Es kommt immer wieder zu Datenpannen!

12.06.2019

... so zeigt die Praxis (es sind alles nur Menschen), dass man öfter und immer mal wieder dieses und die Risiken ansprechen muss.

Was ist eine Datenpanne?
Gem. Art. 4 DSGVO ist eine Datenpanne eine Verletzung des Schutzes personenbezogener Daten
• die zur Vernichtung (z.B. Löschen von Dateien) oder
• zum Verlust (z.B. Diebstahl) oder
• zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder
• zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten (z.B. falscher Mailadressat oder offener Mailverteiler) führt,
die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Eine Datenpanne liegt zum Beispiel vor, wenn
• ein Unternehmen gehackt wurde und personenbezogene Daten gestohlen wurden oder
• eine nicht autorisierte Person personenbezogene Daten gelöscht hat oder
• durch einen Bug im Webserver Vollzugriff auf Daten für dritte möglich war oder
• … usw., .

Was besagt Art. 33 DSGVO
„Im Falle einer Verletzung des Schutzes personenbezogener Daten … unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, …,
es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“

Anforderung gem. Gesetz:
• „unverzüglich“ / „72 Stunden“ sofort ohne umfangreiche Prüfungen melden. Egal, ob Risiken vorhanden sind oder nicht. Gem. der Meinung der Aufsichten kann das dann ggf. später negiert wird.
• „voraussichtlich“  eine Prüfung sollte auf jeden Fall stattfinden
• „Risiko“  es darf eigentlich KEIN Risiko für die Betroffenen vorhanden sein. Ist dieses bzw. ein mittleres/höheres Risiko vorhanden, muss gemeldet werden.

Die Praxis zeigt ein anderes Bild
Längst nicht jede meldepflichtige Datenpanne wird gemeldet. Z.B. Berufsgeheimnisträger müssen zwischen „Bußgeld aufgrund der Datenpanne“ und „Bußgeld aufgrund Verletzung der Schweigepflicht“ entscheiden.
Auch sind Faktoren, wie „die Datenschutzorganisation ist noch nicht vollständig“ oder „Bedenken, was dann kommt“ vorhanden.

Auf jeden Fall muss in jedem Unternehmen die Meldekette für alle Mitarbeiter klar sein.
Die Mitarbeiter bzw. die Geschäftsführung sollten umgehend Kontakt zum Datenschutzbeauftragten suchen. Dieser klärt dann mit der Geschäftsführung ab.
Die wiederum sollte aber auch erreichbar sein, da am Schluss sie als verantwortliche Stelle entscheidet, ob gemeldet wird oder nicht.

Was sind die Risiken bei einer Meldung?
Es ist leider trotzdem mit einem Bußgeld zu rechnen. Der europäische Gesetzgeber hat klar festgelegt, dass gerade bei einer Meldung diese zur Festlegung von Sanktionen herangezogen werden soll.
Wie eine Aufsicht es auslegt, wenn zu häufig gemeldet wird, kann man nicht sicher sagen. Auch, wenn die Aufsichten eine beratende Funktion haben, so sind sie dennoch auch diejenigen, die Sanktionen und Co. festlegen.
Ggf. wird fehlende Unkenntnis angenommen und es kommt zu einer umfangreichen Prüfung.

Fazit?
Man entscheidet sich leider zwischen Pest oder Cholera.
Egal, was man macht, es kommt höchstwahrscheinlich zu Sanktionen. Nicht immer steckt ein Bußgeld dahinter.
Aus Sicht des Datenschutzbeauftragten ist zu empfehlen, dass ein Unternehmen eine gut dokumentierte Datenschutzorganisation hat.
Auch sollten allen Mitarbeitern der Datenschutzbeauftragte und die Meldewege bekannt sein.
Auf jeden Fall muss eine Risikoanalyse durchgeführt und das Ganze dokumentiert werden
Wenn man den Tipp der Aufsichten umsetzt, sollte ein Unternehmen ein Budget für Bußgelder und Entschädigungszahlungen vorsehen.


Es bleibt spannend!

OK Diese Webseite verwendet Cookies. Weitere Details finden Sie in der Datenschutzerklärung unter Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr Infos zum Datenschutz
Wenn Sie damit nicht einverstanden sind bitte hier Klicken.Sie werden dann zu Google geleitet.