Datenschutz-Grundverordnung (DSGVO)

Datenpannen rechtzeitig melden

Die neue Datenschutzgrundverordnung soll personenbezogene Daten besser schützen. Sie verpflichtet Firmen mit Stichtag 25. Mai 2018 bei Datenpannen zu einer erweiterten Meldepflicht. Was Unternehmen wissen und im Ernstfall beachten sollten.

Datenskandale wie aktuell bei Facebook mahnen zu erhöhter Wachsamkeit. Unternehmen müssen persönliche Informationen noch besser vor Missbrauch schützen. Werden Datenverstöße öffentlich, leidet nicht nur der Ruf, sondern das gesamte Unternehmen gerät schnell in eine wirtschaftliche Schieflage. Die neue EU-Datenschutz-Grundverordnung (DSGVO) nimmt bei unbefugten Datenzugriffen die betroffenen Unternehmen noch stärker in die Pflicht. Zukünftig wird nicht nur die missbräuchliche Nutzung von persönlichen Daten, sondern auch der allzu laxe Umgang mit Datenpannen stärker geahndet. Wer bei einem Datenleck den gesetzlichen Informationspflichten nicht umgehend nachkommt, riskiert Bußgelder in Millionenhöhe.

Die Möglichkeiten einer Panne mit personenbezogenen Daten sind vielfältig. Dazu gehören etwa ein Datendiebstahl durch Hacker, der Verlust eines Datenträgers oder die unbefugte Verarbeitung oder Weitergabe von sensiblen Informationen. Laut bisherigem Bundesdatenschutzgesetz besteht für solche Fälle in Deutschland eine Meldepflicht. Mit der neuen DSGVO verschärft die Europäische Union die Vorgaben deutlich. Unternehmen sollten die neuen Regelungen sehr ernst nehmen und entsprechende Vorkehrungen treffen.

Bisher war die Meldepflicht auf besonders sensible Bereiche wie etwa Gesundheits- oder Bankdaten beschränkt. Damit ist jetzt Schluss! Künftig müssen unbefugte Zugriffe auf jede Art von personenbezogenen Informationen an die zuständige Datenschutzaufsichtsbehörde gemeldet werden – somit beispielsweise auch Adressdaten oder Fotos von Mitarbeitern. Ausgenommen sind nur Vorkommnisse, bei denen voraussichtlich kein Risiko für die persönlichen Rechte der Betroffenen besteht. So etwa, wenn die Daten auf einem verlorenen USB-Stick verschlüsselt sind und Unbefugte sie nicht nutzen können.

Eine Meldung an die Aufsichtsbehörde muss möglichst innerhalb von 72 Stunden erfolgen. Die Frist beginnt mit Bekanntwerden des Verstoßes. Entscheidend ist die pünktliche Einreichung der Meldung. Werden nach Fristablauf weitere Details bekannt, können Verantwortliche sie im Rahmen einer weiteren Meldung nachreichen.

Wer bei der Erstmeldung die 72-Studen-Frist nicht einhalten kann, muss die Verspätung hieb- und stichfest begründen. Eine bestimmte Form schreibt die DSGVO für eine Meldung zwar nicht vor, doch was enthalten sein muss. Dazu gehört etwa neben der Art der Datenpanne und dem betroffenen Personenkreis auch die Art und Anzahl der Datensätze sowie eine Beschreibung der bereits ergriffenen Maßnahmen. Um im Ernstfall Zeit zu sparen, sollten Firmen ein firmeneigenes Template für die Meldung erstellen. Es sollte neben den Kontaktdaten der zuständigen Datenschutzaufsichtsbehörde auch ein Raster mit allen Pflichtangaben enthalten.

In besonders sensiblen Fällen müssen Firmen auch betroffene Personen informieren. Voraussetzung ist, dass ein hohes Risiko für ihre Rechte und Freiheiten entsteht. Die Direktinformation muss „unverzüglich“ erfolgen, also ohne schuldhaftes Zögern. Der Gesetzgeber räumt betroffenen Unternehmen damit eine Bedenkzeit ein, die entsprechend den Umständen verschieden lang ausfallen kann. Der Informationsumfang entspricht in etwa der Meldung an die Aufsichtsbehörde, wobei die Form der Datenpanne in leicht verständlicher Sprache zu beschreiben ist.

