Der Albtraum eines jeden Datenschutzbeauftragten: der möglicherweise meldepflichtige Datenschutzvorfall. Was ist zu tun und wie gehe ich damit um? Dieser Beitrag gibt Handlungsempfehlungen und zusätzlich eine Muster-Vorlage zum Download.
Der Inhalt im Überblick
Was ist überhaupt ein Datenschutzvorfall?
Zu Beginn muss diese Frage geklärt sein, andernfalls ist der beste Prozess zum Umgang mit Datenschutzvorfällen unbrauchbar, da schlichtweg kein Vorfall intern gemeldet wird. Erst wenn ein einheitliches Verständnis geschaffen wurde, kann ein Prozess zum Umgang mit Datenschutzvorfällen entwickelt werden.
Lösen Sie sich bei der Festlegung des Begriffs von der Definition in Art. 4 Nr. 12 DSGVO und arbeiten Sie mit Beispielen. Folglich sind Datenschutzvorfälle Unregelmäßigkeiten in der Verarbeitung von personenbezogenen Daten, die zu einem Risiko für die Betroffenen führen. Dies kann die unbewusste Veröffentlichung von personenbezogenen Daten im Internet sein, der Zugriff nach einer Hackerattacke auf eine Datenbank, aber auch der bloße Verlust eines Laptops, eines USB-Sticks oder eines Mobiltelefons.
Wichtig ist, dass bei der Definition des Datenschutzvorfalls noch keine Bewertung der Meldeverpflichtung gegenüber Behörden oder Betroffenen vorgenommen wird, da auch nicht meldepflichtige Verstöße für die Bewertung des Datenschutzniveaus essentiell sind und ebenfalls dokumentiert werden sollten.
Reaktionsplan zur Fristwahrung
In einem zweiten Schritt muss ein Reaktionsplan zur Bewältigung von Datenpannen geschaffen werden und dieser muss im Unternehmen bekannt sein. Dabei ist es sehr wichtig, dass die Definition des Datenschutzvorfalls daraus hervorgeht und dass bestimmte Rollen konkret Mitarbeitern zugewiesen sind. Nur so kann bei einem Datenschutzvorfall ein Data Breach Incident Team gebildet werden, welches sofortige Maßnahmen ergreift und eine möglicherweise notwendige Meldung an die betroffenen Personen und/oder die Behörde vorbereitet.
Meldepflicht kennen
Die Datenschutz-Grundverordnung (DSGVO) sieht vor, dass Datenschutzverstöße in bestimmten Fällen gemeldet werden müssen. Die Verletzung des Schutzes personenbezogener Daten ist gegenüber der zuständigen Datenschutzbehörde binnen 72 Stunden zu melden, wenn aufgrund der Verletzung ein Risiko für die Rechte und Freiheiten betroffener Personen besteht. Gegenüber betroffenen Personen muss unverzüglich Meldung erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zu erwarten ist.
Hierfür ist jedoch eine Bewertung der Art und des Umfangs des Datenschutzvorfalls, sowie der damit verbundenen Risiken für betroffenen Personen notwendig. Zudem müssen weitere Informationen gemäß Art. 33, 34 DSGVO bereitgestellt werden. Diese Informationen benötigen Sie, um entscheiden zu können, ob eine Meldung gegenüber der Betroffenen und/oder der Behörde notwendig ist und um die entsprechende Meldung vorzubereiten.
Vorlage zur Abfrage der Informationen
Problematisch bei der Informationsbeschaffung ist, dass die am Verfahren beteiligten Mitarbeiter oft nicht genau wissen, welche Informationen Sie beizubringen haben, da sie zunächst die für ihren Bereich wichtigsten Informationen bereitstellen, diese aber oftmals für die Bewertung der Meldeverpflichtung zweitrangig oder gar außer Acht gelassen werden können. Beispielsweise ist dem Datenbankadministrator bei Komprimierung seiner Datenbank zunächst egal, ob darin lediglich Stammdaten von Kunden/Mitarbeitern oder zusätzlich auch Gesundheitsinformationen und/oder Bank- und Kreditkarteninformationen aufbewahrt werden. Aus datenschutzrechtlicher Sicht ist diese Unterscheidung jedoch essentiell.
Zusätzlich werden Sie das Problem haben, dass oftmals kurzfristig Meetings, ohne Protokoll, angesetzt werden, bei welchen die Themen „durchgesprochen“ werden. Bei der Bewertung des Datenschutzvorfalls sollte man jedoch auf dokumentierte Informationen zurückgreifen können und die einzelnen Teilnehmer sollten am Verfahren entsprechend schriftlich oder in Textform zuliefern.
Aus diesem Grund verwenden wir bei der Dokumentation von Datenschutzvorfällen eine Vorlage, die es uns erlaubt, die wichtigsten Informationen zu einem Datenschutzvorfall in einem Dokument zu sammeln. Sollte eine Meldeverpflichtung bestehen, enthält diese Vorlage auch Punkte, die im Schriftsatz an die Aufsichtsbehörden Eingang finden sollten.
Die Vorlage ersetzt nicht die rechtliche Bewertung des Vorfalls, noch stellt sie eine Meldung gegenüber betroffenen Personen bzw. den Datenschutzbehörden dar.
Muster-Vorlage zum Download
Da sich die Vorlage für uns bewährt hat, möchten wir diese auch Ihnen zur Verfügung stellen:
An wen richtet sich das Meldeformular? Soll ein Mitarbeiter damit einen Vorfall an den DSB melden? Viele Fragen kann dieser gar nicht beantworten. Name und Unterschrift könnten einer Meldung evtl hinderlich sein. Oder ist das Formular für den DSB gedacht, der den Vorfall damit an die Behörde meldet?
bitte vor Veröffentlichung Grammathik + Rechtschreibung prüfen!
