Beginnen wir mit dem Wichtigsten zuerst: Ein Datenvorfall ist eine Verletzung bzw. auch bereits der Verdacht einer Verletzung des Datenschutzes oder der Datensicherheit. Ausgelöst wird er durch technisches oder menschliches Versagen. Er muss der Datenschutzbehörde innerhalb von 72 Stunden gemeldet werden!
So weit, so gut. Doch was ist ein Datenvorfall konkret und muss wirklich jeder Vorfall gemeldet werden?
Beispiele für Datenvorfälle
Ein Datenvorfall wird auch als Datenpanne, Datenleck oder Datenverlust bezeichnet. Es handelt sich um eine Situation, in der Unbefugte Kenntnis über personenbezogenen Daten erhalten haben oder erhalten haben könnten.
Neben ganz eindeutigen Datenvorfällen wie einem erfolgreichen Hackerangriff oder dem Diebstahl eines Laptops gibt es unzählige alltägliche Datenpannen, die häufig gar nicht als solche erkannt werden. Dazu zählen:
- Ein nicht gesperrter Monitor, der von Kunden oder Besuchern eingesehen werden kann.
- Ein offen geführtes Telefonat im Zug, einem Café oder einer Arztpraxis, in dem personenbezogene Daten genannt werden.
- Eine offen ausliegende Personalliste im Eingangsbereich eines Unternehmens.
- Eine im Kopierer vergessene Liste mit personenbezogenen Daten.
Von diesen Beispielen gibt es noch viele weitere. Wichtig ist, dass Mitarbeitende sensibilisiert werden, damit Datenschutzverletzungen erkannt und abgestellt werden können. Denn auch was vermeintlich unwichtig erscheint, kann massive Folgen für die betroffene Person und das Unternehmen haben.
Meldefrist: 72 Stunden
Ein Datenvorfall unterliegt grundsätzlich der Meldepflicht. Die verantwortliche Person hat 72 Stunden Zeit, den Vorfall der zuständigen Datenschutzbehörde zu melden. Die Frist beginnt in dem Moment, in dem der Vorfall erkannt wird. Das Wochenende oder Feiertage haben keine aufschiebende Wirkung, es bleiben 72 Stunden. Abhängig vom Fall ist auch die betroffene Person über den Datenvorfall zu informieren.
Ausnahme: Die Meldung an die Behörde und die betroffene Person darf entfallen, wenn eine Risikobewertung ergibt, dass lediglich ein geringes Risiko mit geringen Auswirkungen für die betroffene Person besteht. Bei der korrekten Bewertung der Situation unterstützt Sie Ihr HUBIT Datenschutzbeauftragter.
Zusammenfassung: 4 Schritte im Falle einer Datenpanne
- Datenvorfall erkennen
- Datenschutzbeauftragten unverzüglich informieren
- Risikobewertung durchführen und je nach Ergebnis:
- Datenvorfall melden oder
- Risikobewertung dokumentieren und Vorfall nicht melden
- Datenvorfall analysieren und Gegenmaßnahmen ergreifen, um Ähnliches zukünftig zu vermeiden.
HUBIT Datenschutz – Wir unterstützen bei Datenvorfällen
Die Risikobewertung ist sehr komplex und mit äußerster Sorgfalt durchzuführen. Ist das Ergebnis der Einschätzung falsch und wird der Datenvorfall der Behörde später bekannt, kann die Nicht-Meldung zu einem zusätzlichen Bußgeld für das Unternehmen führen.
Wir empfehlen unseren Mandanten, dass sie sich unverzüglich nach Bekanntwerden eines Datenvorfalls bei uns melden, damit wir möglichst viel Zeit haben, den Vorgang aufzuklären und zu beurteilen, denn auch wir können keine Fristverlängerung bewirken. Ist der Fall sehr komplex, nehmen wir zur Fristwahrung eine Vorabmeldung vor.
Kommt die Risikobewertung zu dem Ergebnis, dass der Vorfall gemeldet werden muss, übernehmen wir die Kommunikation mit der Datenschutzbehörde, um den Vorfall im Interesse unserer Mandanten zu klären.
Möchten Sie mehr über die Vorteile einer Zusammenarbeit mit HUBIT Datenschutz erfahren? Dann vereinbaren Sie einen Kennenlerntermin!