Bei den Datenpannen, von denen wir hier reden, gehen wir immer von Datenpannen bezüglich personenbezogener Daten aus. Weitere Datenpannen, die z.B. Betriebsgeheimnisse betreffen, werden in diesem Artikel nicht vordergründig behandelt, können aber grundsätzlich im vorausplanenden Schutz gleichartig angegangen werden.Als erstes ist es bei einer Datenpanne unerheblich, ob die Daten in digitaler oder analoger Form (z.B. als Aktenordner) vorliegen. Entscheidend ist alleine, dass mit diesen Daten etwas passiert ist, was nicht hätte geschehen dürfen.

Wann liegt eine meldepflichtige Datenpanne?

Eine meldepflichtige Datenpanne kann die folgenden Punkte umfassen:

  • Unberechtigte Verarbeitung dieser Daten (egal ob bewusst oder unbewusst)
  • Unbefugte Umgehung von Sicherheitsmaßnahmen-Angriffe auf die IT-Infrastruktur des UnternehmensIn der Praxis kann das ebenso der verlorengegangene (z.B. in der Bahn vergessene) oder gestohlene Laptop sein wie der Versand einer E-Mail mit allen Adress-Empfängern in CC statt im unsichtbaren BCC, ein versehentlich weggeworfener Aktenordner, eine Brute-Force-Attacke, der auf dem Parkplatz gefundene und im Firmenlaptop ausprobierte USB-Stick mit Schadsoftware, der fatale geöffnete Mail-Anhang usw.

Wie verhindert man Datenpannen?

Im Idealfall sorgt man durch geeignete technische und organisatorische Maßnahmen dafür, dass solche Fälle möglichst ausgeschlossen sind, aber komplett auszuschließen sind Datenschutzpannen wohl in keinem Unternehmen. Gerade im Bereich Datenschutz kann dies aber verheerende Konsequenzen für den Betroffenen haben. Daher hat der Gesetzgeber genau festgelegt, was vom Unternehmen zu veranlassen ist, falls es zu einer Datenpanne kommt.1.)Prüfung darauf, ob eine Aufsichtsbehörde zu informieren ist. Bevor Sie eine Aufsichtsbehörde über den Vorfall informieren, prüfen Sie, wie groß das Risiko für die Betroffenen ist.

Was ist zu klären?

Dazu müssen Sie klären:

  • Wie viele Datensätze (Personen) sind betroffen?
  • Was für Daten sind genau betroffen?
  • Welche Schutzmaßnahmen wurden ergriffen, damit die Daten trotz Panne geschützt sind?

Wenn Sie dabei zum Ergebnis kommen, dass ein „normales Risiko“ für den bzw. die Betroffenen besteht, sind Sie verpflichtet, die für Sie zuständige Aufsichtsbehörde über den Vorfall zu informieren.

Abstimmung mit dem Datenschutzbeamten bei einer meldepflichtige Datenpanne

Dies dürfte in der Regel der Fall sein, muss aber von den Verantwortlichen entschieden werden. Es ist zu empfehlen, den Datenschutzbeauftragten in einem solchen Fall mit ins Boot zu nehmen und sich mit ihm abzustimmen.Falls Sie eine Meldung durchführen müssen, so haben Sie lediglich 72 Stunden nach Kenntnisnahme der Datenpanne dafür Zeit! Beachten Sie unbedingt diese sehr enge Frist und geben Sie daher schnellstmöglich eine beweisfähige Meldung ab (z.B. per Fax). Eine zu spät abgegebene Meldung kann ein hohes Bußgeld zur Folge haben. Melden Sie sich im Notfall vorab per Telefon bei Ihrer Behörde, auf jeden Fall innerhalb der 72-Stunden-Frist.