Spielregeln für den Umgang mit Datenpannen

Eine Verletzung des Datenschutzes „beichten“ zu müssen, ist immer unangenehm. Jeder weiß, dass es Folgen haben kann, im schlimmsten Fall auch arbeitsrechtliche. Deshalb schweigen manche lieber. Doch Vorsicht! Das Verschweigen einer Datenpanne kann alles noch viel schlimmer machen.

Der verschwundene Laptop

Ein Laptop mit Kundendaten ist verschwunden. Wahrscheinlich ist er vor ein paar Tagen im Zug liegen geblieben. Das Gerät ist fünf Jahre alt und wurde nur in Ausnahmefällen benutzt. Also vermisst ihn eigentlich niemand. Und die Kundendaten sind natürlich noch im Computersystem. Da schöpft auch niemand Verdacht. Also lieber nichts sagen nach dem Motto: „Wird schon gut gehen“? Das ist keine gute Idee.

Meldepflicht an die Datenschutzaufsichtsbehörde

Unternehmen müssen jede „Verletzung des Schutzes personenbezogener Daten“ der Datenschutzaufsichtsbehörde melden. So steht es in Art. 33 DSGVO. Diese Meldepflicht ist in keiner Weise eingeschränkt. Das bedeutet: Der Verlust eines Laptops mit personenbezogenen Daten muss in jedem Fall der Aufsichtsbehörde gemeldet werden. Und zwar auch dann, wenn die Daten verschlüsselt waren. Das macht Sinn. Denn wer weiß schon, ob die Verschlüsselung wirklich so gut ist, wie alle im Unternehmen glauben? Die Datenschutzaufsichtsbehörde könnte das anders sehen.

Sehr kurze Meldefrist von 72 Stunden

Das Brisante: Bei der Meldung an die Datenschutzaufsicht ist eine Frist von 72 Stunden einzuhalten. Wird sie grundlos überschritten, droht dem Unternehmen allein deshalb ein Bußgeld. Ausreden wie „Unser Mitarbeiter hat uns die Panne intern nicht gemeldet“ gelten nicht. Die Antwort darauf wäre: „Dann bringen Sie Ihren Mitarbeitern bei, dass Datenpannen sofort gemeldet werden müssen.“ Wird die Frist versäumt, kann die Aufsichtsbehörde ein Bußgeld gegen das Unternehmen verhängen.

Online-Formulare zur Meldung von Datenschutzverletzungen

Alle Aufsichtsbehörden stellen auf ihren Homepages Online-Formulare zur Verfügung, mit denen Unternehmen Schutzverletzungen melden können. Dies hat sich bewährt und hilft vor allem auch, die kurze Meldefrist von 72 Stunden zuverlässig einzuhalten. Solche Meldungen sind keine gesetzliche Aufgabe der betrieblichen Datenschutzbeauftragten. Nur wenn ihnen diese Aufgabe ausdrücklich übertragen wurde, müssen sie sich darum kümmern.

Ausnahme: Information der Betroffenen

Für die Meldepflicht an die Aufsichtsbehörde spielt es keine Rolle, ob den Betroffenen, um deren Daten es geht, „etwas passieren“ kann. Dieser Aspekt wird erst dann wichtig, wenn es um die Benachrichtigung der Betroffenen geht. Diese Benachrichtigung ist in der DSGVO gesondert geregelt (Art. 34 DSGVO). Danach müssen Betroffene nur dann benachrichtigt werden, wenn sie „voraussichtlich einem hohen Risiko ausgesetzt sind“. Hier gilt also ein völlig anderer Maßstab als bei der Benachrichtigung der Aufsichtsbehörde.

Am Beispiel des verschlüsselten Laptops wird noch einmal deutlich, was das bedeutet: Sind die Daten auf dem Laptop nach dem Stand der Technik verschlüsselt, besteht kein hohes Risiko, wenn der Laptop in die Hände Unbefugter gerät. Die Folge: Die Betroffenen müssen nicht informiert werden. Die Verschlüsselung von Daten auf mobilen Datenträgern „lohnt“ sich also für Unternehmen! Es erspart ihnen im Ernstfall die Benachrichtigung der Betroffenen.

01

Die Spielregeln für den Umgang mit Datenlecks lassen sich wie folgt zusammenfassen:

  • Jeder Mitarbeiter, dem eine Datenpanne unterläuft, sollte möglichst sofort seine Vorgesetzten informieren.
  • Nur so kann vermieden werden, dass dem Unternehmen ein teures Bußgeldverfahren droht.
  • Meldungen von Unternehmen an die Datenschutzaufsichtsbehörde müssen bei Datenpannen ausnahmslos erfolgen.
  • Für diese Meldungen gilt eine Frist von 72 Stunden! Sie kann nur eingehalten werden, wenn jeder Mitarbeiter Pannen sofort intern meldet. Sonn- und Feiertage verlängern die Frist nicht.
  • Eine Meldung an die Datenschutzaufsichtsbehörde hat an sich keine negativen Folgen. Es kann aber natürlich vorkommen, dass die Datenschutzaufsicht nachfragt, was genau passiert ist.
  • Eine Meldung an die Datenschutzaufsichtsbehörde führt nicht automatisch dazu, dass die Betroffenen über die Datenpanne informiert werden.
  • Eine solche Benachrichtigung der Betroffenen ist an strenge Voraussetzungen geknüpft.
  • Auf eine Benachrichtigung der Betroffenen kann in der Regel verzichtet werden, wenn die Daten verschlüsselt werden.