Im Zuge der Informationspflichten bei Datenpannen, die sich aus § 42a Bundesdatenschutzgesetz (BDSG) ergeben, müssen Organisationen Datenpannen melden. Im Datenschutz ist die Rede von einer Datenpanne, wenn sich Dritte unbefugt Zugriff auf personenbezogene Daten verschafft haben, dabei spielt es keine Rolle, ob die Datenpanne durch einen Hackerangriff, einen verlorenen Datenträger oder auf einem anderen Weg verursacht wurde.
Von Datenpannen waren bereits zahlreiche Organisationen, wie zum Beispiel Unternehmen sämtlicher Branchen, aber auch Behörden und Vereine, betroffen. Zuletzt hörte man unter anderem von der Datenpanne, die bei der Plattform „BlaBlaCar“ identifiziert wurde, dabei seien eine Vielzahl an personenbezogenen Daten, wie E-Mail-Adressen, IBAN- und Kontonummern, gestohlen worden.
Informationspflichten bei Datenpannen
Das Datenschutzrecht sieht bestimmte Maßnahmen vor, die bei einer sogenannten Datenpanne bzw. bei einem Datenverlust zu ergreifen sind. Gelangen personenbezogene Daten an Unbefugte, so ist die verantwortliche Stelle laut § 42a BDSG dazu verpflichtet, Betroffene und die Aufsichtsbehörde über den Datenverlust zu informieren. Dieser Informationspflicht muss vor allem bei besonderen Arten personenbezogener Daten, wie zum Beispiel Gesundheitsdaten, sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Aus diesem Grund sollte eine verantwortliche Stelle, wenn sie eine Datenpanne feststellt, – sofern vorhanden – den internen / externen Datenschutzbeauftragten unverzüglich einschalten. Der Datenschutzbeauftragte sollte prüfen, auf welche Daten der unbefugte Zugriff stattgefunden hat und welcher Personenkreis betroffen ist. Das Worst-Case-Szenario dürfte, wie in dem aktuellen Vorfall bei BlaBlaCar eingetroffen, sein, dass der betroffene Personenkreis sehr groß ist und unter anderem personenbezogene Bankdaten gestohlen wurden. In solchen Fällen sieht § 42a BDSG vor, dass über die Datenpanne in mindestens zwei bundesweit erscheinenden Zeitungen informiert wird oder eine andere Maßnahme ergriffen werden soll, die in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleichgestellt werden kann. Neben Bußgeldern droht verantwortlichen Stellen bei einer Datenpanne ein erheblicher Imageverlust. Aus diesem Grund sollten verantwortliche Stellen Maßnahmen treffen, um Datenpannen vorzubeugen und die Eintrittswahrscheinlichkeit zu reduzieren.
Prävention statt Datenpanne – Maßnahmen zum Schutz vor Datenpannen
Unternehmen, Vereine, Behörden und auch alle übrigen verantwortlichen Stellen sollten, sofern sie personenbezogene Daten erheben, verarbeiten und nutzen, Maßnahmen ergreifen, um diese Informationen über Menschen zu schützen. Ein positiver Nebeneffekt, der sich aus dem Schutz personenbezogener Daten ergibt, ist der Schutz von weiteren sensiblen Daten, wie zum Beispiel Betriebsgeheimnissen. Neben den technischen und organisatorischen Maßnahmen, die im Bundesdatenschutzgesetz in § 9 und in der Anlage zu § 9 Satz 1 erläutert werden, können verantwortliche Stellen weitere Mittel ergreifen. Zum einem empfiehlt es sich einen Datenschutzbeauftragten zu bestellen. Der Datenschutzbeauftragte wirkt auf die Einhaltung des Datenschutzes hin, dabei zeigt er verantwortlichen Stellen Schwachpunkte auf und empfiehlt Maßnahmen, die zur einer Verbesserung beitragen.
Typische Themenfelder, bei denen Sie ein interner / externer Datenschutzbeauftragter zum Schutz von personenbezogenen Daten unterstützen kann, sind z. B.:
- Betriebsvereinbarungen / Richtlinien / Dienstvereinbarungen
- Entwicklung / Bekanntmachung von hausinternen Datenschutzrichtlinien und damit verbundene Sensibilisierung von Mitarbeitern (Datenschutz-Schulung)
- Beratung von Mitarbeitern, dem Betriebsrat/Personalrat/Mitarbeitervertretungen zu Datenschutzfragen
- Risikoanalyse und Bewertung von Verfahren zur Datenverarbeitung
- Durchführung von Datenschutz-Kontrollen
- Prüfung von Dienstleistern
- Beratung und Kontrolle der gesetzeskonformen Aufbewahrung und Vernichtung von Akten und Datenträgern