Datenpanne: Vorbeugung, Meldepflicht, Beratung

Eine Datenpanne tritt auf, wenn personenbezogene Daten unbeabsichtigt oder unrechtmäßig offenbart, vernichtet, verändert oder auf andere Weise unbefugt verarbeitet werden. Dies kann durch verschiedene Ursachen, wie

• menschliches Versagen,
• technische Fehler,
• Cyberangriffe oder
• Diebstahl von Geräten mit gespeicherten Daten,

verursacht werden. Eine Datenpanne kann erhebliche Auswirkungen auf die betroffenen Personen (z.B. Identitätsdiebstahl) sowie auf das verantwortliche Unternehmen (z.B. Imageschäden) haben.

Daher sollten Unternehmen über geeignete technische und organisatorische Maßnahmen (TOM) verfügen, um die Sicherheit von personenbezogenen Daten zu gewährleisten und Datenpannen vorzubeugen.

Dazu gehören unter anderem die regelmäßige Aktualisierung von Software und Systemen, Zugangskontrollen, Verschlüsselung von sensiblen Daten sowie Schulungen und Sensibilisierung der Mitarbeiter für das Thema Informationssicherheit.

Sollte es dennoch zu einer Datenpanne kommen, müssen die verantwortlichen Unternehmen schnell und planmäßig reagieren, vor allem wenn sie einem Bußgeld entgehen wollen. Denn bestimmte Datenpannen sind meldepflichtig und müssen den betroffenen Personen angezeigt werden. Kommen die Unternehmen diesen Pflichten nicht nach, droht ihnen ein Bußgeld von bis zu 10 Mio. Euro oder von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist.

Hier sind fünf Schritte, die Unternehmen gehen sollten, um angemessen auf eine Datenpanne zu reagieren und ihren Pflichten gemäß der DSGVO gerecht zu werden:

Unternehmen sollten interne Mechanismen zur Erkennung von Datenpannen implementieren, wie zum Beispiel Überwachungssysteme oder Intrusion Detection Systems (IDS) zur Erkennung verdächtiger Aktivitäten, und Mitarbeiterschulungen durchführen. Sobald eine Datenpanne erkannt wird, muss sie umgehend bewertet werden, um das Ausmaß und die Art der betroffenen Daten sowie die potenziellen Auswirkungen auf betroffene Personen zu bestimmen. Im Zuge dessen entscheidet sich auch, ob eine Meldepflicht für die jeweilige Datenpanne besteht.

Gemäß der DSGVO sind Unternehmen verpflichtet, Datenpannen, bei denen ein Risiko für die Rechte und Freiheiten von betroffenen Personen besteht, innerhalb von 72 Stunden nach der Entdeckung an die zuständige Aufsichtsbehörde zu melden. Die Meldung sollte alle relevanten Informationen zur Datenpanne, einschließlich des Umfangs der betroffenen Daten, der Ursache der Datenpanne, der ergriffenen Maßnahmen und der potenziellen Auswirkungen auf betroffene Personen, enthalten.

Sollte die Bewertung der Datenpanne ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen ergeben, ist das Unternehmen außerdem dazu verpflichtet, die Betroffenen unverzüglich über die Datenpanne zu informieren. Die Benachrichtigung sollte in klarer und einfacher Sprache erfolgen und alle relevanten Informationen zur Datenpanne, den potenziellen Auswirkungen für den Betroffenen sowie zu den Maßnahmen, die das Unternehmen ergriffen hat oder beabsichtigt zu ergreifen, enthalten.

Auch nach der Benachrichtigung sollten die Unternehmen in engem Kontakt mit den betroffenen Personen bleiben, um ihnen Unterstützung zukommen zu lassen sowie Informationen zur Verfügung zu stellen. Dies kann die Bereitstellung von Kontaktinformationen für Rückfragen, die Unterstützung bei der Identitätsdiebstahl-Prävention oder die Bereitstellung von Ressourcenumfassen, damit betroffene Personen ihre Rechte nach der DSGVO ausüben können.

Um die Einhaltung ihrer Pflichten nach der DSGVO nachzuweisen, sollten die Unternehmen alle Schritte und Maßnahmen im Zusammenhang mit der Reaktion auf eine Datenpanne dokumentieren. Zudem sollte eine interne Berichterstattung und Überprüfung durchgeführt werden, um Lehren aus der Datenpanne zu ziehen und so zukünftige Vorfälle zu vermeiden.

Mit Blick auf die hohe Bußgeldandrohung und die unter Umständen schwerwiegenden Konsequenzen für die verantwortlichen Unternehmen und betroffenen Personen ist es entscheidend, angemessen auf Datenpannen zu reagieren und die geltenden Melde- und Benachrichtigungspflichten zu erfüllen.

Unternehmen sollten über klare Verfahren und Mechanismen zur Erkennung, Bewertung und Meldung von Datenpannen verfügen sowie geeignete TOM ergreifen, um Datenpannen zu verhindern. Indem Unternehmen DSGVO-konform auf Datenpannen reagieren, können sie das Vertrauen von Kunden, Mitarbeitern und Partnern in den Umgang mit personenbezogenen Daten stärken und das Risiko von Bußgeldern minimieren.

Unsere Anwälte für Datenschutzrecht unterstützen Sie u.a. bei der

• Einschätzung der Risiken für die Rechte und Freiheiten der betroffenen Personen,
• Durchführung der Meldepflicht bei der zuständigen Aufsichtsbehörde,
• Benachrichtigung der Betroffenen und
• Dokumentation der Datenpanne.