WIE REAGIERE ICH BEI EINER DATENPANNE?
Haben Sie den Datenschutzvorfall identifiziert, ist zunächst Ruhe zu bewahren und die Meldekette einzuhalten. Der erste Schritt ist, die verantwortliche Person, z. B. die Geschäftsführung sowie den Datenschutzbeauftragten (DSB) in Kenntnis über den Datenschutzvorfall zu setzen. Datenschutzvorfälle liegen zu lassen ist, wie Wäsche nicht aus der Maschine zu holen, irgendwann mieft es. Wichtig ist deshalb, den Fall unverzüglich nach Eintritt intern zu melden. Selbst wenn Sie sich nicht sicher sind, ob es ein Datenschutzvorfall ist, ist es empfehlenswert trotzdem den Prozess anzustoßen und die genaue Feststellung im Rahmen der Untersuchung zu treffen. Im nächsten Schritt bewerten Verantwortliche und DSB den Vorfall, führen eine Risikoabschätzung durch und leiten adäquate Maßnahmen ein. Die Risikoabschätzung und der Vorfall sollten dokumentiert werden. Wird festgestellt, dass der Vorfall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, ist dieser Fall bereits mit der Dokumentation abgeschlossen – er ist nicht meldepflichtig. Art. 33 und 34 DSGVO normieren diese Regelungen. Ist der Datenschutzvorfall hingegen meldepflichtig, muss dieser innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde mit den notwendigen Informationen gemeldet werden: Was ist vorgefallen, welche Datenkategorien sind betroffen, welche Personen sind betroffen, Kontaktdaten des DSB, wahrscheinliche Folgen, welche Maßnahmen getroffen werden, Zeitpunkt des Vorfalls und ob Betroffene bereits informiert wurden. Die Meldung an die zuständige Aufsichtsbehörde wird mit dem DSB abgestimmt und wird von diesem bei der Behörde eingereicht. Wichtig für alle, die gerne freitags früher gehen: Wochenende schützt vor Strafe nicht und selbst Weihnachten ist der Frist nicht heilig. Tun Sie sich und Ihrem DSB daher einen Gefallen und melden immer zeitnah.
WAS PASSIERT NACH DER MELDUNG?
Die Rückmeldung der Aufsichtsbehörde kann länger dauern, oder auch ganz ausbleiben. Im letzten Fall wurden die getroffenen Maßnahmen als ausreichend bewertet. Nach dem Datenschutzvorfall ist nicht vor dem Datenschutzvorfall. Setzen Sie daher die getroffenen Maßnahmen zeitnah um und sensibilisieren Sie Ihre Mitarbeiter, z. B. durch Schulungen der DEUDAT-Akademie gegen Phishing und Social Engineering, um das Risiko weiterer Vorfälle zu minimieren. Für Rückfragen rund um die Dokumentation und Meldung von Datenschutzvorfällen wenden Sie sich gerne an Ihren persönlichen DEUDAT-Ansprechpartner.