Auch Datendiebstahl lässt sich heutzutage nicht hundertprozentig ausschließen. Wegen der weitreichenden Folgen ist aber jede unzulässige Datenverarbeitung sehr ernst zu nehmen. Daher stehen viele Unternehmer vor der Frage, wie in solch einem Fall zu verfahren ist und welche Konsequenzen drohen.
Feststellung der Datenpanne
Im ersten Schritt gilt es überhaupt festzustellen, fass ein Datenvorfall vorliegt. Aber wann ist von einer Datenpanne auszugehen? Von einer Datenpanne spricht man, wenn Unbefugte Zugriff auf die im Unternehmen verarbeiteten personenbezogenen Daten von Kunden, Mitarbeitern oder Dritten erhalten. Doch die Hintergründe für den unberechtigten Datenabfluss können vielschichtig sein: Fehler im Betriebsablauf, menschliches Versagen, technische Ausfälle oder auch Angriffe Dritter sind hier beispielhafte Ursachen.
Sensibilisierung der Mitarbeiter für Datenvorfälle
Wichtig ist es, Datenpannen schnell genug festzustellen, um fristgemäß einschreiten zu können. Daher empfiehlt es sich alle Mitarbeiter und sonstigen Beschäftigten des Unternehmens auch für das Thema Datenpannen zu sensibilisieren. Der Datenschutzbeauftragte ist gemäß Art. 39 Abs. 1 a) Datenschutzgrundverordnung (DSGVO) sowieso verpflichtet, eine jährliche Mitarbeiterschulung zum Datenschutz vorzunehmen. Hier kann ein umfänglicher Slot zum Vorgehen bei auftretenden Datenpannen integriert werden. Auch in der Unternehmensrichtlinie Datenschutz des Unternehmens sollte diesem Thema ein hervorgehobener Platz eingeräumt werden. Ein Notfallkonzept mit allen zuständigen Ansprechpartnern hilft im Ernstfall bei einer schnellen Erfassung und Behebung des Datenlecks.
Meldung gegenüber der Aufsichtsbehörde
Ist ein Datenvorfall festgestellt, gilt es schnell zu handeln. Denn gemäß Art. 33 DSGVO hat der Verantwortliche die Datenpanne binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Dabei werden Sonn- und Feiertage eingerechnet. Diese Meldung übernimmt in der Regel der Datenschutzbeauftragte. Sie ist stets verpflichtend, es sei denn die Verletzung führt „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“. Um dieses Risiko bewerten zu können, nimmt der Datenschutzbeauftragte gemeinsam mit der Unternehmensführung eine Prognoseentscheidung vor, bei der er die mögliche Schadenshöhe für den Betroffenen gegen die Eintrittswahrscheinlichkeit abwägt. Eine Hilfestellung bietet hier das Kurzpapier Nr. 18, das von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) herausgegeben wurde.
Information der Betroffenen
Auch eine Information sämtlicher von der Datenpanne betroffenen Personen kann gemäß Art. 34 Abs. 1 DSGVO erforderlich sein. D.h. Jeder, dessen personenbezogene Daten angegriffen sind, ist über den Datenvorfall aktiv in Kenntnis zu setzen. Die Unterrichtung muss neben dem geschehenen Vorfall folgende Informationen enthalten:
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Von der Information der Betroffenen kann gemäß Art. 34 Abs.3 DSGVO nur in wenigen Ausnahmefällen abgesehen werden. So etwa, wenn Maßnahmen ergriffen wurden, die sicherstellen, „dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht.“ Worin solche Maßnahmen bestehen, sollte zumindest für die häufigsten Datenpannen vorab in einem Notfallkonzept festgelegt werden.
Konsequenzen bei pflichtwidrigem Verhalten
Kommt der Verantwortliche den Pflichten auf Meldung und Information aus Art. 33, 34 DSGVO nicht nach, drohen ernsthafte Konsequenzen. Dann nach Art. 83 Abs. 4 DSGVO können Geldbußen bis zu zehn Millionen Euro oder 2% des weltweit im Vorjahr erwirtschafteten Jahresumsatzes – je nachdem welcher Betrag höher ist – verhängt werden. Aber auch die Betroffenen haben gegebenenfalls einen Anspruch auf Schadensersatz. Daher kann dies bei größeren Datenpannen, von denen mehrere Personen betroffen sind, zu einem weiteren erheblichen Schaden beim Unternehmer führen. Mit einem hinreichend ausgebildeten Datenschutzbeauftragten, der sich dem Thema Datenpannen umfassend annimmt, können diese Konsequenzen minimiert werden.