Blog Veröffentlichung

Bewältigung von Datenschutzpannen

Die Datenschutzgrundverordnung schreibt zahlreiche Maßnahmen vor, mit denen die Sicherheit der Verarbeitung personenbezogener Daten sichergestellt werden soll. Trotzdem kann es zu Datenschutzpannen kommen. Dies geschieht insbesondere dann, wenn die Vorgaben zur Sicherheit der Verarbeitung nicht umgesetzt wurden. Dieser Beitrag beschäftigt sich mit der Ausgestaltung eines Prozesses um schnell und effektiv auf Datenpannen reagieren zu können.

Was sind Datenpannen?

Nach Art. 4 Nr.12 DSGVO ist eine Datenpanne – das Gesetz spricht formal von einer Verletzung des Schutzes personenbezogener Daten – eine Verletzung der Sicherheit,

  • die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung,
  • oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten

führt.

Beispiele für Datenpannen sind: die Löschung durch eine nicht authorisierte Person, die Unmöglichkeit der Wiederherstellung eines Backups, das Abhandenkommen eines Schlüssels zur Entschlüsselung, ein Datendiebstahl (durch Hacking oder physisches Eindringen in eine geschützte Umgebung) , ein Befall durch Ransomware oder der Verlust eines mobilen, unverschlüsselten Datenträgers.

Vom Verantwortlichen fordert die Datenschutzgrundverordnung in Erwägungsgrund 87, dass er feststellen kann, ob eine Datenpanne aufgetreten ist und dass er die Aufsichtsbehörde und die betroffene Person umgehend darüber unterrichtet.

Ablauf bei Datenschutzpannen

Damit der Verantwortliche die Meldepflichten entsprechend der gesetzlichen Vorgaben zügig umsetzen kann, muss er sich auf den Eintritt von Datenpannen und die anschließende Reaktion vorbereiten. Gibt es keinen entsprechenden Reaktionsplan, dann können die gesetzlichen Vorgaben zur Meldung der Verletzung oft nur schlecht oder überhaupt nicht erfüllt werden. Dazu gehören auch klare Zuständigkeitsregelungen, damit nach einem Vorfall kein Stillstand aufgrund fehlender Verantwortlichkeiten eintritt.

Der Reaktionsplan sollte folgende Schritte enthalten:

  • Schnelle Kenntniserlangung von Datenpannen
  • Bewertung
  • Maßnahmen zur Abwendung/Eindämmung
  • Entscheidung ob eine Meldung erfolgen soll
  • Meldung an die Aufsichtsbehörde oder den Betroffenen

Schnelle Kenntniserlangung

Der erste Schritt, die zügige Kenntniserlangung von Datenpannen und deren anschließende Weiterleitung an den Datenschutzbeauftragten, nimmt oft unnötig viel Zeit in Anspruch. Diese Zeit fehlt dann um den Vorfall fristgerecht an die Aufsichtsbehörde oder den Betroffenen zu melden. Wenn es sich beim Verantwortlichen um eine juristische Person handelt, dann kommt es bei der Kenntniserlangung auf die Mitarbeiter an, die nach der betrieblichen Organisation für die Verarbeitung der personenbezogenen Daten verantwortlich sind. Den Mitarbeitern sollte kommuniziert werden, dass die zügige Weiterleitung des Vorfalls an den Datenschutzbeauftragten besonders wichtig ist. Betroffene Mitarbeiter reagieren oft zaghaft, da sie Konsequenzen wegen eigenem Verschulden fürchten. Es muss deshalb kommuniziert werden, dass durch zügiges Handeln viel Schaden abgewendet werden kann und dass die Meldung des Vorfalls an den Datenschutzbeauftragten auch im Interesse des Mitarbeiters liegt.

Bewertung von Datenpannen

Wird der Vorfall zügig an den Datenschutzbeauftragten herangetragen, so kann dieser anschließend eine Bewertung der Datenpanne durchführen. Der Reaktionsplan sollte Leitlinien oder Kriterienkataloge enthalten, die eine zügige Bewertung und Risikoanalyse ermöglichen. Mögliche Kriterien zur Ermittlung des Risikos einer Datenschutzpanne sind u.a. die Kategorien der betroffenen Daten oder die Art der Verletzung.

Durchführung von Gegenmaßnahmen

Ein Reaktionsplan sollte für die verschiedenen Arten von Datenschutzpannen entsprechende Gegenmaßnahmen enthalten und deren Durchführung hinreichend beschreiben. Hierfür kann insbesondere auf die Erfahrung aus der Bewältigung vergangener Datenpannen zurückgegriffen werden.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.