WIE REAGIERE ICH BEI EINER DATENPANNE?
Haben Sie den Datenschutzvorfall identifiziert, ist zunächst Ruhe zu bewahren und die Meldekette einzuhalten. Der erste Schritt ist, die verantwortliche Person, z. B. die Geschäftsführung sowie den Datenschutzbeauftragten (DSB) in Kenntnis über den Datenschutzvorfall zu setzen. Datenschutzvorfälle liegen zu lassen ist, wie Wäsche nicht aus der Maschine zu holen, irgendwann mieft es. Wichtig ist deshalb, den Fall unverzüglich nach Eintritt intern zu melden. Selbst wenn Sie sich nicht sicher sind, ob es ein Datenschutzvorfall ist, ist es empfehlenswert trotzdem den Prozess anzustoßen und die genaue Feststellung im Rahmen der Untersuchung zu treffen. Im nächsten Schritt bewerten Verantwortliche und DSB den Vorfall, führen eine Risikoabschätzung durch und leiten adäquate Maßnahmen ein. Die Risikoabschätzung und der Vorfall sollten dokumentiert werden. Wird festgestellt, dass der Vorfall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, ist dieser Fall bereits mit der Dokumentation abgeschlossen – er ist nicht meldepflichtig. Art. 33 und 34 DSGVO normieren diese Regelungen. Ist der Datenschutzvorfall hingegen meldepflichtig, muss dieser innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde mit den notwendigen Informationen gemeldet werden: Was ist vorgefallen, welche Datenkategorien sind betroffen, welche Personen sind betroffen, Kontaktdaten des DSB, wahrscheinliche Folgen, welche Maßnahmen getroffen werden, Zeitpunkt des Vorfalls und ob Betroffene bereits informiert wurden. Die Meldung an die zuständige Aufsichtsbehörde wird mit dem DSB abgestimmt und wird von diesem bei der Behörde eingereicht. Wichtig für alle, die gerne freitags früher gehen: Wochenende schützt vor Strafe nicht und selbst Weihnachten ist der Frist nicht heilig. Tun Sie sich und Ihrem DSB daher einen Gefallen und melden immer zeitnah.
WAS PASSIERT NACH DER MELDUNG?
Die Rückmeldung der Aufsichtsbehörde kann länger dauern, oder auch ganz ausbleiben. Im letzten Fall wurden die getroffenen Maßnahmen als ausreichend bewertet. Nach dem Datenschutzvorfall ist nicht vor dem Datenschutzvorfall. Setzen Sie daher die getroffenen Maßnahmen zeitnah um und sensibilisieren Sie Ihre Mitarbeiter, z. B. durch Schulungen der DEUDAT-Akademie gegen Phishing und Social Engineering, um das Risiko weiterer Vorfälle zu minimieren. Für Rückfragen rund um die Dokumentation und Meldung von Datenschutzvorfällen wenden Sie sich gerne an Ihren persönlichen DEUDAT-Ansprechpartner.
DEUDAT GmbH – Datenschutz und Informationssicherheit
Als inhabergeführtes Unternehmen können wir in der Geschäftsführung auf über 25 Jahre Erfahrung im Bereich Datenschutz und Informationssicherheit zurückblicken. Unser Team aus Experten und Rechtsanwälten ist darauf spezialisiert, Ihnen bei der Einführung, Umsetzung und Aufrechterhaltung eines angemessenen Datenschutzniveaus zu helfen und Sie bei sämtlichen Fragen in Sachen Datenschutz und Informationssicherheit vollumfänglich und unabhängig von der Branche, Größe oder Ausrichtung Ihres Unternehmens zu beraten.
Wir zeigen Ihnen, wie Sie die damit verbundenen Herausforderungen mit dem entsprechenden Know-how und einer geeigneten Organisationsstruktur sicher und einfach meistern – und vor allem: welche Chancen Ihnen ein professioneller Datenschutz bietet. Was bei unserer Zusammenarbeit entsteht, ist mehr als nur eine Problemlösung oder Risikominimierung. Wir entwickeln gemeinsam mit Ihnen Werkzeuge, die zu Ihrem Unternehmenserfolg beitragen und stehen Ihnen als starker Partner zur Seite.
Dabei ist unser Leitmotiv für uns maßgebend: Einfach, sicher, gut beraten.
DEUDAT GmbH
Zehntenhofstraße 5b
65201 Wiesbaden
Telefon: +49 (611) 950008-40
Telefax: +49 (611) 950008-59
http://www.deudat.de
E-Mail: philip.reichardt@deudat.de