Was bedeutet Data Breach Notification?
Der Begriff „Data Breach Notification“ klingt zwar sehr cool, bedeutet aber in Wahrheit nichts anderes als die Meldung einer Datenpanne bei der Datenschutzbehörde. ACHTUNG: Diese muss innerhalb von 72 Stunden nach internem Bemerken des Datenschutzvorfalles erfolgen – und zwar dann, wenn ein Risiko für die Gesundheit, den Ruf oder das „Vermögen“ der betroffenen Personen besteht. Wird eine solche Meldung gar nicht oder zu spät eingeleitet, muss ein Unternehmen mit hohen Strafen rechnen!Wie sieht eine Data Breach Notification aus?
- Zu Beginn muss die Art der Datenverletzung detailliert beschrieben werden. Dabei muss angegeben werden, welche Datenkategorien betroffen sind. Außerdem muss sowohl genannt werden, wie viele Personen ungefähr betroffen sind, als auch die Anzahl der personenbezogenen Datensätze.
Beispiel: Verlust eines unverschlüsselten USB-Sticks durch den Geschäftsführer im Zug. Darauf gespeichert: Stammdaten (Namen, Adressen, Bankdaten, Kontaktdaten, Geburtsdatum) von 200 Mitarbeitern, insgesamt 1.000 Datensätze.
- Weiters muss angeführt werden, welche Folgen die Panne wahrscheinlich für die Betroffenen mit sich bringt. Beispiel: Auf dem USB-Stick befanden sich die Stammdaten der Mitarbeitenden; der Einschätzung nach besteht ein hohes Risiko für Betroffene, da private Adressen und Bankverbindungen in den Stammdaten verarbeitet waren.
- Besonders wichtig ist auch, dass die Kontaktdaten eines Ansprechpartners angeführt werden. Dabei kann es sich um den Datenschutzbeauftragten – sofern vorhanden – , um den intern zuständigen Datenschutzkoordinator, oder auch um die Geschäftsführung handeln.
- Die Datenschutzbehörde verlangt in der Meldung zusätzlich eine genaue Beschreibung der Maßnahmen, die betrieblich umgesetzt werden, um das Risiko unmittelbar einzudämmen und künftig einen Vorfall dieser Art zu verhindern.
Beispiel: Unmittelbare Maßnahmen: Mitarbeiter wurden über die Datenpanne informiert. Lost&Found des Bahnbetreibers wurde um Mithilfe gebeten. Geplante Maßnahmen: Neuerliche Schulung aller Mitarbeiter zur Zugriffskontrolle (Verschlüsselung von externen Datenträgern).
Unsere Praxistipps
- Halten Sie sich genau an die Inhaltspunkte, die wir oben aufgelistet haben. Die Datenschutzbehörde ist eine echte Straf-Behörde, und die Schonzeit ist vorbei. Stellen Sie sich vor, Ihre Daten wurden „verloren“ – da möchten Sie auch geschützt werden, nicht wahr?
- Sollten Sie vor der Aufgabe stehen, eine Data Breach Notification durchführen zu müssen, kontaktieren Sie uns jederzeit gerne und wir kümmern uns darum, Sie sicher und fristgerecht durch die Datenpanne zu geleiten.