Datenschutzbeauftragter Aachen | Externer Datenschutzbeauftragter Aachen | Ingo Goblirsch LL.M. | 15+ Jahre Erfahrung

DSGVO-Gazette #29: Datenpanne ist schon bitter - und dann ist noch alles auf Twitter (Teil 2)

Liebe Leserinnen und liebe Leser,

in Teil 1 des Artikels habe ich bereits die wichtigen Fragen durchleuchtet, was eine Datenpanne ist, wie eine Datenpanne entsteht und ob Sie einen Datenschutzbeauftragten benötigen, wenn Sie eine Datenpanne haben. In diesem Teil 2 des Artikels folgen nun die Antworten auf die folgenden Fragen:

  • Wie sollte ich im Fall einer Datenpanne reagieren?
  • Wie kann ich Datenpannen vermeiden?

Bitte lesen Sie sich diese beiden Teile des Artikels durch, denn häufig ist es nur eine Frage der Zeit, bis eine Datenpanne passiert und diese dann "auf Twitter" thematisiert wird.

Teil 2 - "Datenpanne ist schon bitter - und dann ist noch alles auf Twitter"

Frage 4: Wie sollte ich im Fall einer Datenpanne reagieren?

Jede Datenpanne ist einzigartig. Es gibt nicht die einige und wahre Handlungsempfehlung zum Management einer Datenpanne. Jedoch gibt es in diesem Zusammenhang gesetzliche Anforderungen und Best-Practices. Die gesetzlichen Anforderungen sind leicht erklärt:

  • Art 33 DSGVO: Meldung einer Datenpanne mit Risiko für Betroffene innerhalb von 72h ab Kenntnisnahme bei der zuständigen Datenschutz-Aufsichtsbehörde.
  • Art 34 DSGVO: Unverzügliche Meldung der Datenpannen mit hohem Risiko für Betroffene bei den Betroffenen selbst
  • Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht): Eine Dokumentation zu der Datenpanne anzulegen, um das richtige Vorgehen nachweisen zu können.

Als Best-Practice sind sinnvoll:

  • Betriebliche Abläufe so schnell wie möglich wiederherstellen.
  • Schadensausmaß der Datenpanne reduzieren / Folgeschäden vermeiden (§ 823 BGB, Schadenersatzpflicht).
  • Lessons Learned durchführen - also wie kam es zu der Datenpanne und wie lässt sie sich in Zukunft vermeiden.
  • Last but not least: Den Datenschutzbeauftragten unverzüglich einbinden.

Frage 5: Wie kann ich Datenpannen vermeiden?

Sie sollten sich nicht der Illusion hingeben, dass Sie jede Datenpanne in Ihrem Unternehmen vermeiden können. Denn Fehler können passieren. Es gibt keine absolute Sicherheit, z. B. den Fehlversand durch falsches Kuvertieren zu vermeiden. Sicherlich könnten Sie ein 4-Aufenprinzip hier einführen für jeden Brief, der Ihr Haus verlässt. Aber ist das dann noch wirtschaftlich? Und wird es dem eigentlichen Risiko, dem Sie begegnen wollen, gerecht?

Ihr Datenschutzbeauftragter wird Sie dabei beraten, die datenschutzrechtlich angemessenen Maßnahmen für Ihr Unternehmen zu identifizieren. Hinterfragen Sie jedoch auch immer, ob die Maßnahmen dem Risiko tatsächlich gerecht werden oder ob es nicht Maßnahmen gibt, die günstiger oder effizient(er) sind. Jede Maßnahme, die dem Datenschutz nützt, muss auch zu Ihren betrieblichen Prozessen passen. Kein Mitarbeiter wird wegen Datenschutz die Extra-Meile gehen. Das Ergebnis ist dann, dass Sie Ihr Datenschutzbeauftragter eine Maßnahme etablieren wollte, die nicht gelebt wird. Somit passieren Datenpannen und Sie wähnen sich in Sicherheit. Ideal sind Maßnahmen, die in ihren betrieblichen Abläufen direkt eingearbeitet sind und die dabei keinen zusätzlichen Aufwand verursachen, z. B. weil sie aus betrieblicher Sicht ebenfalls notwendig sind.

Sie können Datenpannen vermeiden, indem Sie massgenaue Kontrollen in Ihren Prozesse etablieren. Holen Sie sich die Hilfe von Ihrem (externen) Datenschutzbeauftragten und hinterfragen Sie kritisch, ob dies tatsächlich der beste Weg ist.

Haben Sie Fragen zur Vermeidung von Datenpanne oder zum Umgang mit Datenpannen - dann melden Sie sich gerne bei mir.

Viele Grüße aus dem verschneiten Aachen

Ingo Goblirsch

Ingo Goblirsch LL.M.

Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Aachen

Foto von Frederik Rosar auf Unsplash Danke!