Wirtschaft & Politik

Recht: Datenpannen rechtzeitig melden

, erstellt von

Datenskandale wie jüngst bei Facebook mahnen zu erhöhter Wachsamkeit. Unternehmen müssen persönliche Informationen noch besser vor Missbräuchen schützen. Sonst ist der gesetzlich vorgeschriebene Schutz der Privatsphäre von Mitarbeitern, Geschäftspartnern oder Kunden nicht gewährleistet. Die neue EU-Datenschutz-Grundverordnung (DSGVO) nimmt bei unbefugten Datenzugriffen die betroffenen Unternehmen noch stärker in die Pflicht.

Zukünftig wird nicht nur die missbräuchliche Nutzung von persönlichen Daten, sondern auch der allzu laxe Umgang mit Datenpannen stärker geahndet. Wer bei einem Datenleck den gesetzlichen Informationspflichten nicht umgehend nachkommt, riskiert Bußgelder in Millionenhöhe.

Meldung von Datenverlusten in Deutschland Pflicht

Die Möglichkeiten einer Panne mit personenbezogenen Daten sind vielfältig. Dazu gehören etwa ein Datendiebstahl durch Hacker, der Verlust eines Datenträgers oder die unbefugte Verarbeitung oder Weitergabe von sensiblen Informationen. Laut bisherigem Bundesdatenschutzgesetz besteht für solche Fälle in Deutschland eine Meldepflicht. Mit der neuen DSGVO verschärft die EU die Vorgaben deutlich. Unternehmen sollten die neuen Regelungen sehr ernst nehmen und entsprechende Vorkehrungen treffen.

Bisher war die Meldepflicht auf besonders sensible Bereiche wie Gesundheits- oder Bankdaten beschränkt. Künftig müssen unbefugte Zugriffe auf jede Art von personenbezogenen Infos an die zuständige Datenschutzaufsichtsbehörde gemeldet werden, somit auch Adressdaten oder Fotos von Mitarbeitern. Ausgenommen sind nur Vorkommnisse, bei denen voraussichtlich kein Risiko für die persönlichen Rechte der Betroffenen besteht. So etwa, wenn die Daten auf einem verlorenen USB-Stick verschlüsselt sind und Unbefugte sie nicht nutzen können.

Inhalt der Meldung von DSGVO festgelegt

Eine Meldung an die Aufsichtsbehörde muss möglichst innerhalb von 72 Stunden erfolgen. Die Frist beginnt mit Bekanntwerden des Verstoßes. Entscheidend ist die pünktliche Einreichung der Meldung. Werden nach Fristablauf weitere Details bekannt, können Verantwortliche sie im Rahmen einer weiteren Meldung nachreichen. Wer bei der Erstmeldung die 72-Stunden-Frist nicht einhalten kann, muss die Verspätung hieb- und stichfest begründen.

Eine bestimmte Form schreibt die DSGVO für eine Meldung zwar nicht vor, doch was enthalten sein muss. Dazu gehört etwa neben der Art der Datenpanne und dem betroffenen Personenkreis auch Art und Anzahl der Datensätze sowie eine Beschreibung der bereits ergriffenen Maßnahmen. Um im Ernstfall Zeit zu sparen, sollten Firmen ein firmeneigenes Template für die Meldung erstellen. Es sollte neben den Kontaktdaten der zuständigen Datenschutzaufsichtsbehörde auch ein Raster mit allen Pflichtangaben enthalten.

Unverzügliche Direktinfo und gleichzeitige Risikoabwägung

In besonders sensiblen Fällen müssen Firmen auch betroffene Personen informieren. Voraussetzung ist, dass ein hohes Risiko für ihre Rechte und Freiheiten entsteht. Die Direktinfo muss „unverzüglich“ erfolgen, also ohne schuldhaftes Zögern. Der Gesetzgeber räumt betroffenen Unternehmen damit eine Bedenkzeit ein, die entsprechend den Umständen verschieden lang ausfallen kann. Der Infoumfang entspricht in etwa der Meldung an die Aufsichtsbehörde, wobei die Form der Datenpanne in leicht verständlicher Sprache zu beschreiben ist.

Knackpunkt im Vorfeld jeder Meldung und Direktinformation ist die Risikoabwägung. Eine Entscheidungshilfe bietet der Risikokatalog des Erwägungsgrundes 75 der DSGVO. Hier findet sich eine Reihe möglicher Datenverstöße mit potenziellem Schadensrisiko. Unternehmen sollten im Zweifel mit ihrem rechtlichen Berater abklären, wie das tatsächliche Risiko zu bewerten ist.

Lässt sich die Frage nicht eindeutig klären, sollten Verantwortliche ihrer Melde- und Infopflicht vorsichtshalber erfüllen. Grundsätzlich müssen Firmen jede Datenpanne sorgfältig dokumentieren. Es muss klar nachvollziehbar sein, wie das Datenleck entstehen konnte, welche Auswirkungen es hatte, wie die Risikoprognose zustande kam und welche Maßnahmen ergriffen wurden.

Gefahr von Datenpannen kann deutlich reduziert werden

Unternehmen können die Gefahr von Datenpannen deutlich reduzieren, indem sie die neuen Vorgaben der DSGVO genau einhalten. Zu den vorgeschriebenen Maßnahmen zählt etwa die Identifizierung eines Verantwortlichen für die Datenverarbeitung. Pflicht ist auch eine Analyse des Ist- und Sollzustandes in Sachen Datensicherheit.

Hierbei stellen sich unter anderem folgende Fragen:

  • Sind alle Verarbeitungsprozesse mit personenbezogenen Informationen richtig erfasst und dokumentiert?
  • Wurden alle von einer Datenerhebung betroffenen Personen im Sinne des Transparenzgebotes informiert?
  • Liegen wirksam erteilte Einwilligungen von Arbeitnehmern oder Kunden in die Datenverarbeitung vor?
  • Wurden Dienstverträge, Betriebsvereinbarungen und Dienstanweisungen überprüft und gegebenenfalls angepasst?

Das Ergebnis ist ein systematischer Maßnahmenplan, der alle denkbaren Sicherheitslücken umfasst. Letztendlich lebt das Thema Datenschutz von der täglichen Umsetzung in der Praxis. Ganz wichtig sind regelmäßige Schulungen. Sie sensibilisieren Mitarbeiter für Risiken und vermitteln ihnen Handlungssicherheit.

Rebekka de Conno ist Rechtsanwältin und Fachanwältin für Arbeitsrecht der Kanzlei WWS Wirtz, Walter, Schmitz und Partner mbB in Mönchengladbach.