auch bereits Ihren Datenschutzbeauftragten als Ansprechpartner angeben.

Schritt 5: Meldung an Betroffene

Gegebenenfalls müssen Sie nicht nur die Aufsichtsbehörde, sondern auch die Betroffenen selbst über die Datenpanne informieren. Diese Benachrichtigungspflicht greift, wenn hohe Risiken für die individuelle Freiheit oder die persönlichen Rechte der Personen entsteht, deren Daten betroffen sind. Das kann beispielsweise die unbefugte Weitergabe von Bankverbindungen oder Gesundheitsdaten sein.

Die betroffenen Personen müssen hingegen in der Regel nicht benachrichtigt werden, wenn Sie beispielsweise Daten auf verschlüsselten Speichermedien verloren haben und diese somit für Dritte nicht einsehbar sind. Auch kann die Benachrichtigungspflicht der Betroffenen entfallen, wenn Sie durch Gegenmaßnahmen bei der Datenpanne verhindert haben, dass hohe Risiken für Rechte und Freiheiten der Personen entstehen.

Schritt 6: In Zukunft vorbeugen

Wenn mögliche Datenpannen in Ihrem Unternehmen nur mit zeitlicher Verzögerung bemerkt werden, sollten Sie die Rahmenbedingungen anpassen. Deuten beispielsweise Alarme vermehrt darauf hin, dass Unbefugte versuchen, auf interne Systeme zuzugreifen? Wissen Ihre Mitarbeiter, wie sie bei der Feststellung eines Datenlecks reagieren müssen? Wenn kein DSB vorhanden ist, sollte es in Ihrem Unternehmen zumindest einen zentralen Ansprechpartner in Sicherheits- und Datenschutzfragen geben.

Fragen Sie sich zudem, was Sie vorbeugend gegen mögliche Datenpannen tun können. Werden beispielsweise generell alle Speichermedien im Unternehmen oder gar die darauf gesicherten Daten verschlüsselt? Falls nicht, sollten Sie diese Vorsichtsmaßnahmen entsprechend ergreifen. Sie können das Risiko für Datenpannen auch senken, indem Sie (selbst ohne entsprechende Verpflichtung) einen zuverlässigen Datenschutzexperten benennen. Dieser hilft Ihnen dabei, die Regelungen zum Datenschutz gemäß DS-GVO einzuhalten und die laufenden Sicherheitsmaßnahmen im Datenschutzbereich regelmäßig zu überprüfen.

Fazit: Datenpannen souverän meistern

Bei Verdacht auf oder der Aufdeckung von einem Verstoß gegen den Datenschutz gilt es, schnell zu handeln. Mit unseren empfohlenen Verhaltensmaßnahmen bei einer Datenpanne erhalten Sie ein Muster, nach dem Sie handeln können, sobald Sie ein Datenleck bemerken. Auf der sicheren Seite sind Sie zudem mit einem qualifizierten Datenschutzbeauftragten, der Ihnen zu jeder Zeit beratend zur Seite steht. Zusammen mit einem DSB können Sie vorbeugende Maßnahmen ergreifen, um Datenpannen auch zukünftig zu vermeiden und Ihr Image zu wahren. Durch aktiv kommunizierte Maßnahmen zum Datenschutz Ihrer Kunden und Partner erwecken Sie als Unternehmen einen professionellen und vertrauenswürdigen Eindruck.

Bei DataGuard kümmern sich mehr als 100 Generalisten und Fachexperten leidenschaftlich um die Themen Datenschutz, Compliance und IT-Sicherheit. Unsere TÜV/DEKRA-qualifizierten Datenschutzbeauftragten beraten Sie individuell und können Sie schon ab 150 Euro pro Monat umfangreich unterstützen.

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
49 (89) 442 55062 - 000 bundesweiter Service