Die neue Datenschutzgrundverordnung stärkt die Rechte eines Betroffenen zum Schutze seiner Daten. Der Begriff „Datenpanne“ ist das üblicherweise genutzte Wort für das, was ein Datenschutzbeauftragter wohl als den „worst case“ bezeichnen würde: die Verletzung dieses Schutzes personenbezogener Daten. So wiederum wird die Datenpanne in Artikel 4 S. 12 DSGVO im Juristendeutsch genannt.
Werfen wir einmal einen genaueren Blick auf diesen Artikel bzw. die genannte Begriffsbestimmung und schauen uns an, was sich hinter einer Datenpanne genau verbirgt. Eine Verletzung kann in verschiedenen Formen erfolgen: Die betroffenen personenbezogenen Daten wurden vernichtet, gingen verloren oder wurden verändert – dies ist entweder unbeabsichtigt oder sogar unrechtmäßig passiert. Zusätzlich gelten auch eine unbefugte Offenlegung bzw. ein unbefugter Zugang als Verletzung des Schutzes personenbezogener Daten. Selbstverständlich können die oben genannten Dinge nur mit Daten passieren, die innerhalb eines Unternehmens übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Ein paar Beispiele aus dem wahren Leben sollen die theoretische Definition des Begriffes etwas verständlicher machen: Im September 2018 wurden im Internet Passwörter von Kunden der Plattform knuddels.de im Klartext veröffentlicht. Ein Hacker hatte es geschafft, sich Zugriff auf deren Server zu verschaffen. Da die Passwörter alle im Klartext auf diesem Server gespeichert waren, konnte der Hacker diese problemlos und ohne weitere Anstrengungen auslesen. Im November wurde bekannt, dass knuddels.de ein Bußgeld in Höhe von 20.000 € bezahlen muss, da die Passwörter nicht in verschlüsselter Form abgelegt waren. Im Dezember 2018 ging eine weitere, sehr weitreichende Datenpanne durch die Medien: Die bekannte Hotelkette Marriott wurde ebenfalls Opfer eines Hackerangriffs. Der Kriminelle erhielt Einblick in über 500 Millionen Kundendatensätze einschließlich Kreditkartennummern. Hier stellte sich heraus, dass die verwendete IT-Systeme nicht mehr auf dem neusten Stand waren.
Aber eine Datenpanne muss nicht immer der „Super-GAU“ sein, der durch die Medien geht, sondern kann trotz regelmäßiger Datenschutz-Schulung von Personal und Vorstandsmitgliedern auch im Kleinen vorkommen. Auch hierzu ein paar Beispiele: Ein Mitarbeiter verschickt eine E-Mail mit Rechnung an einen Kunden. Die Autovervollständigung schlägt verschiedene Adressen, die ähnlich beginnen vor. Der Mitarbeiter wählt die Adresse aus dieser Liste aus. Er sendet die E-Mail ab. Im Nachgang stellt er fest, dass er sich verlesen hatte und die E-Mail an den falschen Kunden versandt wurde. Ein weiteres Beispiel: Einem Außendienst-Mitarbeiter wird das Notebook mit Kundendaten gestohlen. In beiden Fällen liegt eine Datenpanne vor, bei der unbedingt gehandelt werden muss, auch wenn der Umfang der betroffenen Personen nicht so groß ist wie in den beiden vorherigen Beispielen.
Kein Mensch ist perfekt. Datenpannen können vorkommen. Wichtig ist, dass bei Auftreten einer Datenpanne, selbst beim Verdacht, dass eine Datenpanne vorliegen könnte, gehandelt wird und das Ereignis nicht unter den Tisch gekehrt wird. Denn hierbei geht es für ein Unternehmen nicht nur um Bußgelder, die bei Nichthandeln und Bekanntwerden eventuell zu bezahlen sind, sondern auch um das Image des Unternehmens sowie die eigene Möglichkeit aus Fehlern zu lernen und sich dadurch zu verbessern.
