Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Datenpannen rechtzeitig melden

Eine neue EU-Verordnung soll personenbezogene Daten besser schützen. Sie verpflichtet Firmen mit Stichtag 25. Mai 2018 bei Datenpannen zu einer erweiterten Meldepflicht. Was Unternehmen wissen und im Ernstfall beachten sollten.

Datenskandale wie aktuell bei Facebook mahnen zu erhöhter Wachsamkeit. Unternehmen müssen persönliche Informationen noch besser vor Missbräuchen schützen. Sonst ist der gesetzlich vorgeschriebene Schutz der Privatsphäre von Mitarbeitern, Geschäftspartnern oder Kunden nicht gewährleistet. Werden Datenverstöße öffentlich, leidet nicht nur der Ruf, sondern das gesamte Unternehmen gerät schnell in eine wirtschaftliche Schieflage. Die neue EU-Datenschutz-Grundverordnung (DS-GVO) nimmt bei unbefugten Datenzugriffen die betroffenen Unternehmen noch stärker in die Pflicht. Zukünftig wird nicht nur die missbräuchliche Nutzung von persönlichen Daten, sondern auch der allzu laxe Umgang mit Datenpannen stärker geahndet. Wer bei einem Datenleck den gesetzlichen Informationspflichten nicht umgehend nachkommt, riskiert Bußgelder in Millionenhöhe.

Die Möglichkeiten einer Panne mit personenbezogenen Daten sind vielfältig. Dazu gehören etwa ein Datendiebstahl durch Hacker, der Verlust eines Datenträgers oder die unbefugte Verarbeitung oder Weitergabe von sensiblen Informationen. Laut bisherigem Bundesdatenschutzgesetz besteht für solche Fälle in Deutschland eine Meldepflicht. Mit der neuen DS-GVO verschärft die Europäische Union die Vorgaben deutlich. Unternehmen sollten die neuen Regelungen sehr ernst nehmen und entsprechende Vorkehrungen treffen.

Bisher war die Meldepflicht auf besonders sensible Bereiche wie etwa Gesundheits- oder Bankdaten beschränkt. Damit ist jetzt Schluss. Künftig müssen unbefugte Zugriffe auf jede Art von personenbezogenen Informationen an die zuständige Datenschutzaufsichtsbehörde gemeldet werden – somit beispielsweise auch Adressdaten oder Fotos von Mitarbeitern. Ausgenommen sind nur Vorkommnisse, bei denen voraussichtlich kein Risiko für die persönlichen Rechte der Betroffenen besteht. So etwa, wenn die Daten auf einem verlorenen USB-Stick verschlüsselt sind und Unbefugte sie nicht nutzen können.

Eine Meldung an die Aufsichtsbehörde muss möglichst innerhalb von 72 Stunden erfolgen. Die Frist beginnt mit Bekanntwerden des Verstoßes. Entscheidend ist die pünktliche Einreichung der Meldung. Werden nach Fristablauf weitere Details bekannt, können Verantwortliche sie im Rahmen einer weiteren Meldung nachreichen. Wer bei der Erstmeldung die 72-Stunden-Frist nicht einhalten kann, muss die Verspätung hieb- und stichfest begründen. Eine bestimmte Form schreibt die DS-GVO für eine Meldung zwar nicht vor, doch was enthalten sein muss. Dazu gehört etwa neben der Art der Datenpanne und dem betroffenen Personenkreis auch die Art und Anzahl der Datensätze sowie eine Beschreibung der bereits ergriffenen Maßnahmen. Um im Ernstfall Zeit zu sparen, sollten Firmen ein firmeneigenes Template für die Meldung erstellen. Es sollte neben den Kontaktdaten der zuständigen Datenschutzaufsichtsbehörde auch ein Raster mit allen Pflichtangaben enthalten.

In besonders sensiblen Fällen müssen Firmen auch betroffene Personen informieren. Voraussetzung ist, dass ein hohes Risiko für ihre Rechte und Freiheiten entsteht. Die Direktinformation muss „unverzüglich“ erfolgen, also ohne schuldhaftes Zögern. Der Gesetzgeber räumt betroffenen Unternehmen damit eine Bedenkzeit ein, die entsprechend den Umständen verschieden lang ausfallen kann. Der Informationsumfang entspricht in etwa der Meldung an die Aufsichtsbehörde, wobei die Form der Datenpanne in leicht verständlicher Sprache zu beschreiben ist.

Knackpunkt im Vorfeld jeder Meldung und Direktinformation ist die Risikoabwägung. Eine Entscheidungshilfe bietet der Risikokatalog des Erwägungsgrundes 75 der DSGVO. Hier findet sich eine Reihe möglicher Datenverstöße mit potenziellem Schadensrisiko. Unternehmen sollten im Zweifel mit ihrem rechtlichen Berater abklären, wie das tatsächliche Risiko zu bewerten ist. Lässt sich die Frage nicht eindeutig klären, sollten Verantwortliche ihrer Melde- und Informationspflicht vorsichtshalber erfüllen. Grundsätzlich müssen Firmen jede Datenpanne sorgfältig dokumentieren. Es muss klar nachvollziehbar sein, wie das Datenleck entstehen konnte, welche Auswirkungen es hatte, wie die Risikoprognose zustande kam und welche Maßnahmen ergriffen wurden.

Unternehmen können die Gefahr von Datenpannen deutlich reduzieren, indem sie die neuen Vorgaben der DSGVO genau einhalten. Zu den vorgeschriebenen Maßnahmen zählt etwa die Identifizierung eines Verantwortlichen für die Datenverarbeitung. Pflicht ist auch eine Analyse des Ist- und Sollzustandes in Sachen Datensicherheit. Hierbei stellen sich unter anderem folgende Fragen: Sind alle Verarbeitungsprozesse mit personenbezogenen Informationen richtig erfasst und dokumentiert? Wurden alle von einer Datenerhebung betroffenen Personen im Sinne des Transparenzgebotes informiert? Liegen wirksam erteilte Einwilligungen von Arbeitnehmern oder Kunden in die Datenverarbeitung vor? Wurden Dienstverträge, Betriebsvereinbarungen und Dienstanweisungen überprüft und gegebenenfalls angepasst? Das Ergebnis ist ein systematischer Maßnahmenplan, der alle denkbaren Sicherheitslücken umfasst. Letztendlich lebt das Thema Datenschutz von der täglichen Umsetzung in der Praxis. Ganz wichtig sind regelmäßige Schulungen. Sie sensibilisieren Mitarbeiter für Risiken und vermitteln ihnen Handlungssicherheit.

Autorin: Rebekka De Conno, Rechtsanwältin und Fachanwältin für Arbeitsrecht der Kanzlei WWS Wirtz, Walter, Schmitz in Mönchengladbach

Passende Artikel
Zeitschrift HR Performance
149,00 €

Preis für Jahresabonnement Inland