Mein Datenschutz-Blog - #THEPRIVÄCY

Hier bloggt das Deutsche Zentrum für Datenschutz & Informationssicherheit (DZDI) als Teil der yourIT Group. Seit über 15 Jahren ist unser Team für Sie tätig als Berater, Implementer, Auditor, Trainer sowie als externer Informationssicherheits- (ISB) und Datenschutzbeauftragter (DSB) rund um EU-DSGVO, BDSG-neu und ISO 27001. Unsere Kunden sind u.a. mittelständische und Konzern-Unternehmen, Praxen, Kanzleien, etc. Dabei nutzen wir sofern möglich die Ihrem Unternehmen zustehenden Fördermittel.

Freitag, 1. März 2019

Meldung von Datenpannen nach EU-DSGVO (2)

Die EU-DSGVO hat die Meldepflicht für Datenpannen wesentlich verschärft. Was geht das den „normalen Mitarbeiter“ an? Deutlich mehr, als viele glauben!

Der Klassiker: Versendungspannen beim E-Mail-Versand

Versendungspannen gehören zu den häufigsten Datenpannen. Einer der Klassiker: Eine E-Mail soll an eine größere Zahl von Adressaten gehen. Diese wissen nichts voneinander - und das soll eigentlich auch so bleiben. Doch statt im BCC-Feld landet die Adressatenliste versehentlich im CC-Feld. Die Folge: Jeder Adressat sieht die Mailadressen aller anderen Adressaten!

Versendungspannen sind schnell passiert - Was verlangt die EU-DSGVO?

Eher selten nötig: Benachrichtigung der betroffenen Personen

Rückgängig machen lässt sich das nicht mehr. Also rasch eine Entschuldigungs-E-Mail an alle Adressaten und alles ist gut? So einfach ist es nicht! Rechtlich gesehen stellt eine solche E-Mail eine Benachrichtigung der betroffenen Personen dar. Eine solche Benachrichtigung wäre jedoch oft gar nicht nötig. Vorgeschrieben ist sie laut EU-Datenschutzgrundverordnung (EU-DSGVO) nur, wenn die Datenpanne für die betroffenen Personen voraussichtlich ein „hohes Risiko“ zur Folge hat (Art. 34 Abs. 1 EU-DSGVO). Doch das ist eher selten der Fall.

Angenommen, es geht um eine Liste von Personen, die regelmäßig Sonderangebote per Mail erhalten. Dann liegt im Normalfall kein hohes Risiko vor. Denn was soll hier schon passieren? In solchen Fällen ist eine Benachrichtigung eine Frage der Höflichkeit, nicht eine Frage des Rechts.

Stets eilig: Meldung an die Datenschutzaufsicht

Viel wichtiger ist eine Meldung der Datenpanne an die zuständige Datenschutz-Aufsichtsbehörde. Für sie gilt:

Grundsätzlich ist eine solche Meldung bei jeder Datenpanne erforderlich.
Eine Ausnahme greift nur dann, wenn die Panne voraussichtlich zu keinerlei Risiko für die betroffenen Personen führt.

Die tückische 72-Stunden-Frist

Hinzu kommt noch folgende Tücke: Für die Benachrichtigung der betroffenen Personen ist keine Frist vorgeschrieben, für die Meldung der Datenpanne an die zuständige Datenschutz-Aufsichtsbehörde dagegen schon! Sie muss im Normalfall binnen 72 Stunden erfolgen (Art. 33 Abs. 1 EU-DSGVO).

Lesen Sie hierzu auch unseren Blogbeitrag "Nur noch 72 Stunden - EU-DSGVO bringt neue Spielregeln für den Umgang mit Datenpannen" vom 16.11.2017.

Keine Meldung durch einzelne Mitarbeiter!

Die Meldung an die Aufsichtsbehörde erfolgt dabei nicht durch den Mitarbeiter, der die Panne verursacht hat! Sie ist vielmehr vom Unternehmen zu veranlassen. Wer innerhalb des Unternehmens zuständig ist, legt die Unternehmensleitung fest - in der Regel findet sich ein entsprechender "Meldeweg" in der Datenschutzrichtlinie.

