8 Fragen zur Datenpanne, Teil 2
Der Schutz personenbezogener Daten ist eine verantwortungsvolle Aufgabe, die professionell gemanagt werden will. Und dass Unternehmen in der Pflicht sind, sensible Kundendaten zu schützen, ist nichts Neues. Mit der Einführung der Datenschutzgrundverordnung (DSGVO) sind die Anforderungen aber noch einmal gestiegen. Die Praxis zeigt, dass oft Unsicherheit besteht, wenn es darum geht, dass der Schutz von personenbezogenen Daten verletzt wurde.
In einem zweiteiligen Beitrag beantworten wir deshalb acht Fragen zum Thema. Dabei haben wir in Teil 1 erklärt, was genau eine Datenpanne ist, welche Datenpannen meldepflichtig sind und wann eine Datenpanne nicht gemeldet werden muss. Außerdem haben wir aufgezeigt, wie die Meldung einer Datenpanne zu erfolgen hat.
Hier ist Teil 2!:
-
Inhalt
Wie geht das Unternehmen bei einer Datenpanne am besten vor?
Kam es zu einer Datenpanne, bleibt dem Unternehmen nicht viel Zeit, um zu reagieren. Aus diesem Grund ist das Unternehmen gut beraten, wenn es über einen Reaktionsplan verfügt, den es direkt anwenden kann.
Gibt es im Unternehmen keinen Datenschutzbeauftragten, sollte es sich bei einem Zwischenfall an den Landesbeauftragten wenden, der für Datenschutz zuständig ist.
Zusammen mit dem Datenschutzbeauftragten sollte das Unternehmen Maßnahmen definieren, die im Fall einer Datenschutzverletzung zur Anwendung kommen. Ein interner Plan für Datenpannen stellt sicher, dass das Unternehmen handlungsfähig bleibt, die Risiken zügig analysieren und entsprechende Schutzmaßnahmen einleiten kann.
Ein Reaktionsplan kann in etwa so aussehen:
-
Umgehende Kontaktaufnahme mit dem Datenschutzbeauftragten: Er kann bei der Einschätzung der Risiken und dem Einleiten der nächsten Schritte helfen.
-
Prüfen der Datenschutzverletzung: Nicht jede Datenpanne löst eine Meldepflicht aus. Daher muss das Unternehmen das Risiko für die betroffenen Personen analysieren und bewerten. Dabei spielt eine Rolle, wer die Betroffenen sind und um welche Daten es geht. Außerdem muss das Unternehmen prüfen, welche Risiken drohen, wie wahrscheinlich ein Eintritt dieser Risiken ist und welche Schäden daraus entstehen können.
-
Ergreifen von Gegenmaßnahmen: Sind zum Beispiel fehlerhafte Verarbeitungsprozesse oder Datenlecks aufgetaucht, müssen diese sofort behoben werden. Daneben sollte das Unternehmen alle Schritte einleiten, die die Risiken und die Schäden möglichst gering halten. Dazu kann zum Beispiel gehören, die internen Passwörter zu ändern.
-
Info an Betroffene: Besteht durch die Datenpanne ein hohes Risiko, dass die Rechte der betroffenen Personen verletzt werden könnten, müssen diese informiert werden.
-
Meldung der Datenpanne: Ist das Risiko für die betroffenen Personen mehr als gering, muss das Unternehmen melden, dass der Schutz personenbezogener Daten verletzt wurde. Die Meldung an die zuständige Aufsichtsbehörde muss innerhalb von 72 Stunden erfolgen.
-
Einrichten von Präventivmaßnahmen: Haben Sicherheitslücken oder strukturelle Fehler die Datenpanne begünstigt, müssen diese natürlich abgestellt werden. Generell sollte das Unternehmen prüfen, welche Maßnahmen den Datenschutz optimieren können.
Auch wenn das Unternehmen nicht dazu verpflichtet ist, einen Datenschutzbeauftragten zu ernennen, ist es sinnvoll, einen festen Ansprechpartner für Fragen rund um den Datenschutz zu bestimmen.
Denn das Datenschutzmanagement lässt sich so leichter umsetzen. Regelmäßige Weiterbildungen stellen sicher, dass die dafür notwendigen Qualifikationen vorhanden sind.
-
Welche Bußgelder drohen bei einer Datenpanne?
Meldet das Unternehmen eine Datenpanne, wird die Aufsichtsbehörde in aller Regel Zusatzinformationen anfordern. Mit welchen rechtlichen Folgen das Unternehmen rechnen muss, ist nicht einheitlich geregelt.
Denn dafür ist die Bandbreite an möglichen Datenschutzverletzungen und ihrer rechtlichen Bewertung viel zu groß. Daher wird die Aufsichtsbehörde letztlich im Einzelfall entscheiden.