Knackpunkt im Vorfeld jeder Meldung und Direktinformation ist die Risikoabwägung. Eine Entscheidungshilfe bietet der Risikokatalog des Erwägungsgrundes 75 der DSGVO. Hier findet sich eine Reihe möglicher Datenverstöße mit potentiellem Schadensrisiko. Unternehmen sollten im Zweifel mit ihrem rechtlichen Berater abklären, wie das tatsächliche Risiko zu bewerten ist. Lässt sich die Frage nicht eindeutig klären, sollten Verantwortliche ihrer Melde- und Informationspflicht vorsichtshalber erfüllen. Grundsätzlich müssen Firmen jede Datenpanne sorgfältig dokumentieren. Es muss klar nachvollziehbar sein, wie das Datenleck entstehen konnte, welche Auswirkungen es hatte, wie die Risikoprognose zustande kam und welche Maßnahmen ergriffen wurden.

Unternehmen können die Gefahr von Datenpannen deutlich reduzieren, indem sie die neuen Vorgaben der DSGVO genau einhalten. Zu den vorgeschriebenen Maßnahmen zählt etwa die Identifizierung eines Verantwortlichen für die Datenverarbeitung. Pflicht ist auch eine Analyse des Ist- und Sollzustands in Sachen Datensicherheit. Hierbei stellen sich u.a. folgende Fragen:

➤  Sind alle Verarbeitungsprozesse mit personenbezogenen Informationen richtig erfasst und dokumentiert?

➤  Wurden alle von einer Datenerhebung betroffenen Personen im Sinne des Transparenzgebotes informiert?

➤  Liegen wirksam erteilte Einwilligungen von Arbeitnehmern oder Kunden in die Datenverarbeitung vor?

➤  Wurden Dienstverträge, Betriebsvereinbarungen und Dienstanweisungen überprüft und gegebenenfalls angepasst?

Das Ergebnis ist ein systematischer Maßnahmenplan, der alle denkbaren Sicherheitslücken umfasst. Letztendlich lebt das Thema Datenschutz von der täglichen Umsetzung in der Praxis. Ganz wichtig sind regelmäßige Schulungen. Sie sensibilisieren Mitarbeiter für Risiken und vermitteln ihnen Handlungssicherheit.

Über die WWS-Gruppe
Die WWS ist eine überregional tätige, mittelständische Wirtschaftsprüfungs-, Steuerberatungs- und Rechtsberatungskanzlei. Sie ist an drei Standorten am Niederrhein vertreten (Mönchengladbach, Nettetal, Aachen). Rund 130 Mitarbeiter entwickeln interdisziplinäre Beratungslösungen mit ganzheitlichem Anspruch.
 
Die WWS-Gruppe besteht aus der WWS Wirtz, Walter, Schmitz GmbH, der Partnerschaftsgesellschaft Wirtz, Walter, Schmitz und Partner mbB und der Dr. Schmitz-Hüser WWS GmbH.

x

Thematisch passende Artikel:

Ausgabe 09/2017

Datensicherheit

Nur das Beste kann teure Geldbußen vermeiden!

Im Mai 2017 zahlte der Gebäudedienstleister Fazio Mechanical Services dem US-Lebensmittelhändler Target nach einem Datenangriff 18,5 Mio. US-$. Durch etwaige Fehler sollen beide Unternehmen den...

mehr
Ausgabe 05/2018

Digitalisierung und Datenschutz in der TGA

Durchdachte Automatisierungskonzepte

Am 25. Mai 2018 tritt die Datenschutzgrundverordnung, kurz DSGVO, in Kraft. Mit dieser Verordnung werden die Rechte jeder einzelnen Person bezüglich einer digitalen Verarbeitung geregelt. Wenn man...

mehr
Ausgabe 10/2018

Gebäudemanagement per KI schützen

Datenschutz nicht auf die leichte Schulter nehmen

Im Sommer 2014 ist ein „Switch“ des Herstellers Net­gear durch hardcodierte Standardpasswörter aufgefallen: Der Benutzername des Netzgeräts soll „ntgruser“, das Passwort „debug­password“...

mehr
Ausgabe 04/2018

Smart Home. Sicherung von Datenschutz und Privatsphäre

20. April 2018/Köln und 6. Juli 2018/München Das „intelligente“ Zuhause rückt zunehmend in den Fokus der Konsumenten und Hersteller. Immer mehr Geräte und Dinge sind internetfähig und lassen...

mehr

SAP im Feuer der Kritik

Anwendervereinigung warnt vor Clouddiensten

Der Hamburger Beauftragte für den Datenschutz Johannes Caspar und Marco Lenck, Vorstandsvorsitzender der Deutschsprachigen SAP-Anwendergruppe (DSAG) e.V. kritisieren den Softwarekonzern SAP: „Die...

mehr