Eine Verletzung des Datenschutzes "beichten" zu müssen, ist immer unangenehm. Jeder weiß, dass es Folgen haben kann, im schlimmsten Fall auch arbeitsrechtliche. Deshalb schweigen manche lieber. Doch Vorsicht! Ab 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Dann kann das Verschweigen einer Datenpanne alles noch viel schlimmer machen.
Update: Lesen Sie hierzu auch unseren neuen Blogbeitrag "Nur noch 72 Stunden - Meldung von Datenpannen nach EU-DSGVO (2)" vom 01.03.2019.
Das verschwundene Laptop
Datenpannen nach EU-DSGVO - Was tun, wenn das Laptop weg ist? |
Ein Laptop mit Kundendaten ist weg. Wahrscheinlich blieb er vor ein paar Tagen schlicht im Zug liegen. Das Gerät ist schon fünf Jahre alt und wurde nur noch ausnahmsweise benutzt. Also vermisst es niemand wirklich.
"Vor etwa 10 Jahren noch war bei solchen Pannen die einzige Aufgabe für die IT, das Laptop so schnell als möglich zu ersetzen und die Daten vom Server / Backup auf das neue Laptop zu übertragen." erinnert sich Thomas Ströbele, Geschäftsführer der yourIT GmbH. "Was mit den verlorenen Daten passierte, hat damals kaum jemanden interessiert."
Auch heute wird bei solchen Fällen oft niemand misstrauisch. Also lieber mal einfach nichts sagen nach dem Motto „Wird schon gut gehen“?
Schon jetzt ist das keine gute Idee. Ab 25. Mai 2018 kann diese Taktik sogar richtig übel enden.
Meldepflicht des Unternehmens ...
Schon jetzt sind Unternehmen verpflichtet, bestimmte Datenpannen der Datenschutz-aufsicht zu melden. Ausgangspunkt ist dabei, dass Daten unbefugt übermittelt wur-den. Das bedeutet vereinfacht gesagt, dass sie zu Unrecht in die Hände von Außen-stehenden gelangt sind. Das allein reicht aber nicht, um eine Meldepflicht entstehen zu lassen. Vielmehr muss noch hinzukommen, dass „schwerwiegende Beeinträchti-gungen“ für die Rechte der Personen drohen, um deren Daten es geht.
... bisher oft nur Theorie
Diese Einschränkung führt bisher dazu, dass im Ergebnis oft keine Meldepflicht be-steht. Beispiel: Ein Laptop geht verloren. Die Daten auf dem Laptop sind jedoch nach dem Stand der Technik verschlüsselt. Dann kann man davon ausgehen, dass keine schwerwiegenden Beeinträchtigungen drohen. Folge: Eine Meldepflicht entsteht im Ergebnis nicht.
Künftig sieht es anders aus
Die Regelungen der DSGVO für die Meldepflicht sehen anders aus. Sie kennen eine solche Einschränkung nicht. Vielmehr muss ein Unternehmen künftig jede „Verlet-zung des Schutzes personenbezogener Daten“ der Datenschutzaufsicht melden.
Diese Meldepflicht ist in keiner Weise eingeschränkt. Das bedeutet: Der Verlust eines Laptops mit personenbezogenen Daten muss auch dann gemeldet werden, wenn wahrscheinlich alles ausreichend verschlüsselt war.
Meldefrist nach EU-DSGVO: Nur noch 72 Stunden
Das Brisante dabei: Bei der Meldung an die Datenschutzaufsicht ist eine Frist von 72 Stunden zu beachten. Wird sie grundlos überschritten, droht dem Unternehmen schon deshalb ein Bußgeld. Ausreden von der Art „Unser Mitarbeiter hat uns die Panne in-tern nicht verraten“ gelten dabei nicht. Die Antwort darauf wäre: „Dann bringen Sie Ih-ren Mitarbeitern eben bei, dass Datenpannen gleich zu melden sind.“
Online-Formulare in Vorbereitung
In der Praxis wird es darauf hinauslaufen, dass eine Meldung an die Datenschutzauf-sicht künftig relativ häufig notwendig ist. Die ersten Aufsichtsbehörden (etwa das Bayerische Landesamt für Datenschutzaufsicht) stellen dafür schon Online-Formulare bereit.
Ausnahme: Benachrichtigung der Betroffenen
Ob den Betroffenen, um deren Daten es geht, „etwas passieren“ kann, spielt bei der Meldepflicht keine Rolle. Dieser Aspekt wird erst wichtig, wenn es um die Benachrich-tigung der Betroffenen geht. Sie ist gesondert geregelt (Art. 34 DSGVO). Die Betroffe-nen müssen nur dann benachrichtigt werden, wenn ihnen „voraussichtlich ein hohes Risiko droht“.
Am Beispiel des verschlüsselten Laptops wird wieder deutlich, was das bedeutet: Sind die Daten auf dem Laptop nach dem Stand der Technik verschlüsselt, droht kein hohes Risiko, wenn er Unbefugten in die Hände gerät. Die Folge: Die Betroffenen müssen nicht benachrichtigt werden.
Neue Spielregeln im Überblick
Die Spielregeln für die Zeit ab 25. Mai 2018 lassen sich so zusammenfassen:
- Jeder Mitarbeiter, dem eine Datenpanne unterläuft, muss möglichst sofort seine Vorgesetzten einschalten.
- Nur so lässt sich vermeiden, dass dem Unternehmen ein möglicherweise teures Bußgeldverfahren droht.
- Meldungen von Unternehmen an die Datenschutzaufsicht werden künftig viel häufiger sein als bisher.
- Für sie gilt eine Frist von nur 72 Stunden. Diese lässt sich nur einhalten, wenn jeder Mitarbeiter Datenpannen sofort intern meldet.
- Eine Meldung an die Datenschutzaufsicht hat für sich allein noch keine negativen Konsequenzen. Es kann aber natürlich vorkommen, dass die Datenschutzaufsicht genauer nachfragt, was eigentlich genau passiert ist und wie es dazu kommen konnte.
Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!
Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.
Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen |
Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.
Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.
Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. das dauert nur wenige Minuten.
Ich freue mich auf Ihre Anfragen.
Ihr Thomas Ströbele