Wann liegt eine Datenschutzverletzung vor? Woher erkenne ich eine Datenschutzverletzung und wie ist in so einem Fall vorzugehen? Ein Datenschutzvorfall liegt dann vor, wenn personenbezogene Daten verlorengegangen, vernichtet, verändert oder unbefugt offengelegt wurden. Dabei spielt es für die Definition eines Vorfalls keine Rolle, ob dies unbeabsichtigt oder unrechtmäßig geschehen ist.
Schauen wir uns zu jedem Begriff 1 Beispiel an:
Ein Angestellter von einem Unternehmen vergisst seinen Laptop beim Aussteigen aus der U-Bahn oder er wird Opfer eines Raubüberfalls. Auf dem Laptop befanden sich personenbezogene Daten von Kunden.
Ein Hackerangriff legt die Server eines Krankenhauses lahm. Personenbezogene Daten werden dabei vernichtet.
Bei einem Hackerangriff werden ein Teil von personenbezogene Daten von den Hackern manipuliert.
Ein Kunde entwendet einen USB-Stick bei seinem Besuch im Büro eines Mitarbeiters. Auf dem Stick befanden sich personenbezogene Daten.
Angenommen es liegt nach der obigen Definition eine Datenschutzverletzung vor. Wie geht man am besten vor und welche Pflichten gibt es? Zunächst sollten der Vorgesetzte und der Datenschutzbeauftragte unverzüglich informiert werden. Es besteht eine Meldepflicht an die Aufsichtsbehörde, wenn bei dem Vorfall ein Risiko für die Betroffene Person entsteht. Dies kann das Risiko eines physischen, materiellen oder immateriellen Schadens sein. Die Beurteilung einer Meldung sollte auf jeden Fall vom DSB oder dem DS-Team vorgenommen werden. Bei einem hohem Risiko müssen sogar über eine Meldung an die Datenschutzbehörde hinaus auch noch die Betroffene Personen informiert werden.
Die Meldepflicht ist innerhalb von 72 Stunden durchzuführen. Dazu gehört auch das Wochenende! Erfolgt die Meldung nicht oder wird die Frist von 72 Stunden nicht eingehalten, können Geldbußen verhängt werden.
Es gibt jedoch Fälle, in denen eine Datenschutzverletzung nicht gemeldet werden muss. Sehen wir uns ein paar Beispiele an: Ein Mitarbeiter verliert seinen USB-Stick mit personenbezogenen Daten als Inhalt. Die Daten auf dem USB waren verschlüsselt, was das Risiko eines Missbrauchs deutlich verringert.
Ein weiteres Beispiel: Eine Personalagentur hat viele Bewerbungen in ihrer Datenbank. Die Daten sind pseudonymisiert, sodass Bild, Adresse und Name aller Bewerber durch eine interne Firmennummer ersetzt wurden. Der Laptop wird nun im Zug vergessen. Da der Laptop PW-geschützt ist und die Pseudonymisierung die Identifikation der betroffenen Personen erschwert, besteht keine Notwendigkeit, dies zu melden. Allerdings ist es wichtig, dass der Vorfall und die Entscheidung über die Meldung bzw. Nicht-Meldung dokumentiert werden.
Bei Schwierigen Situation, bei denen nicht eindeutig feststeht, ob es sich um eine Datenschutzverletzung handelt, ist eine Meldung notwendig. Denn die Meldepflicht besteht auch dann, wenn mit ausreichender Wahrscheinlichkeit davon ausgegangen werden kann, dass eine Datenschutzverletzung stattgefunden hat. Dies bedeutet, dass zwar mehr als nur ein vager Anfangsverdacht bestehen muss, aber nicht abgewartet werden kann, bis die Angelegenheit vollständig geklärt ist. Die Zuarbeit und Sensibilisierung von Mitarbeitern spielt hierbei eine wesentliche Rolle. Meldet der Mitarbeiter den Vorfall nicht oder zu spät, kann es bereits zu einem Bußgeldverfahren führen.
Die regelmäßige Schulung von Mitarbeitern hilft zu Sensibilisierung für das Thema und sollte mindestens einmal jährlich durchgeführt werden. Bei der Umsetzung der regelmäßigen Schulung von Ihren Mitarbeitern unterstützen wir Sie gerne mit unseren Online-Schulungsangeboten