Der richtige Umgang mit Datenpannen und wie wir Sie dabei unterstützen können

Ein Mitarbeiter meldet, dass wichtige Kundendaten gelöscht wurden oder solche Daten in Hände unbefugter Dritter gelangt sind. Was ist nun zu tun? Panik? Wir zeigen Ihnen in unserer Übersicht den richtigen Umgang mit Datenpannen und wie wir Sie dabei – von der Prävention bis zum Abschluss eines Meldeverfahrens – unterstützen können.

Unsere Leistungen

Datenschutzmanagement: Wir unterstützen sie beim Aufbau eines Datenschutzmanagementsystems (DMS). Dieses kann Datenpannen zwar nicht zu 100% verhindern, aber das Risiko deutlich verringern. Insbesondere ist die Implementierung von technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten unerlässlich. Wir empfehlen regelmäßige Audits, die Ihr DMS auf den Prüfstand stellen und so dessen Funktionstüchtigkeit sicherstellen.

Die Erarbeitung eines Notfallplans bei Datenpannen ist notwendiger Bestandteil des DMS. Er informiert und sensibilisiert Sie und Ihre Mitarbeiter, was im Falle einer Datenpanne zu tun ist. Nur so kann der richtige Umgang mit einer Datenpanne gewährleistet werden.

Schulung Ihrer Mitarbeiter: Die Schulung Ihrer Mitarbeiter ist Bestandteil des CMS. Wir schulen Ihre Mitarbeiter ganz nach Ihren individuellen Bedürfnissen, damit sie Datenpannen erkennen und entsprechend handeln können.

Taskforce: Bei einer potenziellen Datenpanne muss schnell gehandelt werden. Eine Taskforce aus Geschäftsführung, Datenschutzbeauftragtem und Kanzlei kann den Sachverhalt schnellstmöglich aufklären, Maßnahmen zur Behebung der Verletzung einleiten und das weitere Vorgehen besprechen.

Verletzung des Schutzes pbD: Nach dem Hinweis beurteilen wir, ob überhaupt eine Datenpanne vorliegt. Eine solche setzt voraus, dass die Sicherheit des Schutzes personenbezogener Daten verletzt ist (Art. 4 Nr. 12 DSGVO). Sind beispielsweise keine personenbezogenen Daten betroffen, liegt keine Datenpanne vor. In dieser Phase lohnt sich eine sorgsame Prüfung, ehe vorschnell eine Meldung an die Aufsichtsbehörde erfolgt.

Aufklärung / Maßnahmen: Sind personenbezogene Daten betroffen, ist eine weitere Aufklärung unumgänglich und weitere Maßnahmen zu koordinieren. Wir unterstützen Sie dabei.

Prüfung / Gutachten: Wichtig: Nicht jede Datenpanne muss gemeldet werden. Es sind ausschließlich solche Datenpannen bei der zuständigen Aufsichtsbehörde zu melden, die voraussichtlich zu einem mittleren oder hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen. Es ist dementsprechend unbedingt eine Risikoabwägung durchzuführen. Dies übernimmt die Aufsichtsbehörde nicht. Die Verantwortung liegt allein bei Ihnen. Es besteht an dieser Stelle die Chance, unliebsame Meldungen zu vermeiden. Wir können diese Prüfung für Sie übernehmen, gerne auch in Form eines Gutachtens vom Niedersächsischen Datenschutzzentrum (NDZ) der Hochschule Osnabrück.

Dokumentation: Sofern keine Meldepflicht besteht, ist die Datenpanne – mit entsprechender Risikoabwägung – in jedem Falle zu dokumentieren. So kann gegenüber der Aufsichtsbehörde nachgewiesen werden, dass auf die Datenpanne – durch die Aufklärung, rechtliche Prüfung und die Einleitung entsprechender Maßnahmen – ordnungsgemäß reagiert wurde.

Meldeverfahren: Sollte schließlich doch eine Meldepflicht festgestellt werden, können wir die Meldung sowie die weitere Kommunikation mit der Aufsichtsbehörde übernehmen bzw. entsprechende Unterstützung leisten.

Benachrichtigung Betroffener: Führt die Datenpanne zu einem hohen Risiko für die Betroffenen, sind neben der Meldung an die Aufsicht, die Betroffenen zu benachrichtigen. Auch diesbezüglich stehen wir Ihnen mit unserem Rat zur Seite.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Andere Leser interessierten sich auch für

DSGVO Update 3.0 am 03.02.2020: Der richtige Umgang mit Datenpannen / Bußgeldpraxis
„Nicht jede Datenpanne muss gemeldet werden! Vielmehr ist die Meldepflicht im Einzelfall genau zu prüfen.“ – insoweit waren sich Dr. Réne Meis (LDI NRW) und Prof. Dr. Lüdemann (NDZ HS Osnabrück) einig. Und auch sonst bestand – abgesehen von der Frage, wie lange 72 Stunden dauern – weitestgehend Konsens zwischen den Vortragenden. Kritik übte Prof. Lüdemann am neuen Konzept der Bußgeldbemessung der deutschen Aufsichtsbehörden.
Bußgeldkonzept der deutschen Aufsichtsbehörden
Anlässlich unserer alljährlichen DSGVO-Update-Veranstaltung am 3. Februar 2020 – dieses Jahr zum Thema "Datenpannen und Bußgeldpraxis“ – möchten wir in diesem Beitrag über das Bußgeldkonzept der deutschen Aufsichtsbehörden informieren, welches bei der Berechnung des Bußgelds maßgeblich an den Unternehmensumsatz anknüpft und damit die Gefahr hoher Bußgelder birgt.
Sanktions- und Haftungsrisiken durch Datenschutzaudits minimieren
Regelmäßige Audits minimieren Sanktions- und Haftungsrisiken, entlasten Geschäftsführer und Vorstände hinsichtlich der Einhaltung der Datenschutzgesetze und ermöglichen den Nachweis der Datenschutzkonformität gegenüber Aufsichtsbehörden.