Generell wichtig ist, dass das Unternehmen mit der Aufsichtsbehörde zusammenarbeitet. Das betrifft insbesondere den Datenschutzbeauftragten, der gemäß DSGVO der Ansprechpartner für die Behörde ist.
Zur Zusammenarbeit gehört in erster Linie, dass das Unternehmen alle relevanten Informationen zum Vorfall unverzüglich und von sich aus bereitstellt.
Verstöße gegen die Pflichten aus der Datenschutzgrundverordnung können gemäß Art. 83 Abs. 4 DSGVO mit Bußgeldern bis 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes geahndet werden. Wie hoch das Bußgeld tatsächlich wird, richtet sich nach den Umständen im Einzelfall.
Zusätzlich zu Bußgeldern können Schadensersatzansprüche der Betroffenen fällig werden. Denn Art. 82 Abs. 1 DSGVO räumt jeder Person, der infolge eines Verstoßes gegen die DSGVO-Bestimmungen ein Schaden entstanden ist, den Anspruch auf Schadensersatz ein.
-
Welche Folgen kann eine Datenpanne noch haben?
Geraten vertrauliche und sensible Kundendaten in fremde Hände, droht dem Unternehmen immer auch ein Imageschaden. Denn Kunden und Geschäftspartner zeigen an dieser Stelle üblicherweise wenig Verständnis.
Kommt dann noch ans Licht, dass das Unternehmen seine Meldepflicht nur halbherzig umgesetzt oder sogar komplett missachtet hat, können Kunden und Partner das Vertrauen verlieren.
Das Unternehmen sollte daher bei der Einschätzung einer Datenpanne den fachlichen Rat eines kompetenten und erfahrenen Datenschutzbeauftragten einholen.
-
Wie teuer kann eine Datenschutzverletzung insgesamt werden?
Die Gesamtkosten einer Datenpanne lassen sich pauschal nicht beziffern. Ob und in welcher Höhe Bußgelder verhängt werden, richtet sich nach den Umständen im Einzelfall. Auch mögliche Schadensersatzansprüche können sehr unterschiedlich ausfallen.
Dazu kommt, dass ein Imageschaden und ein Vertrauensverlust von Kunden und Geschäftspartnern einem Unternehmen schwer zusetzen können. Und es kann lange dauern, bis sich das Unternehmen von solchen Folgen erholt hat.
Gelingt es nicht, das Vertrauen wiederzugewinnen, kann die Situation existenzbedrohend werden. Dem Datenschutz viel Aufmerksamkeit zu widmen und die hier notwendigen Investitionen zu tätigen, ist deshalb Pflicht und zahlt sich am Ende garantiert aus.
-
Wer haftet bei einer Datenpanne?
Bei Verstößen gegen die Bestimmungen zum Datenschutz haftet grundsätzlich derjenige, der dafür verantwortlich ist. Unter Umständen kann der Datenschutzbeauftragte gegenüber dem Unternehmen haftbar sein.
Das ist zum Beispiel der Fall, wenn Schäden entstanden sind, weil der Datenschutzbeauftragte seinen Überwachungspflichten nicht gerecht geworden ist. Ernennt das Unternehmen einen seiner Mitarbeiter zum Datenschutzbeauftragten, müssen aber die Grundsätze der beschränkten Arbeitnehmerhaftung berücksichtigt werden.
Beauftragt das Unternehmen einen externen Datenschutzbeauftragten, sieht es anders aus. Ihn kann das Unternehmen in voller Höhe für Beratungsfehler oder eine mangelhafte Erfüllung seiner Pflichten haftbar machen. Aus diesem Grund schließt ein externer Berater in aller Regel eine Versicherung mit einer entsprechenden Deckungssumme ab.
Mehr Ratgeber, Tipps und Anleitungen:
- 8 Fragen zur Datenpanne, Teil 1
- Was ist eine permissioned Blockchain? Teil 2
- Was ist eine permissioned Blockchain? Teil 1
- Ein Überblick zu Malware, Teil III
- Ein Überblick zu Malware, Teil II
- Ein Überblick zu Malware, Teil I
- Das digitale Erbe frühzeitig regeln – Infos und Tipps
- Das ändert sich 2022 im Online-Handel
Thema: 8 Fragen zur Datenpanne, Teil 2
Übersicht:
Fachartikel
Verzeichnis
Über uns
- Woran erkenne ich einen Fake-Shop? - 8. Oktober 2024
- Was bedeutet das neue KI-Gesetz in der Praxis? - 10. September 2024
- Vorsicht vor Clickbait-PDFs! - 8. August 2024