Wie die DSGVO den Umgang mit Datenpannen neu regelt

Wer eine Datenschutzverletzung beichtet, muss in den sauren Apfel beißen. Schließlich weiß jeder um die Folgen – im schlimmsten Fall sogar arbeitsrechtliche. Darum schweigen manche lieber. Doch dabei ist Vorsicht geboten: Denn seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Demzufolge kann das Verschweigen von Datenpannen noch größere Probleme nach sich ziehen.

Beispiel-Szenario: ein verschwundener Laptop

Ein Laptop samt Kundendaten ist verschwunden. Vielleicht wurde er vor ein paar Tagen einfach im Zug liegengelassen. Das Gerät selbst ist fünf Jahre alt und wurde nur hin und wieder benutzt – wirklich vermissen wird es also niemand. Die Kundendaten im EDV-System sind natürlich noch vorhanden, wer sollte da misstrauisch werden … Also lieber Stillschweigen bewahren? Seit Mai 2018 kann diese Taktik übel enden.

Unternehmen in der Meldepflicht

Schon vor Inkrafttreten der DSGVO waren Unternehmen dazu verpflichtet, bestimmte Datenpannen an die Datenschutzaufsicht zu melden. Ausgangspunkt dabei: unbefugt übermittelte Daten. Vereinfacht gesagt bedeutet das, dass die Daten zu Unrecht in die Hände von Außenstehenden gelangt sind – was aber nicht ausreichte, um eine Meldepflicht entstehen zu lassen. Vielmehr musste noch hinzukommen, dass „schwerwiegende Beeinträchtigungen“ für die Rechte der Personen drohen, um deren Daten es geht.

Bis dato oft keine Meldepflicht

Diese Einschränkung führte bisher dazu, dass im Endeffekt häufig keine Meldepflicht besteht. Analog zum oben genannten Beispiel: Ein Laptop geht verloren, die Daten darauf sind jedoch nach dem Stand der Technik verschlüsselt. Dann kann davon ausgegangen werden, dass keine schwerwiegenden Beeinträchtigungen drohen. Die Folge: keine Meldepflicht.

DSGVO für neue Meldepflicht-Regelungen

Die Regelungen zur Meldepflicht, die sich aus der Datenschutz-Grundverordnung ergeben, wenden das Blatt. Sie kennen o.g. Einschränkungen nicht. Vielmehr muss ein Unternehmen fortan jede „Verletzung des Schutzes personenbezogener Daten“ der Datenschutzaufsicht melden.

Diese Meldepflicht ist in keiner Weise eingeschränkt. Das bedeutet: Der Verlust eines Laptops mit personenbezogenen Daten muss auch dann gemeldet werden, wenn wahrscheinlich alles ausreichend verschlüsselt war.

Brisant: Meldefrist von 72 Stunden

Wer an die Datenschutzaufsicht meldet, hat eine Frist von 72 Stunden zu beachten. Wird sie grundlos überschritten, droht dem Unternehmen bereits ein Bußgeld. Ausreden à la „Unser Mitarbeiter hat uns die Panne intern verschwiegen“ zählen dabei nicht. Die Antwort der Aufsichtsbehörde könnte nämlich lauten: „Dann bringen Sie Ihren Mitarbeitern doch bei, Datenpannen umgehend zu melden.“

Meldungen per Online-Formular

In der Praxis wird es darauf hinauslaufen, dass eine Meldung an die Datenschutzaufsicht in der Zukunft häufiger notwendig ist. Die ersten Aufsichtsbehörden, etwa das Bayerische Landesamt für Datenschutzaufsicht, stellen dafür bereits Online-Formulare zur Verfügung.

Benachrichtigung der Betroffenen als Ausnahme

Ob den Betroffenen, um deren Daten es geht, „etwas passieren“ kann, spielt im Zusammenhang mit der Meldepflicht keine Rolle. Dieser Aspekt wird erst dann wichtig, wenn es um die Benachrichtigung der Betroffenen geht. Sie ist gesondert geregelt in Art. 34 der DSGVO: Die Betroffenen müssen demnach nur dann benachrichtigt werden, wenn ihnen „voraussichtlich ein hohes Risiko droht“.

Das Beispiel des verschlüsselten Laptops zeigt wieder, was das in der Praxis heißt: Sind die Daten auf dem Laptop nach dem Stand der Technik verschlüsselt, droht kein hohes Risiko, wenn er Unbefugten in die Hände gerät. Die Folge: Die Betroffenen müssen nicht benachrichtigt werden.

