DSGVO – Wann Meldepflicht und wie Vorgehen

Durch die neue Datenschutzgrundverordnung DSGVO gab es für Unternehmen vor dem 25. Mai 2018 jede Menge zu tun. Doch was ist, wenn es beim Datenschutz zu einer Panne kommt? Dieser Artikel gibt Tipps über die Vorgehensweise zur Meldepflicht.

DSGVO Sofortiges Vorgehen bei Datenpannen und Datenklau

Viele Unternehmen erleiden Datendiebstähle und Datenpannen fast jeden Tag. Aber was hat ein Unternehmen zu machen, wenn es erfahren will, ob ein Angriff auf personenbezogene Daten Ihrer IT-Infrastruktur erfolgte, der beispielsweise von einem unverschlüsselten USB-Speicherstick mit sensiblen Daten ausging? Die EU-Datenschutz-Grundverordnung (DSGVO) sieht vor, dass für Aufsichtsbehörden bei Datenpannen verschärfte Meldepflichten bestehen, die eine Informationspflicht gegenüber Auftraggebern verlangt. Das Unternehmen sollte in diesem Fall achtsam, schnell und juristisch korrekt darauf antworten, um juristische Nachteile zu vermeiden. Eine Anleitung für den Datenklau und anderen Problemen hilft dabei.

  1. Datenschutzpannen und einen Datenklau schnell erkennen

    Welche Zeit vergeht, in der sich ein Unternehmen dem Datendiebstahl Bewusst wird? Ein Schaden durch einen Diebstahl kann begrenzt werden, wenn ein Unternehmen mögliche Vorfälle zeitnah erkennt und sofort Gegenmaßnahmen einleitet, um einen Schaden abzuwenden. Die IT Abteilung jedes Unternehmens sollte daher sensibilisiert für Auffälligkeiten sein. Es sollte kontrollieren, ob bei der Informationssicherheit erforderliche technische Vorkehrungen im Vorfeld getroffen wurden, sodass von den zuständigen Verantwortlichen ungewöhnliche Ereignisse überprüft oder überhaupt wahrgenommen werden.

    Dabei zu Beachten: 

  • Wurde bei fehlgeschlagenen Anmeldeversuchen eine Warnung erstellt, die auf unerlaubte Zugriffe des Dateisystems hindeutet? Wie wird diese Warnung im System behandelt?
  • Wird der Datenverkehr einem Monitoring unterzogen? Was ist die Vorgehensweise bei Abnormalitäten im System?
  • Erfolgt bei den zentralen Servern eine periodische Kontrolle des Eingangs der Daten?
  • Sind bei möglichen Pannen die Meldewege eines Problems allen Mitarbeitern bekannt?
  • Besteht eine regelmäßige Kontrolle der zentralen Server?
  • Gibt es für den Datennotfall ein zentrales Regelungsdokument?
  1. Das Incident-Response-Management

dient dazu, um der Situationen Herr zu werden. Um auf einen Vorfall angemessen reagieren zu können, ist der vorgefallene Sachverhalt genau zu Erfassen. Eindeutige Zuständigkeiten sollten in diesem Fall benannt werden, zur Feststellung, ob und wie die eigene Webseite gehackt wurde. Steht Ihrem Unternehmen ein Dienstleister rund um die Uhr zur Verfügung, der eindeutige Zuständigkeiten für einen möglichen Einbruch in Ihr Datensystem identifizieren kann? Es gibt Anbieter, die rund um die Uhr erreichbar sind, um Sicherheitslücken in Ihrem System zu überprüfen und umgehend zu schließen. Es sollten dabei auch alle anderen Mitarbeiter über einen möglichen Einbruch in das System informiert werden, dass diese wissen, an wen sie sich in diesem Fall zu wenden haben. Das Ziel ist ein „Incident-Response-Management“ aufzubauen, mit dem auf eine Störung (Incident) des eingesetzten Systems unmittelbar reagiert wird.

 

3. Gesetzliche Informationspflichten nach Art. 33 und Art 34 DSGVO

Der Artikel 33 der DSGVO Datenschutzgrundverordnung sieht vor, dass bei einer Verletzung des Schutzes von personenbezogener Daten der Verantwortliche diese aufgrund dieser Datenschutzgrundverordnung innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde mitzuteilen hat. Zur Erleichterung der Mitteilung haben die Aufsichtsbehörden umfangreiche Eingabemasken eingerichtet, die online bearbeitet werden können.

Von einer Meldung ist nur dann abzusehen, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führt. Bei der Verarbeitung von Daten im Auftrag hat jedoch der Auftragnehmer den Verantwortlichen (Auftraggeber) unverzüglich über die Datenpanne zu informieren und den Verantwortlichen bei der Meldung der Datenpanne zu unterstützen, indem er dem Verantwortlichen die ihm zur Verfügung stehenden Informationen bereitstellt (Art. 28 Abs. 3 lit. F DSGVO).

 

Zur Abschätzung des Risikos hat die Datenschutzkonferenz – DSK (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder) in einem Kurzpapier Nr. 18 eine Hilfestellung veröffentlicht. Eine Meldung ist im Zweifel immer der sicherere Weg.

Stellt es sich bei der Risikobewertung auch heraus, dass voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, so ist gemäß Art. 34 DSGVO auch die hierzu betroffenen Personen zu benachrichtigen.

 

  1. Vorgehen nach der Meldung

Wichtig: Der Umgang mit einer Datenpanne endet keinesfalls nur mit der Meldung bei der Aufsichtsbehörde und ggfs. der Wiederherstellung des Normalbetriebs. Bereits bei der Meldung wird hier abgefragt, welche Maßnahmen zur Eindämmung des Risikos akut unternommen wurden und zukünftig werden. Teil der Dokumentation des Datenschutznotfalls ist daher auch die Aufarbeitung und das Implementieren von weiteren Maßnahmen, die einen nochmaligen Datenschutznotfall dieser Art verhindern können.