Ein „Datenschutzvorfall“ kann in jedem Unternehmen schnell passieren. Es genügt, dass beispielsweise eine Mitarbeiterin in der Bahn ihren Dienstlaptop nutzt und der dahinter sitzende Fahrgast Einblick in die Kunden-E-Mails erhält, die die Mitarbeiterin gerade bearbeitet. Oder ein Kollege versendet eine E-Mail, in der er verschiedene Personen in den „CC“ statt in den „BCC“ setzt. Plötzlich befinden sich personenbezogene Daten in Händen, in die sie nicht gehören.
In so einem Fall ist es sehr wichtig zu wissen, worin Ihre Pflichten bestehen. Insbesondere ist es von entscheidender Bedeutung, dass die Angestellten wissen, was sie tun müssen. Sie sollten sich also auf dieses Szenario vorbereiten. Es ist vermutlich nur eine Frage der Zeit, bis in jedem Unternehmen ein Datenschutzvorfall eintritt. Mit der richtigen Vorbereitung und den erforderlichen internen Absprachen über die Zuständigkeit kann die „Datenpanne“ jedoch gemeistert werden. Genauso wie es seit Jahrzehnten Verhaltensregeln für den Fall eines Feuerausbruchs gibt, sollte ein Unternehmen auch bei einem Datenschutzvorfall vorbereitet sein.
Wie erkennt man einen Datenschutzvorfall?
Zunächst ist es wichtig zu verstehen, dass der Verantwortliche ab dem Zeitpunkt des Bekanntwerdens des Datenschutzvorfalls nur 72 Stunden Zeit hat, um ihn der zuständigen Aufsichtsbehörde zu melden. Die Meldefrist beginnt also zu dem Zeitpunkt zu laufen, an dem ein Mitarbeiter (m/w/d) den Datenschutzvorfall das erste Mal bemerkt. Folglich ist es eine Grundvoraussetzung, dass alle Mitarbeiter wissen, was ein Datenschutzvorfall überhaupt ist. Denn nur, wenn die Mitarbeiter ermutigt werden, Datenschutzvorfälle auch intern mitzuteilen, kann der Verantwortliche seiner in Art. 33 Abs. 1 DSGVO geregelten gesetzlichen Meldepflicht gegenüber der Aufsichtsbehörde nachkommen. Als Arbeitgeber sollte man daher großen Wert auf eine einfache und praxisnahe Schulung der Mitarbeiter zum Erkennen und Reagieren auf einen Datenschutzvorfall legen. Wichtig ist, dass die Mitarbeitersensibilisierung nicht nur einmal erfolgt, stattdessen sollte regelmäßig und wiederkehrend auf das Thema Datenschutzvorfall aufmerksam gemacht werden, um zu vermeiden, dass meldepflichte Vorfälle nicht erkannt werden. Neue Mitarbeiter sollten direkt am ersten Arbeitstag mit dem Thema vertraut gemacht werden.
Wir empfehlen Ihnen die Datenschutz-Schulungen von JurSAFE: https://jursafe.com/
Wie reagiert man auf einen Datenschutzvorfall?
Es ist zunächst eine Frage des bestehenden Geschäftsprozesses, wie die einzelnen Beteiligten auf einen vermuteten Datenschutzvorfall reagieren müssen. Grundsätzlich lassen sich jedoch zwei Phasen im Geschäftsprozess ausmachen. Die erste Phase bezieht sich auf den Abschnitt vom Erkennen des Datenschutzvorfalls durch den jeweiligen Mitarbeiter bis zur internen Weitergabe der Information an die vorab definierte Kontaktperson im Unternehmen (z.B. der Datenschutz-Koordinator). Der zweite Teil des Prozesses betrifft die Involvierung des Datenschutzbeauftragten und der entscheidungsbefugten Person im Unternehmen (z.B. Geschäftsführung). In der Regel wird der Datenschutzbeauftragte die Angaben des meldenden Mitarbeiters prüfen und der Geschäftsführung eine Empfehlung unterbreiten. Die Meldung des Datenschutzvorfalls bei der jeweils zuständigen Aufsichtsbehörde ist meist unkompliziert in wenigen Minuten über ein Online-Portal der Aufsichtsbehörde zu erledigen. Wichtig ist, dass man alles zum Datenschutzvorfall dokumentiert, um den korrekten Umgang damit nachweisen zu können.
Was tut ein Auftragsverarbeiter bei einem Datenschutzvorfall?
Die DSGVO unterscheidet zwischen „Verantwortlichem“ und „Auftragsverarbeiter“. Die obigen Ausführungen z.B. zur Meldepflicht beziehen sich ausschließlich auf einen Verantwortlichen. Wenn Sie hingegen Auftragsverarbeiter i.S.d. Art. 28 DSGVO sind, dürfen Sie keinesfalls die Meldung eines Datenschutzvorfalls eigenständig an die Aufsichtsbehörde vornehmen. Vielmehr ergeben sich Ihre Pflichten dann aus Art. 33 Abs. 2 DSGVO. Dort heißt es:
„Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.“
Dies bedeutet für jeden Auftragsverarbeiter, dass er etwaige Datenschutzvorfälle seinem Auftraggeber (Verantwortlicher) mitteilen muss. Und zwar so, dass der Auftraggeber die Meldefrist von 72 Stunden ab Erkennen des Vorfalls beim Auftragsverarbeiter einhalten kann. Haben Sie Fragen zu diesem Thema? Oder benötigen Sie einen Externen Datenschutzbeauftragten? Kontaktieren Sie uns gerne unter: info@sidit.de
Dieser Artikel wurde am 15.02.22 aktualisiert.
[…] ist entscheidend, um die gesetzliche Meldepflicht einhalten zu können. Wir berichteten bereits hier, wie man einen Datenschutzvorfall bemerkt sowie was der Verantwortliche bzw. ein […]