Datenpannen sind schnell passiert. Meist ungewollt aus eigener Kraft, oft aber auch gewollt und in schädlicher Absicht durch fremde Kräfte wie z.B. einen Hackerangriff. Auch wenn es um die Handhabung einer Datenpanne geht, könnte der Spruch «Problem erkannt, Gefahr gebannt» gut passen. Denn gerade die Vorgehensweise selbst spielt bei der Frage möglicher Bußgelder und Reaktion der Betroffenen oft eine größere Rolle als der eigentliche Datenschutzvorfall.
Die DSGVO definiert in Art. 33 eine Datenpanne als «eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden».
Nachdem eine mögliche Datenpanne entdeckt wurde, müssen zunächst die hierfür zuständigen Mitarbeiter benachrichtigt werden. Je nach Personal-, und Unternehmensstruktur gehört dazu der Vorgesetzte, der Team- oder Bereichsleiter, der interne oder externe Datenschutzbeauftrage und im Zweifel bereits zu Beginn die Geschäftsleitung.
Das gilt auch, wenn nur ein bloßer Verdacht besteht, dass eine Datenpanne eingetreten ist, da der Mitarbeiter, der den Vorfall entdeckt, diesen meist nicht selbst beurteilen kann und dies abschließend allein auch nicht sollte.
Unternehmensintern sollte in Papierform oder im Intranet die Möglichkeit geschaffen werden, dass sich Mitarbeiter informieren können wie im Falle eines Datenschutzvorfalles vorzugehen ist. In der Praxis empfiehlt sich daher folgendes Vorgehen bei einer Datenpanne:
- (Telefonische) Rücksprache mit zuständigen Mitarbeitern Datenschutz/DSB bzw. dem Vorgesetzten
- Dazu können gestaffelte Zuständigkeiten für den Fall der Nichterreichbarkeit aufgestellt werden
- Schriftliche Mitteilung per E-Mail an den zuständigen DSB oder anderen Ansprechpartner für Datenschutz
- Die Mitteilung sollte folgende Informationen enthalten:
- Im Betreff Benennung als Datenschutzvorfall, damit die Dringlichkeit für die zuständigen Empfänger leicht ersichtlich ist
- Informationen zu Zeit und Ort des Datenschutzvorfalles (z.B.: «am xx.xx.xxxx Email versehentlich an gesamten Emailverteiler»)
- Mitteilen welche (Art der) Daten konkret abhandengekommen sind oder abhandengekommen sein könnten
- An wen wurden Daten gesendet bzw. wo wurden Daten veröffentlicht
- Benennen wie viele Personen von dem Datenschutzvorfall betroffen sind/ sein könnten
- Einschätzung wie viele Datensätze betroffen sind; Risikoeinschätzung inwiefern eine Missbrauchsgefahr der Daten besteht
- Mitteilung, welche Maßnahmen zur Datensicherung seit Bekanntwerden der Datenpanne getroffen wurden
Ferner sollten die zuständigen Mitarbeiter für Datenschutz bzw. der DSB die Einhaltung dieser Vorgehensweise durch Ausfüllen einer Art «Checkliste» dokumentieren und überprüfen können. Eine solche Liste könnte Bestandteil des internen Prozesses zur Handhabung einer Datenpanne sein. Dazu können weitere festgelegte und dokumentierte Schritte gehören z.B. was die weitere Informationskette innerhalb des Unternehmens betrifft, z.B. die Geschäftsleitung, aber auch die Mitarbeiter der IT-Abteilung zur Gewährleistung der technischen Unterstützung. Damit dies innerhalb kürzester Zeit von statten gehen kann, sollten Übersichten erstellt werden, auf denen die jeweiligen Schritte erläutert und die Kontaktdaten der entsprechenden Personen ersichtlich sind.
Sobald die notwenigen Informationen über die potenzielle Datenpanne zusammengetragen wurden, müssen die zuständigen Personen (in der Regel der Datenschutzbeauftragte) prüfen und abwägen, ob eine Meldepflicht an die zuständige Datenschutzaufsichtsbehörde und/ oder an die betroffene Person (Art. 34 DSGVO) besteht. Dies ist gemäß Art. 33 DSGVO dann der Fall, wenn «die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt».
Sofern dies der Fall ist, ist die Meldung gemäß Art. 33 DSGVO an die Aufsichtsbehörde vorzubereiten. Auch hierzu sollte ein konkreter Meldeprozess bei Datenschutzvorfällen, sowie ein vorgefertigtes Muster zur Mitteilung einer Datenschutzverletzung erstellt worden sein, da eine Meldung «unverzüglich» d.h. in der Regel innerhalb von 72 Stunden zu erfolgen hat. Der Nachweis über das Vorliegen eines solchen Meldeprozesses dient sogleich der Aufsichtsbehörde zur Überprüfung der korrekten Einhaltung der Meldepflicht.
Die Meldung sollte gemäß Art. 33 Abs.3 DSGVO zumindest folgende Informationen enthalten:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Viele der Aufsichtsbehörden verfügen ferner bereits über ein Online-Meldeformular für eine zu meldende Datenpanne, welches die Meldung auch beschleunigen kann und die o.g. Angaben enthält.
Nachdem der Datenschutzvorfall gemeldet wurde, sollte dieser in eine Übersicht eingepflegt werden, damit alle Verletzungen des Schutzes personenbezogener Daten inklusive aller damit im Zusammenhang stehender Umstände nachvollziehbar dokumentiert sind. Dies dient einerseits der späteren Aufbereitung der Datenpanne und damit der Fehlerermittlung, aber auch möglichen weiteren (späteren) Datenschutzfolgeabschätzungen, wenn es um eine Risikobewertung eines geplanten Handelns geht, bei welcher personenbezogene Daten verarbeitet werden, wie z.B. beim Einsatz neuer Software etc.
Ferner empfiehlt es sich, die Mitarbeiter im Umgang mit derartigen Vorgängen gesondert durch den Datenschutzbeauftragten schulen und sensibilisieren zu lassen.
Auch wenn eine Datenpanne aufgrund der immensen Menge an Verarbeitungsschritten und Personendaten, trotz ergriffener organisatorischer und technischer Maßnahmen nicht gänzlich verhindert werden kann, kann der professionelle Umgang mit der selbigen zum einen ein Unternehmen vor einem möglichen Bußgeld oder anderer Sanktionen durch die zuständige Datenschutzaufsichtsbehörde bewahren und zum anderen das Vertrauen der Betroffenen in die sicherer Datenverarbeitung durch das Unternehmen wiederherstellen.