DSGVO: Datenpannen

(30.3.2017) Die Datenschutzregeln werden general-saniert. Welche Auswirkungen hat das für Sie und Ihre Arbeit? In dieser Folge über die EU-Datenschutz-Grundverordnung (DSGVO) geht es um das Thema:

Der Umgang mit Datenpannen

Eine Datenschutzpanne (Art. 33 DSGVO) ist zukünftig  jede „Verletzung des Schutzes von personenbezogenen Daten“ (nicht nur z.B. von sensiblen Daten wie aus dem Gesundheits- oder Bankenbereich). Immer wenn ein Hacker-Angriff vorliegt, wenn Angaben aus Versehen an einen falschen Empfänger geschickt werden oder wenn ein ähnlicher Fall vorliegt, in dem personenbezogene Daten einem Unbefugten zur Kenntnis gelangen, liegt eine Datenpanne vor.

Einzige Ausnahme: Die Daten waren verschlüsselt oder der Vorfall führt aus ähnlichen Gründen „voraussichtlich nicht zu einem Risiko“ für die Betroffenen.

Was ist dann zu tun?

Jede Panne muss bei der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden (!) gemeldet werden, nachdem sie bekannt wird. Wenn es länger dauert, muss die Verzögerung begründet werden.

Die Meldung muss enthalten

  • Angaben zum Vorfall
  • Art und Anzahl der betroffenen Datensätze
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • eine Beschreibung der wahrscheinlichen Folgen
  • eine Beschreibung, welche Maßnahmen ergriffen oder vorgeschlagen werden, um derartige Vorfälle zukünftig zu verhindern

Um im Fall der Fälle reibungslos handeln zu können, sollten die Mitarbeiter über all das Bescheid wissen. Arbeitgeber sollten deshalb entsprechende Richtlinien und Arbeitsanweisungen in Kraft setzen – so dass bei einer Panne keine wertvolle Zeit verloren geht.

Und was ist mit den Betroffenen?

Diejenigen, die von einer Panne betroffen sind, müssen meist ebenfalls informiert werden (wenn sie „voraussichtlich einem hohen Risiko“ ausgesetzt sind, was einen gewissen Interpretationsspielraum eröffnet, Art. 34 DSGVO). Hier gibt es auch keine so starre zeitliche Vorgabe.

Zusammenfassung:
Zukünftig wird es häufiger Datenschutzpannen geben (aufgrund der erweiterten Definition); die Handlungspflichten erweitern sich.
Mitarbeiter müssen aufgeklärt werden, wann sie sich wie zu verhalten haben. Der Arbeitgeber sollte dazu Vorgaben treffen.

Wir unterstützen unsere Kunden natürlich bei dieser Aufgabe, indem wir unter anderem entsprechende Vorlagen und Textbausteine liefern.