Interne Prozesse zu Datenschutzvorfällen

Wer unsere Blog-Beiträge liest, erkennt, wir haben oft darüber geschrieben, was einen Datenschutzvorfall darstellt. – Nachzulesen in u. a. diesem Beitrag. – Damit einher gehen wichtige interne Prozesse zu Datenschutzvorfällen. Genau diese Prozesse in Form einer Richtlinie helfen in so manchen Fällen, einen Datenschutzverstoß zu vermeiden.

Mängel bei den internen Prozessen

Ein Datenschutzverstoß aufgrund Mängeln bei den internen Prozessen kann darin bestehen, dass ein Verantwortlicher einen zu meldenden Datenschutzverstoß zu spät oder gar nicht meldet. Die Ursachen hierfür liegen meistens wahrscheinlich daran, dass sich die Beschäftigten unsicher sind, was zu tun ist, wenn sie einen Datenschutzvorfall vermuten. Möglicherweise beginnt das Problem schon dabei, dass ein Beschäftigter nicht weiß, was die Definition eines Datenschutzvorfalles gemäß der DSGVO ist.

Datenschutzvorfall gemäß der DSGVO

Art. 4 Nr. 12 DSGVO erklärt einen Datenschutzvorfall als „[…] Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden […]“.

Inhaltliche Vorschläge für interne Prozesse

Wie die Überschrift unseres Beitrages schon erkennen lässt, ist es ratsam, interne Prozesse zu implementieren. Damit ein Verantwortlicher seiner Nachweispflicht gemäß Art. 5 Abs. 2 DSGVO nachkommen kann, ist dies schriftlich umzusetzen. Der weitere Vorteil der schriftlichen Dokumentation liegt darin, dass Beschäftigte jederzeit in dieser (erneut) nachlesen können, was sie tun müssen, wenn sie einen Datenschutzvorfall vermuten. Regelungen zu u. a. folgende Themen sind empfehlenswert:

1) Welche Personen sind im Fall eines vermuteten Datenschutzvorfalls wie zu kontaktieren? Hier kann ein Verantwortlicher beispielsweise regeln, dass zuerst eine telefonische Information an beispielsweise den Vorgesetzten, den Datenschutzbeauftragten etc. erfolgen muss. Eine zusätzliche Regelung, dass anschließend eine E-Mail mit den Informationen zum vermeintlichen Datenschutzvorfall an die jeweiligen Kontakte zu senden ist, ist ebenfalls empfehlenswert. Demnach kann es eine interne Veröffentlichung relevanter Notfallkontakte geben.

2) Unbedingt zu betonen, dass ein etwaiger Datenschutzvorfall sofort zu kommunizieren ist, sobald er wahrgenommen wird. Schließlich ist ein zu meldender Datenschutzvorfall innerhalb von 72 Stunden zu melden (Siehe Art. 33 Abs. 1 DSGVO).

3) Für die Mitarbeiter kann ein Formular, welches sie ausfüllen können, hilfreich sein, um stichpunktartig oder in welcher Weise auch immer niederzuschreiben, was sie wann und wie wahrgenommen haben, weshalb sie einen Datenschutzvorfall annehmen.

4) In der Dokumentation ist zu regeln, welche Schritte der jeweilige Beschäftigte selbst schon unternehmen kann. Demnach regelt der Verantwortliche, dass das Gerät, auf dem ein Datenschutzvorfall bemerkt wird, vom Firmennetz zu trennen ist – dies unabhängig davon, was der Grund des Datenschutzvorfalles ist.

5) Es ist klarzustellen, dass der Beschäftigte, der den Datenschutzvorfall bemerkt, nicht dafür verantwortlich ist, den Datenschutzvorfall bei der Datenschutzaufsichtsbehörde zu melden. Begründen lässt es sich damit, dass Art. 33 Abs. 1 S. 1 DSGVO sagt, dass der Verantwortliche einen zu meldenden Datenschutzvorfall bei der für ihn zuständigen Datenschutzaufsichtsbehörde meldet. Diese interne Regelung macht u. a. deswegen Sinn, da nicht jeder Datenschutzvorfall meldepflichtig ist. Eben dies muss der Verantwortliche mit den relevanten Personen des Unternehmens analysieren.

6) Wichtig ist auch, dem Beschäftigten, der einen möglichen Datenschutzvorfall erkennt, keine Schuld zuzuweisen. Schließlich kann die Ursache völlig anderer Natur sein. Wenn es zu einem Datenschutzvorfall aufgrund von Cyber-Kriminalität kommt, ist es gut möglich, dass der eigentliche Vorfall Monate zurückliegt, während die Angreifer das IT-System für den eigentlichen Angriff „vorbereitet“ haben.

Die soeben genannten, zu unternehmenden Schritte sind beispielhaft und nicht zwangsläufig vollständig. Es gilt, interne Prozesse zu Datenschutzvorfällen dem jeweiligen Unternehmen, dem Krankenhaus, der Arztpraxis, der Behörde etc. entsprechend zu regeln, zu dokumentieren und intern zur Verfügung zu stellen. Nicht zu vergessen ist die regelmäßige Sensibilisierung hierzu im Zuge von Datenschutzunterweisungen. Zusätzlich helfen regelmäßige Erwähnungen bei beispielsweise „Schulungen“ zum Datenschutz oder aufgrund eines Datenschutzvorfalles.

Auswahl bisheriger Bußgelder

2022 verhängte die Berliner Datenschutzaufsichtsbehörde gegen einen Verantwortlichen ein Bußgeld i. H. v. 4.500 Euro. In diesem Fall wurden die Corona-Testergebnisse im Normalmüll auf der Straße entsorgt. Eine Meldung dieses Datenschutzvorfalles erfolgte nicht. – Mehr dazu gibt es im Tätigkeitsbericht 2022 der Berliner Beauftragten für Datenschutz und Informationsfreiheit unter Punkt 12.2. (Link). –

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängte 2020 ein Bußgeld von 20.000 Euro. Dieses Bußgeld entstand u. a. aufgrund einer verspäteten Meldung eines Datenschutzvorfalles. – Einzelheiten hierzu können Sie im 2019-Tätigkeitsbericht unter IV.1 erfahren (Link). –

Fazit

Die Bußgelder zeigen, dass auch schon Fehler bei ggf. mangelhaften oder fehlenden Prozessen zu Datenschutzvorfällen ein empfindliches Bußgeld drohen kann. Weiterhin besteht dabei auch die Gefahr von Schadenersatzansprüchen, Rufschäden, möglichen Kundenverlusten etc.

Gern unterstützen wir Sie bei der Implementation besagter Prozesse und der Dokumentation hierzu oder auch bei einem kompletten Datenschutz-Management-System. Kontaktieren Sie uns hierzu.