Prävention statt Datenpanne – Bußgelder, Imageverlust und Informationspflichten bei Datenpannen gemäß § 42a BDSG

Datenpanne

Im Zuge der Informationspflichten bei Datenpannen, die sich aus § 42a Bundesdatenschutzgesetz (BDSG) ergeben, müssen Organisationen Datenpannen melden. Im Datenschutz ist die Rede von einer Datenpanne, wenn sich Dritte unbefugt Zugriff auf personenbezogene Daten verschafft haben, dabei spielt es keine Rolle, ob die Datenpanne durch einen Hackerangriff, einen verlorenen Datenträger oder auf einem anderen Weg verursacht wurde.

Von Datenpannen waren bereits zahlreiche Organisationen, wie zum Beispiel Unternehmen sämtlicher Branchen, aber auch Behörden und Vereine, betroffen. Zuletzt hörte man unter anderem von der Datenpanne, die bei der Plattform „BlaBlaCar“ identifiziert wurde, dabei seien eine Vielzahl an personenbezogenen Daten, wie E-Mail-Adressen, IBAN- und Kontonummern, gestohlen worden.

Ihr externer Datenschutzbeauftragter erklärt, welche Maßnahmen verantwortliche Stellen, wie Unternehmen oder Behörden, ergreifen können, um sich vor Datenpannen zu schützen und erklärt, welche Informationspflichten bei Datenpannen beachtet werden sollten.

Informationspflichten bei Datenpannen

Informationspflichten bei DatenpannenDas Datenschutzrecht sieht bestimmte Maßnahmen vor, die bei einer sogenannten Datenpanne bzw. bei einem Datenverlust zu ergreifen sind. Gelangen personenbezogene Daten an Unbefugte, so ist die verantwortliche Stelle laut § 42a BDSG dazu verpflichtet, Betroffene und die Aufsichtsbehörde über den Datenverlust zu informieren. Dieser Informationspflicht muss vor allem bei besonderen Arten personenbezogener Daten, wie zum Beispiel Gesundheitsdaten, sowie bei personenbezogenen Daten zu Bank- und Kreditkonten nachgegangen werden. Aus diesem Grund sollte eine verantwortliche Stelle, wenn sie eine Datenpanne feststellt, – sofern vorhanden – den internen / externen Datenschutzbeauftragten unverzüglich einschalten. Der Datenschutzbeauftragte sollte prüfen, auf welche Daten der unbefugte Zugriff stattgefunden hat und welcher Personenkreis betroffen ist. Das Worst-Case-Szenario dürfte, wie in dem aktuellen Vorfall bei BlaBlaCar eingetroffen, sein, dass der betroffene Personenkreis sehr groß ist und unter anderem personenbezogene Bankdaten gestohlen wurden. In solchen Fällen sieht § 42a BDSG vor, dass über die Datenpanne in mindestens zwei bundesweit erscheinenden Zeitungen informiert wird oder eine andere Maßnahme ergriffen werden soll, die in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleichgestellt werden kann. Neben Bußgeldern droht verantwortlichen Stellen bei einer Datenpanne ein erheblicher Imageverlust. Aus diesem Grund sollten verantwortliche Stellen Maßnahmen treffen, um Datenpannen vorzubeugen und die Eintrittswahrscheinlichkeit zu reduzieren.

Prävention statt Datenpanne – Maßnahmen zum Schutz vor Datenpannen

Unternehmen, Vereine, Behörden und auch alle übrigen verantwortlichen Stellen sollten, sofern sie personenbezogene Daten erheben, verarbeiten und nutzen, Maßnahmen ergreifen, um diese Informationen über Menschen zu schützen. Ein positiver Nebeneffekt, der sich aus dem Schutz personenbezogener Daten ergibt, ist der Schutz von weiteren sensiblen Daten, wie zum Beispiel Betriebsgeheimnissen. Neben den technischen und organisatorischen Maßnahmen, die im Bundesdatenschutzgesetz in § 9 und in der Anlage zu § 9 Satz 1 erläutert werden, können verantwortliche Stellen weitere Mittel ergreifen. Zum einem empfiehlt es sich einen Datenschutzbeauftragten (interner / externer Datenschutzbeauftragter) zu bestellen. Der Datenschutzbeauftragte wirkt auf die Einhaltung des Datenschutzes hin, dabei zeigt er verantwortlichen Stellen Schwachpunkte auf und empfiehlt Maßnahmen, die zur einer Verbesserung beitragen.

Typische Themenfelder, bei denen Sie ein interner / externer Datenschutzbeauftragter zum Schutz von personenbezogenen Daten unterstützen kann, sind z. B.:

  • Betriebsvereinbarungen / Richtlinien / Dienstvereinbarungen
  • Entwicklung / Bekanntmachung von hausinternen Datenschutzrichtlinien und damit verbundene Sensibilisierung von Mitarbeitern (Datenschutz-Schulung)
  • Beratung von Mitarbeitern, dem Betriebsrat/Personalrat/Mitarbeitervertretungen zu Datenschutzfragen
  • Risikoanalyse und Bewertung von Verfahren zur Datenverarbeitung
  • Durchführung von Datenschutz-Kontrollen
  • Prüfung von Dienstleistern
  • Beratung und Kontrolle der gesetzeskonformen Aufbewahrung und Vernichtung von Akten und Datenträgern

Möchten Sie mehr zu den Informationspflichten bei Datenpannen oder über mögliche Maßnahmen zum Schutz vor Datenpannen erfahren? Dann holen Sie sich gerne ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie gerne direkt Kontakt mit uns auf.

Besetzen Sie die Funktion des Datenschutzbeauftragten extern oder sorgen Sie für eine zielgerichtete Beratung Ihres internen Datenschutzbeauftragten durch einen Datenschutz-Berater. Die Datenschutzberatung setzt genau dort an, wo Ihr interner Datenschutzbeauftragter Unterstützung benötigt.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen in