Meldepflichtiger Datenschutzvorfall: Tipps zum Vorgehen inkl. Muster

Fachbeitrag

Der Albtraum eines jeden Datenschutzbeauftragten: der möglicherweise meldepflichtige Datenschutzvorfall. Was ist zu tun und wie gehe ich damit um? Dieser Beitrag gibt Handlungsempfehlungen und zusätzlich eine Muster-Vorlage zum Download.

Was ist überhaupt ein Datenschutzvorfall?

Zu Beginn muss diese Frage geklärt sein, andernfalls ist der beste Prozess zum Umgang mit Datenschutzvorfällen unbrauchbar, da schlichtweg kein Vorfall intern gemeldet wird. Erst wenn ein einheitliches Verständnis geschaffen wurde, kann ein Prozess zum Umgang mit Datenschutzvorfällen entwickelt werden.

Lösen Sie sich bei der Festlegung des Begriffs von der Definition in Art. 4 Nr. 12 DSGVO und arbeiten Sie mit Beispielen. Folglich sind Datenschutzvorfälle Unregelmäßigkeiten in der Verarbeitung von personenbezogenen Daten, die zu einem Risiko für die Betroffenen führen. Dies kann die unbewusste Veröffentlichung von personenbezogenen Daten im Internet sein, der Zugriff nach einer Hackerattacke auf eine Datenbank, aber auch der bloße Verlust eines Laptops, eines USB-Sticks oder eines Mobiltelefons.

Wichtig ist, dass bei der Definition des Datenschutzvorfalls noch keine Bewertung der Meldeverpflichtung gegenüber Behörden oder Betroffenen vorgenommen wird, da auch nicht meldepflichtige Verstöße für die Bewertung des Datenschutzniveaus essentiell sind und ebenfalls dokumentiert werden sollten.

Reaktionsplan zur Fristwahrung

In einem zweiten Schritt muss ein Reaktionsplan zur Bewältigung von Datenpannen geschaffen werden und dieser muss im Unternehmen bekannt sein. Dabei ist es sehr wichtig, dass die Definition des Datenschutzvorfalls daraus hervorgeht und dass bestimmte Rollen konkret Mitarbeitern zugewiesen sind. Nur so kann bei einem Datenschutzvorfall ein Data Breach Incident Team gebildet werden, welches sofortige Maßnahmen ergreift und eine möglicherweise notwendige Meldung an die betroffenen Personen und/oder die Behörde vorbereitet.

Meldepflicht kennen

Die Datenschutz-Grundverordnung (DSGVO) sieht vor, dass Datenschutzverstöße in bestimmten Fällen gemeldet werden müssen. Die Verletzung des Schutzes personenbezogener Daten ist gegenüber der zuständigen Datenschutzbehörde binnen 72 Stunden zu melden, wenn aufgrund der Verletzung ein Risiko für die Rechte und Freiheiten betroffener Personen besteht. Gegenüber betroffenen Personen muss unverzüglich Meldung erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zu erwarten ist.

Hierfür ist jedoch eine Bewertung der Art und des Umfangs des Datenschutzvorfalls, sowie der damit verbundenen Risiken für betroffenen Personen notwendig. Zudem müssen weitere Informationen gemäß Art. 33, 34 DSGVO bereitgestellt werden. Diese Informationen benötigen Sie, um entscheiden zu können, ob eine Meldung gegenüber der Betroffenen und/oder der Behörde notwendig ist und um die entsprechende Meldung vorzubereiten.

Vorlage zur Abfrage der Informationen

Problematisch bei der Informationsbeschaffung ist, dass die am Verfahren beteiligten Mitarbeiter oft nicht genau wissen, welche Informationen Sie beizubringen haben, da sie zunächst die für ihren Bereich wichtigsten Informationen bereitstellen, diese aber oftmals für die Bewertung der Meldeverpflichtung zweitrangig oder gar außer Acht gelassen werden können. Beispielsweise ist dem Datenbankadministrator bei Komprimierung seiner Datenbank zunächst egal, ob darin lediglich Stammdaten von Kunden/Mitarbeitern oder zusätzlich auch Gesundheitsinformationen und/oder Bank- und Kreditkarteninformationen aufbewahrt werden. Aus datenschutzrechtlicher Sicht ist diese Unterscheidung jedoch essentiell.

Zusätzlich werden Sie das Problem haben, dass oftmals kurzfristig Meetings, ohne Protokoll, angesetzt werden, bei welchen die Themen „durchgesprochen“ werden. Bei der Bewertung des Datenschutzvorfalls sollte man jedoch auf dokumentierte Informationen zurückgreifen können und die einzelnen Teilnehmer sollten am Verfahren entsprechend schriftlich oder in Textform zuliefern.

Aus diesem Grund verwenden wir bei der Dokumentation von Datenschutzvorfällen eine Vorlage, die es uns erlaubt, die wichtigsten Informationen zu einem Datenschutzvorfall in einem Dokument zu sammeln. Sollte eine Meldeverpflichtung bestehen, enthält diese Vorlage auch Punkte, die im Schriftsatz an die Aufsichtsbehörden Eingang finden sollten.

Die Vorlage ersetzt nicht die rechtliche Bewertung des Vorfalls, noch stellt sie eine Meldung gegenüber betroffenen Personen bzw. den Datenschutzbehörden dar.

Muster-Vorlage zum Download

Da sich die Vorlage für uns bewährt hat, möchten wir diese auch Ihnen zur Verfügung stellen:

Meldeformular Datenschutzvorfall hier runterladen

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

4 Kommentare zu diesem Beitrag

  1. An wen richtet sich das Meldeformular? Soll ein Mitarbeiter damit einen Vorfall an den DSB melden? Viele Fragen kann dieser gar nicht beantworten. Name und Unterschrift könnten einer Meldung evtl hinderlich sein. Oder ist das Formular für den DSB gedacht, der den Vorfall damit an die Behörde meldet?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.