1. Home>
  2. Blog>
  3. Arbeitsrecht>
Datenschutzpanne - Definition & Beispiele

Tipps: 5 Maßnahmen bei einer Datenschutzverletzung

Datenschutzverletzung: Definition, Beispiele und Pflichten

Eine Datenschutzverletzung kann leichter passieren als gedacht. Doch was ist dann zu unternehmen? Vor allem schnelles und unverzĂŒgliches Handeln ist wichtig. Wir stellen fĂŒnf Maßnahmen bei einer Datenpanne vor.

Zeitfenster beachten

Laut §33 DSGVO (Datenschutz-Grundverordnung) muss eine Datenpanne der zustĂ€ndigen Aufsichtsbehörde sowohl unverzĂŒglich als auch binnen 72 Stunden gemeldet werden.

Ist eine Meldung nicht innerhalb von diesem Zeitrahmen möglich, muss eine schriftliche ErklĂ€rung erfolgen. Doch ist eine Meldung immer erforderlich? Dazu mehr in Maßnahme drei.

Maßnahme #1: sofortiges Handeln

Erfolgt eine Datenschutzpanne können, entsprechend der Verletzung, sofortige Erste-Hilfe-Maßnahmen eingeleitet werden.

Dazu zwei Beispiele aus der Praxis:

  1. Installation einer Schadsoftware > Sofort die zustÀndige IT-Abteilung kontaktieren und den Computer vom Internet trennen.
  2. Dokumente weggeworden ohne diese zu schreddern > Dokumente wieder einsammeln und ordnungsgemĂ€ĂŸ vernichten

Maßnahme #2: Meldung an den Datenschutzbeauftragen

Tritt eine Datenschutzverletzung auf, mĂŒssen die Verantwortlichen in dem Unternehmen oder Verein unverzĂŒglich informiert werden. Außerdem muss der Datenschutzbeauftrage eine Meldung ĂŒber die Datenpanne erhalten.

Die Verantwortlichen entscheiden anschließend darĂŒber, welche weiteren Maßnahmen umgesetzt werden mĂŒssen. Das ist abhĂ€ngig von dem potenziellen Schaden der Datenpanne.

Maßnahme #3: Aufsichtsbehörden informieren

Die zustĂ€ndigen Aufsichtsbehörden mĂŒssen informiert werden, wenn die folgende Voraussetzung erfĂŒllt ist: Wenn die Datenschutzverletzung ein Risiko fĂŒr den*ie Betroffene*en darstellt.

Dann mĂŒssen die oben genannten Zeitfenster berĂŒcksichtigt werden. Doch was gilt als Risiko?

Das Risiko bezieht sich nicht auf das Unternehmen sondern auf den*ie Betroffenen*e. Mögliche Risiken sind beispielsweise:

  • Verlust des Arbeitsplatzes
  • Mögliche Diskriminierung
  • Finanzielle Einbußen

Die Meldung an die Aufsichtsbehörde sollte laut §33 DSGVO mindestens folgende Informationen beinhalten:

  1. Art der Verletzung
  2. Welche Daten sind betroffen
  3. UngefÀhre Anzahl der betroffenen Personen
  4. Namen und Kontaktdaten des Datenschutzbeauftragten
  5. Mögliche Folgen der Verletzung
  6. Geplante oder bereits getroffene Maßnahmen zur Behebung der Verletzung

Maßnahme #4: Betroffenen*e informieren

Nicht nur die zustĂ€ndigen Aufsichtsbehörden sollten informiert werden. Das gilt ebenfalls fĂŒr die betroffenen Personen.

Ob eine betroffene Person informiert werden muss, ist zunĂ€chst eine RisikoabwĂ€gung vorzunehmen. Stellt die Datenschutzpanne ein hohes Risiko dar, muss die betroffene Person benachrichtigt werden. Bei der AbwĂ€gung können die Aufsichtsbehörden unterstĂŒtzen.

Maßnahme #5: transparente und umfassende Dokumentation

Punkt 5 von §33 DSGVO weist nochmal explizit auf die sogenannte Dokumentationspflicht hin. Die*er Datenschutz-Verantwortliche hat die Aufgabe, folgende Informationen lĂŒckenlos zu dokumentieren:

  1. Verletzungen des Schutzes personenbezogener Daten
  2. Alle damit im Zusammenhang stehenden:
    1. Fakten
    2. Auswirkungen
    3. Ergriffenen Abwehrmaßnahmen

Ziel der Dokumentation ist, dass zum einen eine lĂŒckenlosen Nachverfolgung durch die Behörde. Zum anderen als BegrĂŒndung warum eine Meldung an die Behöre nicht erfolgte.

Wichtig: Die Dokumentationspflicht greift immer, unabhÀngig davon ob die Datenschutzverletzung meldepflichtig war oder nicht.

    Datenpanne? Was ist zu tun.

      Jetzt zum Seminar anmelden

      Christoph Mers

      Online Content Manager