06.2018
Datenpannen rechtzeitig melden
Eine neue EU-Verordnung soll personenbezogene Daten besser schützen. Sie verpflichtet Firmen seit dem 25. Mai bei Datenpannen zu einer erweiterten Meldepflicht. Was Unternehmen jetzt wissen und im Ernstfall beachten sollten, nennt Rebekka De Conno, Rechtsanwältin und Fachanwältin für Arbeitsrecht der Kanzlei WWS in Mönchengladbach.
Datenskandale wie zuletzt bei Facebook mahnen zu erhöhter Wachsamkeit. Unternehmen müssen persönliche Informationen noch besser vor Missbrauchen schützen. Sonst ist der gesetzlich vorgeschriebene Schutz der Privatsphäre von Mitarbeitern, Geschäftspartnern oder Kunden nicht gewährleistet. Werden Datenverstöße öffentlich, leidet nicht nur der Ruf, sondern das gesamte Unternehmen gerät schnell in eine wirtschaftliche Schieflage. Die neue EU-Datenschutz-Grundverordnung (DSGVO) nimmt bei unbefugten Datenzugriffen die betroffenen Unternehmen noch stärker in die Pflicht. Künftig wird nicht nur die missbräuchliche Nutzung von persönlichen Daten, sondern auch der allzu laxe Umgang mit Datenpannen stärker geahndet. Wer bei einem Datenleck den gesetzlichen Informationspflichten nicht umgehend nachkommt, riskiert Bußgelder in Millionenhöhe.
Die Möglichkeiten einer Panne mit personenbezogenen Daten sind vielfältig. Dazu gehören etwa ein Datendiebstahl durch Hacker, der Verlust eines Datenträgers oder die unbefugte Verarbeitung oder Weitergabe von sensiblen Informationen. Laut bisherigem Bundesdatenschutzgesetz besteht für solche Fälle in Deutschland eine Meldepflicht. Mit der neuen DSGVO verschärft die EU die Vorgaben deutlich.
Bisher war die Meldepflicht auf besonders sensible Bereiche wie etwa Gesundheits- oder Bankdaten beschränkt Damit ist jetzt Schluss. Künftig müssen unbefugte Zugriffe auf jede Art von personenbezogenen Informationen an die zuständige Datenschutzaufsichtsbehörde gemeldet werden - somit beispielsweise auch Adressdaten oder Fotos von Mitarbeitern. Ausgenommen sind nur Vorkommnisse, bei denen voraussichtlich kein Risiko für die persönlichen Rechte der Betroffenen besteht. So etwa, wenn die Daten auf einem verlorenen USB-Stick verschlüsselt sind und Unbefugte sie nicht nutzen können.
Meldung binnen 72 Stunden
Eine Meldung an die Aufsichtsbehörde muss möglichst innerhalb von 72 Stunden erfolgen. Die Frist beginnt mit Bekanntwerden des Verstoßes. Entscheidend ist die pünktliche Einreichung der Meldung. Werden nach Fristablauf weitere Details bekannt, können Verantwortliche sie im Rahmen einer weiteren Meldung nachreichen. Wer bei der Erstmeldung die 72-Stunden-Frist nicht einhalten kann, muss die Verspätung hieb- und stichfest begründen. Eine bestimmte Form schreibt die DSGVO für eine Meldung zwar nicht vor, doch was enthalten sein muss. Dazu gehört neben der Art der Datenpanne und dem betroffenen Personenkreis auch die Art und Zahl der Datensätze sowie eine Beschreibung der ergriffenen Maßnahmen. Um im Ernstfall Zeit zu sparen, sollten Firmen ein firmeneigenes Template für die Meldung erstellen. Es sollte neben den Kontaktdaten der zuständigen Datenschutzaufsichtsbehörde auch ein Raster mit allen Pflichtangaben enthalten.
In besonders sensiblen Fällen müssen Firmen auch betroffene Personen informieren. Voraussetzung ist, dass ein hohes Risiko für ihre Rechte und Freiheiten entsteht Die Direktinfo muss »unverzüglich« erfolgen, also ohne schuldhaftes Zögern. Der Gesetzgeber räumt betroffenen Unternehmen damit eine Bedenkzeit ein, die entsprechend den Umständen verschieden lang ausfallen kann. Der Informationsumfang entspricht in etwa der Meldung an die Aufsichtsbe- hörde, wobei die Form der Datenpanne in leicht verständlicher Sprache zu beschreiben ist.
Risikoabwägung
Knackpunkt im Vorfeld jeder Meldung und Direktinformation ist die Risikoabwägung. Eine Entscheidungshilfe bietet der Risikokatalog des Erwägungsgrundes 75 der DSGVO. Hier findet sich eine Reihe möglicher Datenverstöße mit potenziellem Schadensrisiko. Unternehmen sollten im Zweifel mit ihrem rechtlichen Berater abklären, wie das tatsächliche Risiko zu bewerten ist. Lässt sich die Frage nicht eindeutig klären, sollten Verantwortliche ihrer Melde- und Informationspflicht vorsichtshalber erfüllen. Grundsätzlich müssen Firmen jede Datenpanne sorgfältig dokumentieren. Es muss klar nachvollziehbar sein, wie das Datenleck entstehen konnte, welche Auswirkungen es hatte, wie die Risikoprognose zustande kam und welche Maßnahmen ergriffen wurden.
Verantwortlicher für die Datenverarbeitung
Unternehmen können die Gefahr von Datenpannen reduzieren, indem sie die neuen Vorgaben der DSGVO genau einhalten. Zu den vorgeschriebenen Maßnahmen zählt etwa die Identifizierung eines Verantwortlichen für die Datenverarbeitung. Pflicht ist auch eine Analyse des Ist- und Sollzustandes in Sachen Datensicherheit. Hierbei stellen sich unter anderem folgende Fragen: Sind alle Verarbeitungsprozesse mit personenbezogenen Informationen richtig erfasst und dokumentiert? Wurden alle von einer Datenerhebung betroffenen Personen im Sinne des Transparenzgebotes informiert? Liegen wirksam erteilte Einwilligungen von Arbeitnehmern oder Kunden in die Datenverarbeitung vor? Wurden Dienstverträge, Betriebsvereinbarungen und Dienstanweisungen überprüft und gegebenenfalls angepasst? Das Ergebnis ist ein systematischer Maßnahmenplan, der alle denkbaren Sicherheitslücken umfasst. Letztlich lebt das Thema Datenschutz von der täglichen Umsetzung in der Praxis. Wichtig sind regelmäßige Schulungen, die Mitarbeiter für Risiken sensibilisieren und ihnen Handlungssicherheit vermitteln.
Auf dem neuesten Stand
Unser Mitarbeiter befassen sich für unsere Mandanten laufend mit aktuellen Themen aus
Wirtschaftsprüfung ›
Unsere Wirtschaftsprüfer prüfen auch Ihren Jahresabschluss, implementieren Risikofrüherkennungs- und Kontrollsysteme, achten auf Compliance Regeln und haben aktuelle Entscheidungen fest im Blick.
Steuerberatung ›
Unsere Steuerberater informieren unsere Mandanten laufend über steuerrelevante Neuigkeiten: neue Unterstützungsangebote, geänderte Antragsfristen, außergewöhnliche Gestaltungsmöglichkeiten u. v. m.
Rechtsberatung ›
Welche Entscheidungen haben welche Auswirkungen auf Ihr Geschäft? Unsere Rechtsberatung informiert unsere Mandanten laufend über Änderungen in verschiedenen für sie relevanten Rechtsgebieten.