Ja, das hätten wir machen müssen. Vielen Dank für den Hinweis.
Das BayLDA bietet auf seiner Internetseite die Möglichkeit sowohl Datenschutzverstöße, als auch Datenpannen zu melden.
https://www.lda.bayern.de/de/datenpanne.html
Nehmen sie an, Sie sind kein anwalt und der externe Datenschutzbeauftragte einer Behörde und erfahren von einem eindeutigen Verstoß. Sie weisen den Verantwortlichen auf seine Meldepflicht hin, der er nicht nachkommt. Nehmen wir weiter an, sind sind auf diesem Mandanten finanziell nicht angewiesen. Welche legitimen Handlungsmöglichkeiten haben Sie als DSB: dürfen Sie selbst Meldung bei der Aufsicht erstatten?
Die Meldung von Datenschutzverstößen ist eine gesetzliche Pflicht, die die verantwortliche Stelle betrifft und nicht den Datenschutzbeauftragten persönlich. Der Datenschutzbeauftragte ist lediglich verpflichtet auf die Einhaltung der Datenschutzvorschriften bei der verantwortlichen Stelle hinzuwirken, was auch die Meldepflicht von Verstößen umfasst. Kommt die verantwortliche Stelle dem nicht nach, könnte das u.U. bußgeldbewehrt sein.
Es steht daneben jeder betroffenen Person zu Beschwerde über eine konkrete Datenverarbeitung bei der Aufsichtsbehörde einzulegen. Auch dritten Personen (so wie wahrscheinlich der DSB in diesem Fall) steht es frei sich an die Behörde zu wenden, falls sie der Meinung ist, es könnte ein Datenschutzverstoß durch eine verantwortliche Stelle vorliegen. Einem externen DSB sollte aber in diesem Falle bewusst sein, dass er damit u.U. vertragliche Abmachungen mit der verantwortlichen Stelle verletzt. In diesem Fall sollte über eine anwaltliche Beratung nachgedacht werden.
Ich habe eine E-Mail erhalten, die vermutlich Schadsoftware transportiert (ich habe den Anhang nicht geöffnet). Der Absender ist eine mir bekannte Firma, und der Text bezieht sich auf einen mir bekannten Vorgang. Im Header sieht man aber, dass die Mail aus dem Ausland stammt. Offensichtlich wurde der Server der Firma gehackt, und es wurden E-Mails gestohlen, um daraus vertrauenserweckende „Antworten“ zu generieren. Ich informierte die betroffene Firma umgehend, weil ich es für erforderlich halte, dass alle Kontakte vor eventuellen Mails mit Schadsoftware gewarnt werden müssen. Allerdings erhielt ich keinerlei Reaktion von der Firma.
Wo genau kann ich mich über diese Firma beschweren?
Das klingt sehr danach, als seien die Systeme infiziert worden. Die betreffende Firma sollte dieser Sache dringend nachgehen. Es empfiehlt sich vor einer Kontaktaufnahme mit der Behörde, die Dringlichkeit dem betreffend Unternehmen nochmals zu schildern. Da die meisten Behörden sehr überlastet sind, kann es mitunter Monate dauern, bis eine Reaktion erfolgt. Aus Effektivitätsgründen ist der direkt Weg daher meist vielversprechender.
Natürlich steht Ihnen dennoch der Weg zu den Datenschutzbehörden offen. Sie müssten die Datenschutzbehörde des Bundeslandes auswählen, in deren Bereich der Hauptsitz des Unternehmens in Deutschland liegt. Eine Übersicht finden Sie unter:
https://www.bfdi.bund.de/DE/Infothek/Anschriften_Links/AufsBehoerdFuerDenNichtOeffBereich/AufsichtsbehoerdenNichtOeffBereich_liste.html
Im Formular steht, dass man es an den DSB senden soll. Da dieser aber keine Bereitschaft hat (z. B. am Wochenende) und er auch keinen adäquaten Vertreter haben kann (es kann ja nur einer zum DSB bestellt werden!) ist die Frist in Gefahr. Wie geht man damit um?
Die im Beitrag erwähnte Meldefrist von 72 Stunden beginnt ab der Kenntnisnahme des Datenschutzvorfall beim Verantwortlichen zu laufen. Auch wenn die Datenschutzverletzung an einem Freitag bekannt wird, würde die Meldefrist nicht vor dem kommenden Montag ablaufen, so dass im Regelfall genug Zeit bleibt, den Vorfall zu prüfen und ggf. zu melden. Es kann im Einzelfall auch sinnvoll sein, eine vorläufige Meldung bei der Aufsichtsbehörde einzureichen. Dies kommt vor allem bei Vorfällen in Betracht, deren Aufarbeitung eine längere Zeit in Anspruch nimmt, z. B. bei Hackerangriffen oder anderen Attacken von außen. Dann hätte man auf jeden Fall seine Pflicht aus Art. 33 Abs. 1 DSGVO erfüllt.
Weitere Informationen zum Vorgehen bei Datenschutzverletzungen, insbesondere zur Fristenberechnung, können Sie auch dem folgenden Beitrag entnehmen:
Die Uhr tickt! Fristberechnung bei Datenschutzvorfall & Betroffenenanfrage
Der DSB muss natürlich generell gewährleisten, so erreichbar zu sein, dass alle gesetzlichen Fristen eingehalten werden können. Das kann er z. B. auch durch einen Vertreter innerhalb seiner Organisation regeln.