Datenpannen – darüber spricht niemand gern

Datenpannen ereignen sich immer wieder und niemand spricht gerne über solche Situationen. Trotzdem gilt es für Unternehmen, sich über solche Fälle im Vorfeld Gedanken zu machen. Das Ziel ist es, den entstandenen Schaden im Falle einer Datenpanne so gut wie möglich zu beheben oder gleich von vornherein zu vermeiden.

Datenpannen sind meldepflichtig

Die Meldepflicht ist in den letzten Jahren strenger geworden, wenn es um die Datenschutzaufsichtsbehörden in diesem Zusammenhang geht. Datenpannen müssen gemeldet werden, wenn personenbezogene Daten und deren Schutz verletzt wurde oder wenn das Recht auf Freiheit, bzw. das persönliche Recht einer natürlichen Person betroffen sind.

Mittlerweile sind solche Datenpannen auch dann meldepflichtig, wenn personenbezogene Daten abhanden kommen. Bisher waren nur Bankdaten oder ähnliche betroffen. Grundsätzlich wird immer abgewogen, ob durch das Abhandenkommen der persönlichen Daten ein Risiko resultiert oder nicht. Im allgemeinen geht allerdings der Trend dahin, dass die Schwelle für solche Meldungen gesenkt wird. Ein einfaches Risiko reicht deshalb meistens aus.

Zeitnah und schnell melden

Eine solche Meldung in Bezug auf eine Datenpanne muss innerhalb von 72 Stunden nach der entstandenen Panne bekannt gegeben werden. Am besten verwenden Unternehmen dafür eine Vorlage für die Aufsichtsbehörden.

100DaysOfCode
Photo by Lewis Kang'ethe Ngugi / Unsplash

Grundsätzlich müssen Datenpannen immer ganz genau dokumentiert werden. Diese Dokumentation betrifft einerseits Informationen zur betroffenen Person, andererseits zu den IT Experten für die Massnahmen, die daraufhin ergriffen wurden. Dazu gehört natürlich auch die Bewertung des entstandenen Risikos und die bereits erfolgten Meldungen an die Betroffenen und an die Aufsichtsbehörde. Es wird angegeben, welche Massnahmen für die Zukunft gelten, damit solche Datenpannen nicht mehr entstehen und verhindert werden können.

Ein weltweites Problem

Sehr häufig werden auch ähnliche Begriffe deiner Datenpanne verwendet, diese lauten unter anderem:

  • Datenschutz Vorfall
  • Datenschutzverletzung
  • Data Breach

Grundsätzlich geht es immer darum, dass die Sicherheit der personenbezogenen Daten verletzt wurde und ein angemessener und passender Datenschutz dafür nicht mehr geboten wird. Datenpannen ereignen sich öfter, als einem Unternehmer lieb ist. Das passiert bereits, wenn eine nicht autorisierte Person zum Beispiel Daten löscht und es zu einem entsprechenden Datenverlust kommt. Ein ähnliches Beispiel ist, wenn ein Laptop gestohlen wird oder verloren geht, der nicht verschlüsselt war. Genauso verhält es sich natürlich mit einem USB Stick oder einem Smartphone. Immer noch passiert es tatsächlich, dass wichtige Papierakten im Müll landen, ohne dass diese zuvor korrekt entsorgt und geschreddert wurden.

Deshalb ist es sinnvoll, dass sich Unternehmen interne Prozesse überlegen und diese fixieren. Das sollte natürlich vor einem solchen Zwischenfall passieren, damit ein so genannter Notfallplan vorhanden ist. Dann gibt es im Falle eines Datenverlustes tatsächlich einen roten Leitfaden, an dem sich das Unternehmen orientieren kann. Auch wenn nur ein Verdacht auf eine Datenpanne vorliegt, muss dieser Vorfall der zuständigen Person unverzüglich gemeldet werden. Erst danach kann eine Abschätzung des Risikos erfolgen.