Datenschutzvorfälle sind der Albtraum eines jeden Datenschutzbeauftragten. Hierbei spricht man von Unregelmäßigkeiten in der Verarbeitung von personenbezogenen Daten, die folglich zu einem Risiko für die Betroffenen bzw. das verantwortliche Unternehmen führen können. Dies kann durch den bloßen Verlust des Laptops, Handys oder USB-Sticks der Fall sein. Aber auch der Zugriff auf eine Datenbank nach einer Hackerattacke oder die unbewusste Veröffentlichung von personenbezogenen Daten im Internet.

I. Reaktion

Es sollte in jedem Fall im Unternehmen ein Reaktionsplan zur Bewältigung eines Datenschutzvorfalles (IT-Notfallplan/ IT-Notfallkonzept) vorhanden sein und dieser sollte vorher auch erprobt (z. B. durch IT-Penetrationstests) wurden sein. Bei der Erstellung eines solchen Reaktionsplanes ist auch zu bedenken, dass hier unbedingt die Zuständigkeiten geregelt werden sollten, sodass die Verantwortlichkeiten (z. B. IT-Sicherheitsbeauftragter) feststehen.

Der Reaktionsplan sollte folgende Schritte enthalten:

1. Schnelle Kenntniserlangung von Datenpannen

Es sollte allen Mitarbeitern bewusst sein/ gemacht werden, dass ein Vorfall unverzüglich an den Datenschutzbeauftragten zu berichten ist. Durch zügiges Handeln kann viel Schaden abgewendet werden, denn innerhalb von 72 Stunden muss der Vorfall – sofern dieser eine Meldepflicht gemäß Art. 33 DS-GVO impliziert – an die Aufsichtsbehörde und/oder Betroffenen gemeldet werden. Es sollte aber immer zuerst der Datenschutzbeauftragte in Kenntnis gesetzt werden, da dieser entscheiden kann, ob der Vorfall überhaupt gemeldet werden muss.

2. Bewertung

Der Datenschutzbeauftragte kann nunmehr – durch ausreichende Informationen des Unternehmens – den Datenschutzvorfall bewerten. Hilfreich ist es hier, wenn der Reaktionsplan eine Leitlinie enthält, die eine zügige Bewertung und Risikoanalyse ermöglicht. Mögliche Kriterien sind u. a. die Art der Verletzung oder die Kategorie der betroffenen Daten (z. B. Gesundheitsdaten, Personaldaten, Berufsgeheimnisdaten, Bank- oder Kreditkartenkontendaten).

3. Maßnahmen zur Abwendung/Eindämmung

Es sollten auf alle Fälle Gegenmaßnahmen für verschiedene Arten von Datenschutzvorfällen niedergeschrieben sein. Deren Durchführung sollte dann auch hinreichend beschrieben sein.

4. Entscheidung, ob eine Meldung erfolgen soll

Nach Bewertung des Datenschutzvorfalles entscheidet der Datenschutzbeauftragte  unter Einbeziehung der Geschäftsführung, ob eine Meldung an die entsprechende Aufsichtsbehörde und/ oder den Betroffenen erfolgen soll.

5. Meldung an die Aufsichtsbehörde oder den Betroffenen

Es sollte in jedem Fall klar sein, wo der Datenschutzvorfall hin gemeldet wird. Jedes Bundesland hat eine eigene Aufsichtsbehörde.

II. Dokumentation von Datenschutzvorfällen

Oft wird es bei der Informationsbeschaffung problematisch, da viele Mitarbeiter nicht genau wissen, welche Informationen Sie denn nun genau dokumentieren müssen. Oft werden nur für deren Bereich wichtige Informationen bereitgestellt. Diese sind meist zweitrangig für die Bewertung oder können außer Acht gelassen werden. Es ist zum Beispiel einem Datenbankadministrator bei der Komprimierung seiner Datenbank egal, ob nur Stammdaten eines Kunden/ Mitarbeiters oder auch zum Beispiel Bankdaten aufbewahrt werden. Aus datenschutzrechtlicher Sicht ist diese Unterscheidung jedoch von größter Bedeutung.

Es gilt außerdem zu beachten, dass bei der Bewertung eines Datenschutzvorfalles immer auf dokumentierte Informationen (z. B. Datum, Uhrzeit, Auffälligkeiten) zurückgegriffen werden sollte.

Wir haben für die Dokumentation eines Datenschutzvorfalles eine Vorlage für Sie entwickelt, welche wir Ihnen gern bereitstellen. Bitte beachten Sie dabei, dass eine solche Vorlage bzw. Dokumentation weder eine rechtliche Bewertung noch die Meldung gegenüber der betroffenen Person bzw. der Aufsichtsbehörde darstellt.

Merken Sie sich bitte generell, dass ein Datenschutzvorfall immer zuerst und unverzüglich an den Datenschutzbeauftragten sowie die Geschäftsleitung des Unternehmens zu offenbaren ist; selbst der Verdacht auf einen Datenschutzvorfall sollte direkt mitgeteilt werden.