06.2018

Datenpannen rechtzeitig melden

Eine neue EU-Verordnung soll personenbezogene Daten besser schützen. Sie verpflichtet Firmen seit dem 25. Mai bei Datenpannen zu einer erweiterten Meldepflicht. Was Unternehmen jetzt wissen und im Ernstfall beachten sollten, nennt Rebekka De Conno, Rechtsanwältin und Fachanwältin für Arbeitsrecht der Kanzlei WWS in Mönchengladbach.

Datenskandale wie zuletzt bei Facebook mahnen zu erhöh­ter Wachsamkeit. Unternehmen müssen persönliche Informatio­nen noch besser vor Missbrau­chen schützen. Sonst ist der ge­setzlich vorgeschriebene Schutz der Privatsphäre von Mitarbei­tern, Geschäftspartnern oder Kunden nicht gewährleistet. Werden Datenverstöße öffent­lich, leidet nicht nur der Ruf, son­dern das gesamte Unternehmen gerät schnell in eine wirtschaf­tliche Schieflage. Die neue EU-Datenschutz-Grundverordnung (DSGVO) nimmt bei unbefugten Datenzugriffen die betroffenen Unternehmen noch stärker in die Pflicht. Künftig wird nicht nur die missbräuchliche Nut­zung von persönlichen Daten, sondern auch der allzu laxe Um­gang mit Datenpannen stärker geahndet. Wer bei einem Daten­leck den gesetzlichen Informati­onspflichten nicht umgehend nachkommt, riskiert Bußgelder in Millionenhöhe.

Die Möglichkeiten einer Panne mit personenbezogenen Da­ten sind vielfältig. Dazu gehören etwa ein Datendiebstahl durch Hacker, der Verlust eines Daten­trägers oder die unbefugte Verar­beitung oder Weitergabe von sensiblen Informationen. Laut bisherigem Bundesdatenschutz­gesetz besteht für solche Fälle in Deutschland eine Meldepflicht. Mit der neuen DSGVO verschärft die EU die Vorgaben deutlich.

Bisher war die Meldepflicht auf besonders sensible Bereiche wie etwa Gesundheits- oder Bankdaten beschränkt Damit ist jetzt Schluss. Künftig müssen un­befugte Zugriffe auf jede Art von personenbezogenen Informatio­nen an die zuständige Daten­schutzaufsichtsbehörde gemel­det werden - somit beispielswei­se auch Adressdaten oder Fotos von Mitarbeitern. Ausgenom­men sind nur Vorkommnisse, bei denen voraussichtlich kein Risi­ko für die persönlichen Rechte der Betroffenen besteht. So etwa, wenn die Daten auf einem verlo­renen USB-Stick verschlüsselt sind und Unbefugte sie nicht nut­zen können.

Meldung binnen 72 Stunden

Eine Meldung an die Aufsichtsbe­hörde muss möglichst innerhalb von 72 Stunden erfolgen. Die Frist beginnt mit Bekanntwer­den des Verstoßes. Entschei­dend ist die pünktliche Einrei­chung der Meldung. Werden nach Fristablauf weitere Details bekannt, können Verantwortli­che sie im Rahmen einer weite­ren Meldung nachreichen. Wer bei der Erstmeldung die 72-Stunden-Frist nicht einhalten kann, muss die Verspätung hieb- und stichfest begründen. Eine be­stimmte Form schreibt die DSGVO für eine Meldung zwar nicht vor, doch was enthalten sein muss. Dazu gehört neben der Art der Datenpanne und dem betroffenen Personenkreis auch die Art und Zahl der Datensätze sowie eine Beschreibung der er­griffenen Maßnahmen. Um im Ernstfall Zeit zu sparen, sollten Firmen ein firmeneigenes Tem­plate für die Meldung erstellen. Es sollte neben den Kontaktda­ten der zuständigen Daten­schutzaufsichtsbehörde auch ein Raster mit allen Pflichtanga­ben enthalten.

