Handlungsempfehlungen bei Datenpannen

PrintMailRate-it

veröffentlicht am 4. Oktober 2018 / Lesedauer: ca. 3 Minuten; Autoren: Alexander Theusner, Johannes Marco Holz, Maximilian S. Dachlauer
 
Die sachgerechte und rechtlich einwandfreie Bewältigung eines Falles einer aufgetretenen Verletzung des Schutzes personenbezogener Daten („Datenpanne”) erfordert einen kühlen Kopf und gute Vorbereitung. Rüsten sollte sich jedes Unternehmen dafür, denn im Einzelfall bleiben nur wenige Stunden, um Schäden von sich und anderen abzuwenden. Dabei sind derartige meist vermeidbar. Wer im Ernstfall falsch oder gar nicht handelt, riskiert hingegen viel – existenz­bedrohende Szenarien eingeschlossen.​
  

 

          

Sensibilisierung und Struktur: Schlüssel zur Risikominimierung

Zu einer guten Vorbereitung auf Datenpannen gehört die Etablierung wirksamer und effektiver Meldeprozesse. Dabei ist die Installation eines Datenschutzbeauftragten im Unternehmen nur ein kleiner Baustein. Schließlich muss er allen Mitarbeitern als Ansprechpartner bekannt und zugänglich sein, damit er Maßnahmen schnell einleiten kann. Melden kann als Mitarbeiter jedoch nur, wer ein Datenschutz-Bewusstsein hat. Das lässt sich nur durch laufende Schulungen und Sensibilisierungen aufbauen und erhalten.
 

Im Einzelfall muss sichergestellt sein, dass Mitarbeiter nicht nur die Fähigkeiten, sondern auch den Mut haben, sich dem Datenschutzbeauftragten zu offenbaren – selbst dann, wenn sie möglicherweise selbst für die Datenpanne verantwortlich sind.
 

Damit die wesentlichen Informationen über den Vorfall schnell an die richtigen Stellen im Unternehmen gelangen, sollten Prozesse bestehen, die einen leicht handhabbaren Weg eröffnen, Einzelheiten über die Datenpanne strukturiert und umfassend zu beschreiben. Infrage kommen dabei verschiedene Wege – sie reichen von Papierformularen bis hin zu automatisierten Meldesystemen in Form von Eingabemasken im Corporate Intranet.
 

Nur anhand umfassender Informationen ist es möglich, sich einen fundierten Eindruck von Art und Ausmaß der Datenpanne zu verschaffen. Darin liegt die Grundlage für sachgerechte Gegenmaßnahmen in technischer wie rechtlicher Hinsicht. Das Fehlen eines entsprechenden Prozesses wird zudem bei einer Bußgeldzumessung berücksichtigt und kann der Geschäftsleitung damit als Organisationsverschulden persönlich zum Verhängnis werden.
 

Meldepflichten

Der Verantwortliche ist nach dem Eintritt einer Datenpanne gem. Art. 33 Abs. 1 DSGVO zu einer unver­züglichen Meldung an die Aufsichtsbehörde verpflichtet. Hierbei ist jedoch Vorsicht geboten, denn mit der Meldung ist grundsätzlich auch eine Selbstbelastung verbunden, die ggf. in eine strafrechtliche Verfolgung münden kann.
 
Anwaltliche Beratung ist in solchen Fällen daher ganz besonders angezeigt, zumal Art. 33 DSGVO Mindest­inhalte einer Meldung an die Behörde vorsieht, die in jedem Fall vor Absendung einer fachgerechten Bewertung unterzogen werden sollten.
 

Benachrichtigungspflicht

Ist in der Datenpanne ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen zu sehen, so sind diese grundsätzlich gemäß Art. 34 DSGVO persönlich zu benachrichtigen. Teilweise offen ist noch, wann überhaupt ein hohes Risiko im Sinne der Vorschrift vorliegt. Ein Blick auf die Vorschriften zur Datenschutzfolgeabschätzung (Art. 35 DSGVO) kann helfen: Ein hohes Risiko könnte jedenfalls dann bestehen, wenn ein Prozess betroffen ist, für den eine Datenschutz-Folgeabschätzung (DSFA) durchgeführt wurde. Die Praxis zeigt jedoch, dass die Durchführung von Datenschutzfolgeabschätzungen in Unternehmen oftmals noch nicht stattgefunden hat. Insoweit verbleibt eine erhebliche Unklarheit über die Risiko­be­wertung. Das ist umso problematischer, als dass eine Benachrichtigung Betroffener im Einzelfall mit erheblicher Öffentlichkeitswirksamkeit verbunden sein kann.
 

Die Pflicht zu einer persönlichen Benachrichtigung entfällt jedoch nur,
  • wenn der Verantwortliche die unbefugte Verwendung abhandengekommener Daten nachträglich technisch ausschließt,
  • er das „Datenleck” nachträglich dergestalt beseitigt, dass ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen nicht mehr besteht oder
  • eine Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre.

 
Daten nachträglich unbrauchbar zu machen, dürfte in den wenigsten Fällen möglich sein. Auch in der 2. Fallkategorie stellt sich die Frage, ob es Wege geben kann, Risiken nachträglich wirksam auszuschließen. Schließlich ist noch völlig offen, wo die Grenze der Unverhältnismäßigkeit zu ziehen ist.
 

Eine belastbare Einschätzung zu den vorstehenden Unklarheiten wird letztlich nur die Rechtsfortbildung durch Behörden und Gerichte liefern können. Bis dahin dürfte allein die sorgfältige Dokumentation der entscheidungserheblichen Erwägungen für das Verhalten im Ernstfall eine hinreichende Rechtssicherheit bringen.
 

Fazit

Noch ist der Umgang mit Datenpannen mit erheblichen Unklarheiten behaftet, so dass im Fall der Fälle anwaltliche Beratung unbedingt zu empfehlen ist. Insbesondere bei der Dokumentation des Vorfalls und der Reaktion darauf sollte externe Expertise eingeholt werden.
 

 

Kontakt

Contact Person Picture

Johannes Marco Holz, LL.M.

Rechtsanwalt, Fachanwalt für Informationstechnologierecht, Datenschutzbeauftragter (GDDcert.EU), Master of Laws Rechtsinformatik (Universität Passau)

Partner

+49 911 9193 1511

Anfrage senden

Profil

Contact Person Picture

Carina Richters

Rechtsanwältin, Compliance Officer (TÜV)

Manager

+49 221 949 909 206

Anfrage senden

 Wir beraten Sie gern!

 Mehr lesen?

Deutschland Weltweit Search Menu