Artikel 33 DSGVO beschäftigt sich mit der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde. Hier wird unter anderem beschrieben, wer (der Verantwortliche) in welchem Zeitraum (72 Stunden) an welche Stelle (die zuständige Aufsichtsbehörde) eine Datenpanne melden muss. Es wird aber auch ganz klar definiert, wann keine Meldung notwendig ist: Die „Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“. Artikel 34 DSGVO beinhaltet Regelungen, wann und in welcher Form die Benachrichtigung der von der Datenpanne betroffener Person zu erfolgen hat.
Was ist beim Auftreten einer Datenpanne innerhalb eines Unternehmens zu tun? Hierzu sollten bereits vorab zwei Dokumente für Mitarbeiter existieren und frei zugänglich sein. Einmal eine Arbeitsanweisung, wie vorzugehen ist, wenn eine Datenpanne aufgetreten ist oder bereits der Verdacht vorliegt, dass eine Datenpanne eingetreten sein könnte. Des Weiteren ein Formular mit Fragen, deren Beantwortung zur Dokumentation des Vorfalls aus Mitarbeitersicht dient. Auf diese Weise kann sichergestellt werden, dass die Mitarbeiter eines Unternehmens im Fall der Fälle etwas in der Hand hat, um richtig zu agieren.
Im Falle einer Datenpanne muss klar definiert sein, welche Person als erstes darüber zu informieren ist. Dies kann der Geschäftsführer, der Datenschutzbeauftragte oder der Datenschutzkoordinator sein. In der Arbeitsanweisung sind eine Telefonnummer sowie eine E-Mail-Adresse anzugeben, unter denen der zuständige Ansprechpartner zu erreichen ist. Wir empfehlen zur SOFORTIGEN Information einen Telefonanruf. Bei Nichterreichbarkeit ist es wichtig auf jeden Fall, eine Nachricht auf dem Anrufbeantworter oder der Mobilbox zu hinterlassen. Diese Nachricht sollte neben dem Anliegen in wenigen Sätzen auch den Namen des Anrufenden sowie eine Telefonnummer enthalten, unter welcher der Anrufende in den nächsten Stunden erreichbar sein wird. Bei Meldung einer Datenpanne an den zuständigen Ansprechpartner kann das Formular mit den Fragen (das zweite Dokument für Mitarbeiter) als Orientierung dienen. Es sollte auf jeden Fall im Nachgang auch noch ausgefüllt werden, um eine schriftliche Dokumentation zu haben. Nur mit Hilfe dieser Angaben ist es der Geschäftsführung und dem Datenschutzbeauftragten möglich, die Situation korrekt zu beurteilen und ggf. die Meldung an die Aufsichtsbehörde im vorgegebenen Zeitraum zu erledigen.
Wie geht es nun weiter? Die Geschäftsführung als verantwortliche Stelle setzt sich mit dem Datenschutzbeauftragten an einen Tisch und trifft unter Berücksichtigung der Artikel 33 und 34 DSGVO die Entscheidung, ob die Behörden und die Betroffenen zu informieren sind. Die gesetzliche Meldefrist beträgt 72 Stunden, deswegen ist es sehr wichtig, dass die genannten Informationen zeitnah weitergeben!
Im Falle einer Datenpanne gilt: Lieber einmal zu viel gemeldet als einmal zu wenig. Selbst beim Verdacht, es könne eine Datenpanne vorliegen, sollten der Zuständige informiert werden. Fehler passieren – dies gilt auch für Datenpanne. Der größte Fehler, der auch arbeitsrechtliche Konsequenzen haben kann, wäre es allerdings, eine Datenpanne nicht zu melden und unter den Tisch zu kehren!
Im Idealfall erfolgt eine spezielle Mitarbeiterschulung für die Vorgehensweise bei Datenpannen, die auch als eine 12-minütige Videoaufnahme von uns zur Verfügung gestellt werden kann.