Das frühzeitige Erkennen eines Datenschutzvorfalles und die richtige Reaktion darauf ist entscheidend, um die gesetzliche Meldepflicht einhalten zu können. Wir berichteten bereits hier, wie man einen Datenschutzvorfall bemerkt sowie was der Verantwortliche bzw. ein Auftragsverarbeiter bei einem Datenschutzvorfall tun muss. In diesem Artikel betrachten wir den praktischen Umgang mit einem Datenschutzvorfall näher und geben Ihnen konkrete Tipps, wie Ihr Unternehmen in einem solchen Fall reagieren sollte.
Die richtigen Fragen stellen und Informationen sammeln
Stellen Sie sich vor, ein Mitarbeiter ruft Sie als Datenschutz-Koordinator:in an und teilt Ihnen mit, dass er seinen Aktenkoffer gestern im Zug zwischen München und Nürnberg vergessen habe. Nun stellt sich die Frage: Wie gehen Sie damit um? Am Besten wäre, wenn Sie auf diese Situation vorbereitet sind und anhand eines dokumentierten Geschäftsprozesses verfahren können.
In jedem Fall steht jedoch die Sachverhaltsaufklärung an erster Stelle. Sie benötigen vom Mitarbeiter weitere Angaben über die genauen Umstände des Vorkommnisses sowie die möglicherweise verlorenen personenbezogenen Daten. Denn eines ist klar: Nur mit den notwendigen Informationen können Sie oder Ihre Geschäftsführung entscheiden, ob es sich um einen meldepflichtigen Datenschutzvorfall handelt oder welche weiteren Schritte Sie unternehmen müssen. Wichtige Fragen, die Sie stellen könnten, lauten:
- Welche personenbezogenen Daten befanden sich in dem Koffer?
- War der Koffer abgeschlossen?
- Wie viele Datensätze befanden sich darin?
- Wie viele Personen sind betroffen?
- Wer sind die betroffenen Personen?
- Wann ereignete sich der Vorfall genau?
- Wann hat der Mitarbeiter den Vorfall bemerkt?
- Hat der Mitarbeiter schon irgendwelche Maßnahmen ergriffen?
Dokumentation der Antworten zum Datenschutzvorfall
Die Antworten des Mitarbeiters auf diese Fragen sollten Sie auf jeden Fall dokumentieren, denn nur so kommt Ihr Unternehmen seinen Rechenschaftspflichten nach. Hierzu sollten Sie sich eine Vorlage anlegen, die Sie immer verwenden können, sobald ein Datenschutzvorfall im Raum steht. Diese Vorlage können Sie in Ihrem Datenschutzmanagement-System ablegen, sodass Sie jederzeit darauf zugreifen können.
Nachdem Sie entscheiden konnten, ob Sie den Vorfall an die zuständige Aufsichtsbehörde melden müssen, sollten Sie sich mit der Frage der weiteren Aufarbeitung des Datenschutzvorfalles befassen und dies ebenso in Ihrer Vorlage dokumentieren. Die Vorgabe dazu ergibt sich aus Art. 33 Abs. 5 DSGVO.
Maßnahmen ergreifen und betroffene Personen informieren
Nun sollten Sie sich mit der Frage befassen, welche Maßnahmen Sie zur Abmilderung des Datenschutzvorfalles ergreifen können. Auch das gilt es zu dokumentieren, denn besonders die Risiken für die Rechte und Freiheiten der betroffenen Personen müssen minimiert werden. Nehmen wir an, der im Zug vergessene Aktenkoffer enthielt eine Liste mit Kundennamen und deren jeweiliger IBAN-Kontoverbindung. Dann sollten Sie sich auf jeden Fall mit dem Fundbüro der Deutschen Bahn in Verbindung setzen und den Verlust melden.
Zusätzlich stellt sich die Frage, ob Sie die betroffenen Kunden über das Vorkommnis informieren müssen. Laut Art. 34 Abs. 1 DSGVO ist hierfür ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen erforderlich. Im vorliegenden Fall kann wohl eine Meldung an die Betroffenen unterbleiben, da mit den IBAN allein regelmäßig kein hohes Risiko für die Rechte der Kunden besteht. Diese Abwägung sollten Sie jedoch im Einzelfall immer mit Ihrem Datenschutzbeauftragten gemeinsam treffen und dokumentieren.
Lehren aus dem Datenschutzvorfall ziehen und Konsequenzen dokumentieren
Nachdem die konkrete Bearbeitung des Datenschutzvorfalls abgeschlossen ist, stellt sich unbedingt die Frage, welche Konsequenzen Sie aus dem Vorfall für ähnliche künftige Situationen ziehen. So können Sie die Wahrscheinlichkeit der Wiederholung eines verwandten Datenschutzvorfalls reduzieren. In unserem konkreten Fall könnten Sie z. B. eine Richtlinie erstellen, aus der hervorgeht, welche personenbezogenen Daten überhaupt auf welche Weise transportiert werden dürfen. Hier spielen die technischen und organisatorischen Sicherungsmaßnahmen eine wichtige Rolle. Wäre die angesprochene Liste mit Kundendaten z. B. mittels einer verschlüsselten externen Festplatte und die Daten in pseudonymisierter Weise statt in ausgedruckter Form auf Papier in einem zusätzlichen Sicherungsbehälter transportiert worden, wären die Risiken für die Rechte und Freiheiten der Betroffenen wesentlich geringer als in unserem Beispiel. Eine weitere denkbare Maßnahme wäre auch die erneute Sensibilisierung der Mitarbeiter mit dem Prozess zur Meldung eines Datenschutzvorfalles.
Wir hoffen, dass es in Ihrem Unternehmen nicht zu Datenschutzvorfällen kommt. Falls doch, haben Sie nun einen Leitfaden, der Ihnen hilft, sich richtig zu verhalten. Wenn Sie professionelle Unterstützung bei diesem Thema benötigen oder Fragen zum Datenschutz haben, schreiben Sie uns gerne unter: info@sidit.de
Kein Kommentar