Die neuen Spielregeln auf einen Blick

Die neuen Spielregeln gelten seit dem 25. Mai 2018 und lassen sich wie folgt zusammenfassen:

  • Jeder Mitarbeiter, dem eine Datenpanne unterläuft, muss schnellstmöglich seine Vorgesetzten informieren.
  • Nur so lässt sich vermeiden, dass dem Unternehmen ein Bußgeldverfahren droht.
  • Für die Meldung ist eine Frist von 72 Stunden zu beachten. Sie lässt sich nur einhalten, wenn jeder Mitarbeiter Datenpannen sofort intern meldet.
  • Eine Meldung an die Datenschutzaufsicht hat für sich allein noch keine negativen Konsequenzen. Es kann aber natürlich vorkommen, dass die Datenschutzaufsicht genauer nachforscht.
  • Eine Meldung an die Datenschutzaufsicht führt nicht automatisch dazu, dass die Betroffenen über die Datenpanne benachrichtigt werden. Eine solche Benachrichtigung der Betroffenen ist an relativ strikte Voraussetzungen geknüpft.

 

Smartphone-Apps und Datenschutz – eine besondere Beziehung

Smartphone-Apps und Datenschutz – eine besondere Beziehung Mobile Endgeräte werden immer bedeutender. Die Zahl der installierten Apps auf Smartphones und Tablets steigt weiterhin an. Doch wie lassen sich mobile Anwendungen und Datenschutz vereinbaren? Die Antwort fällt nicht immer leicht – doch sie ist zunehmend wichtig für die Privatsphäre der Nutzenden. Für alle Interessen eine App

Weiterlesen »

Bessere Datensicherheit durch ChatGPT

Bessere Datensicherheit durch ChatGPT In Datenschutz- und Datensicherheitskreisen wird ChatGPT oft äußerst kritisch betrachtet. Andere Akzente hingegen setzt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Kernaussage: ChatGPT kann die Datensicherheit verbessern – unter der Prämisse, dass ChatGPT sinnvoll eingesetzt wird. Denn das menschliche Denken wird dadurch nicht überflüssig. Die Risiken sind bekannt Täuschend

Weiterlesen »

Auskunftsanspruch gemäß Art. 15 DSGVO – bis über den Tod hinaus?

Auskunftsanspruch gemäß Art. 15 DSGVO – bis über den Tod hinaus? Gemäß Art. 15 Datenschutz-Grundverordnung (DSGVO) hat jede Person Anspruch auf Auskunft über personenbezogene Daten, die sie betreffen. Doch wie verhält es sich, wenn die betroffene Person verstirbt? Geht ihr Auskunftsanspruch dann auf den oder die Erben über? Geld als Motivator Wenn es um Vermögen

Weiterlesen »

Datenschutzkonforme PDF-Dokumente – so gelingt‘s

Datenschutzkonforme PDF-Dokumente – so gelingt‘s Möchten auch Sie ein Word-Dokument weiterleiten und dabei Datenschutz-Stolpersteine umgehen? Wandeln Sie deshalb das Word- in ein PDF-Dokument um? An sich eine praktikable Lösung. Umso wichtiger ist es, die Details zu kennen und zu beachten. Der einzige Haken: Manche Tools sind kostenpflichtig. PDF: eine gute Idee Word-Dokumente sind aus dem

Weiterlesen »

Löschen, aufbewahren oder archivieren? Mit Geschäftsdokumenten richtig umgehen

Löschen, aufbewahren oder archivieren? Mit Geschäftsdokumenten richtig umgehen Was gilt denn nun? Zum einen sollen bestimmte Geschäftsdokumente noch jahrelang „archiviert“ werden. Zum anderen appelliert der Datenschutz an die Löschpflichten. Der Mittelweg: Vermeiden Sie ein zu frühes Löschen ebenso wie eine zu lange Aufbewahrung. Lückenhaftes Unternehmensarchiv Stellen Sie sich vor, jemand öffnet das digitale Archiv des

Weiterlesen »
Klicken Sie um den Beitrag zu Bewerten
[Total: 0 Average: 0]
Über uns

Persönlich, pragmatisch, professionell: Die 3 P Datenschutz GmbH ist seit vielen Jahren als externer Dienstleister für Datenschutz und IT-Sicherheit tätig.

Rechtliches
Kontakt

3 P Datenschutz GmbH
Sanderstraße 47
86161 Augsburg

  • info@3-p-datenschutz.de
  • +49 821 65088580
© 3 P Datenschutz GmbH 2024
Nach oben scrollen