Verschweigen? Lieber nicht!

Das scheint auf den ersten Blick Möglichkeiten der Manipulation zu bieten. Sollte man vielleicht möglichst lange Stillschweigen über eine Datenpanne bewahren? Sorgt das dann dafür, dass die 72-Stunden-Frist nicht zu laufen beginnt? Solche Überlegungen sind gefährlicher Unfug!

Angenommen, die Unternehmensleitung erfährt erst nach Wochen von einer Datenpanne, meldet sie dann aber sofort an die Aufsichtsbehörde. Hier ist zwar die Meldepflicht formal gesehen erfüllt. Die Aufsichtsbehörde wird dem Unternehmen aber vorwerfen, dass die interne „Datenpannen-Organisation“ mangelhaft ist. Denn sonst hätte die Unternehmensleitung sofort von der Panne erfahren.

Regeln für Mitarbeiter

Die Regeln für jeden einzelnen Mitarbeiter lauten daher:

Kehren Sie Datenpannen nie unter den Tisch!
Informieren Sie vielmehr sofort die Vorgesetzten!
Ist kein Vorgesetzter greifbar, kann der Datenschutzbeauftragte weiterhelfen.
Verschweigen macht alles nur schlimmer!

Wichtige Unterschiede

Wichtig ist, dass die Meldung an die Datenschutzaufsicht und die Benachrichtigung der betroffenen Personen zunächst einmal nichts miteinander zu tun haben. Die Meldung an die Datenschutz-Aufsichtsbehörde muss immer rasch erfolgen. Dabei gilt der Grundsatz: Bevor Sie melden, fragen Sie im Ernstfall einen Datenschutz-Experten mit Erfahrung!

Unser yourIT-Datenschutz-Team steht hier gerne zu Ihrer Verfügung. Von uns erhalten Sie auch gerne ein entsprechendes Meldeformular.

Mit der Benachrichtigung der betroffenen Personen sieht es anders aus. Sie verlangt sorgfältige Überlegung im Hinblick auf die Kommunikation und ist bewusst nicht an bestimmte gesetzliche Fristen gebunden.

Meldungen an die Aufsichtsbehörde sind in der Praxis eher häufig, Benachrichtigungen an betroffene Personen dagegen recht selten. Dieser Unterschied beruht zunächst einmal auf den unterschiedlichen gesetzlichen Regelungen. Er lässt sich aber auch aus der Sache leicht erklären:

Bei der Datenschutz-Aufsichtsbehörden arbeiten Datenschutz-Profis. Diese können die gemeldeten "Datenpannen" einordnen. Wenn eine erste Meldung später teilweise korrigiert werden muss, löst das bei der Aufsichtsbehörde i.d.R. keine Unsicherheit aus. Dennoch sollte man keine unnötigen Meldungen abgeben. Bauen Sie in Ihrem Unternehmen rechtzeitig entsprechende Meldewege auf!
Anders dagegen die Situation der betroffenen Personen. Jede Benachrichtigung verunsichert diese. Es ist mit Rückfragen zu rechnen. Kommen dann nur unvollständige Informationen oder Informationen, die später korrigiert werden müssen, hilft ihnen das nicht weiter. Also muss hier gleich alles stimmen.

Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!

Die Umsetzung der EU-DSGVO stellt viele Unternehmen vor große Herausforderungen. Nach einer Umfrage des Digitalverbands Bitkom haben drei von vier Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. Auch jetzt noch sind bei Weitem nicht alle Unternehmen mit der Umsetzung fertig, wie der Digitalverband erklärt. Durch die vielfältigen formalen Vorgaben müssen bestehende Prozesse umgestellt und neue Prozesse eingeführt werden.

Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.

Unser Beratungspaket erfolgt in 4 Phasen

Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen

Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.

Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.

Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. Das dauert nur wenige Minuten.

Ich freue mich auf Ihre Anfragen.

Ihr Thomas Ströbele