Ein Email, das versehentlich an den falschen Empfänger geschickt wird, das Entsorgen eines Formulars mit Namen eines Kunden oder der Verlust des unverschlüsselten Diensthandys in der Straßenbahn: Auch Ihnen kann eine Datenpanne passieren – und zwar schneller als Sie denken!
Datenpanne – Datenschutzverletzung – Datenschutzvorfall – Data Breach
Die Begriffe werden als synonym verwendet und beschreiben eine äußerst unangenehme Situation:
Bei einer Datenpanne wird die Datensicherheit verletzt, sprich: Ein angemessener Datenschutz kann nicht mehr gewährleistet werden.
Nun sehen wir uns Beispiele für Datenpannen an, um das Thema besonders praxisnah zu verstehen:
- Die Löschung von Daten durch eine nicht autorisierte Person = Datenverlust,
- ein Datendiebstahl (durch Hacking oder physisches Eindringen in ein Büro),
- Verlust eines unverschlüsselten Laptops, Smartphones, USB-Sticks,
- Entsorgen von ungeshredderten Papierakten im Müll,
- Weiterleitung von personenbezogenen Daten an einen unberechtigten Empfänger,
- und so weiter.
Was ist nun zu tun, wenn eine Datenpanne passiert ist?
Für das Vorgehen in einer solchen Situation muss intern ein Prozess festgelegt werden – und zwar vorab, sodass im Datenschutz-Notfall sofort klar ist, wie vorgegangen werden muss. Bei der Erstellung eines solchen Leitfadens stehen wir Ihnen sehr gerne zur Seite.
Melden Sie die Datenpanne unbedingt sofort der dafür intern zuständigen Person – auch wenn es sich nur um einen Verdacht handelt! Das kann Ihr Vorgesetzter, ein Datenschutzbeauftragter oder auch ein interner Datenschutzkoordinator sein.
Zuständige müssen daraufhin eine Risikoabschätzung vornehmen und zusammen mit der Geschäftsführung über weitere Schritte entscheiden.
Meldung einer Datenpanne bei der Datenschutzbehörde
ACHTUNG: Eine Datenpanne muss innerhalb von nur 72 Stunden nach Bekanntwerden – das heißt nachdem die erste Person diese bemerkt hat – erfolgen. Wird diese Frist nicht eingehalten, kann es zu hohen Strafen kommen!
Die Datenschutzbehörde muss allerdings nicht über jede Datenschutzverletzung informiert werden, sondern nur dann, wenn ein Risiko für die betroffenen Personen besteht. Zusätzlich müssen sofort Maßnahmen eingeleitet werden, um das Risiko für Betroffene zu minimieren. Diese Maßnahmen müssen der Behörde in der Meldung ebenfalls mitgeteilt werden.
Wie so eine Verständigung der Datenschutzbehörde nun genau abläuft und was sie alles beinhalten muss, können Sie hier nachlesen.
Unsere Praxistipps
- Wenn Ihnen eine Datenpanne passiert, melden Sie diese unbedingt sofort an die zuständige Person in Ihrem Unternehemen. So können Sie hohe Strafen vermeiden.
- Bei weiteren Fragen, kontaktieren Sie uns. Wir unterstützen Sie auch bei der Kommunikation mit der Datenschutzbehörde.