In besonders sensiblen Fäl­len müssen Firmen auch betrof­fene Personen informieren. Vo­raussetzung ist, dass ein hohes Risiko für ihre Rechte und Frei­heiten entsteht Die Direktinfo muss »unverzüglich« erfolgen, also ohne schuldhaftes Zögern. Der Gesetzgeber räumt betroffe­nen Unternehmen damit eine Be­denkzeit ein, die entsprechend den Umständen verschieden lang ausfallen kann. Der Informa­tionsumfang entspricht in etwa der Meldung an die Aufsichtsbe- hörde, wobei die Form der Da­tenpanne in leicht verständli­cher Sprache zu beschreiben ist.

Risikoabwägung

Knackpunkt im Vorfeld jeder Meldung und Direktinformation ist die Risikoabwägung. Eine Entscheidungshilfe bietet der Risi­kokatalog des Erwägungsgrun­des 75 der DSGVO. Hier findet sich eine Reihe möglicher Daten­verstöße mit potenziellem Scha­densrisiko. Unternehmen soll­ten im Zweifel mit ihrem rechtli­chen Berater abklären, wie das tatsächliche Risiko zu bewerten ist. Lässt sich die Frage nicht ein­deutig klären, sollten Verant­wortliche ihrer Melde- und Infor­mationspflicht vorsichtshalber erfüllen. Grundsätzlich müssen Firmen jede Datenpanne sorgfäl­tig dokumentieren. Es muss klar nachvollziehbar sein, wie das Da­tenleck entstehen konnte, wel­che Auswirkungen es hatte, wie die Risikoprognose zustande kam und welche Maßnahmen er­griffen wurden.

Verantwortlicher für die Datenverarbeitung

Unternehmen können die Gefahr von Datenpannen reduzieren, indem sie die neuen Vorgaben der DSGVO genau einhalten. Zu den vorgeschriebenen Maßnahmen zählt etwa die Identifizierung eines Verantwortlichen für die Datenverarbeitung. Pflicht ist auch eine Analyse des Ist- und Sollzustandes in Sachen Datensicherheit. Hierbei stellen sich unter anderem folgende Fragen: Sind alle Verarbeitungsprozesse mit personenbezogenen Informationen richtig erfasst und dokumentiert? Wurden alle von einer Datenerhebung betroffenen Personen im Sinne des Transparenzgebotes informiert? Liegen wirksam erteilte Einwilligungen von Arbeitnehmern oder Kunden in die Datenverarbeitung vor? Wurden Dienstverträge, Betriebsvereinbarungen und Dienstanweisungen überprüft und gegebenenfalls angepasst? Das Ergebnis ist ein systematischer Maßnahmenplan, der alle denkbaren Sicherheitslücken umfasst. Letztlich lebt das Thema Datenschutz von der täglichen Umsetzung in der Praxis. Wichtig sind regelmäßige Schulungen, die Mitarbeiter für Risiken sensibilisieren und ihnen Handlungssicherheit vermitteln.

Quelle: Baumagazin

Korrespondenz mit:

Portrait & Vita
Rebekka De Conno
Rechtsanwältin, Fachanwältin für Arbeitsrecht
Tel.: 02166 971-128
Fax: 02166 971-173
E-Mail: rdeconno@wws-mg.de

Zurück

Auf dem neuesten Stand

Unser Mitarbeiter befassen sich für unsere Mandanten laufend mit aktuellen Themen aus

Wirtschaftsprüfung ›

Wirtschaftsprüfung

Unsere Wirtschaftsprüfer prüfen auch Ihren Jahresabschluss, implementieren Risikofrüherkennungs- und Kontrollsysteme, achten auf Compliance Regeln und haben aktuelle Entscheidungen fest im Blick.

Steuerberatung ›

Steuerberatung

Unsere Steuerberater informieren unsere Mandanten laufend über steuerrelevante Neuigkeiten: neue Unterstützungsangebote, geänderte Antragsfristen, außergewöhnliche Gestaltungsmöglichkeiten u. v. m.

Rechtsberatung ›

Rechtsberatung

Welche Entscheidungen haben welche Auswirkungen auf Ihr Geschäft? Unsere Rechtsberatung informiert unsere Mandanten laufend über Änderungen in verschiedenen für sie relevanten Rechtsgebieten.

Kanzleizeitschrift

Laden Sie sich hier unsere aktuelle Kanzleizeitschrift "WegWeiSer" herunter.

Archiv