Vorwort
Teil 4 unserer Selbsthilfeserie “Wie kriegen wir die Seiten voll?” befasst sich mit dem Vorgehen bei Datenpannen.
Ziel der Serie ist es über das bloße Teilen von Informationen hinaus zu unterstützen, indem wir Ihnen auch das Werkzeug für die praktische Umsetzung datenschutzrechtlicher Verpflichtungen zur Verfügung stellen. Wissensbibliotheken zum Datenschutz gibt es wirklich schon genug.
Auch auf unseren Social Media Kanälen wird jede Woche ein neuer Teil gepostet.
Teil 4: Vorgehen bei Datenpannen
Wie wir bereits besprochen haben, bedeutet Datenschutz für Verantwortliche einigen Aufwand. Nur wenige Menschen beschäftigen sich damit, wie ihre personenbezogenen Daten verarbeitet werden und wo kein Kläger, da kein Richter. Solange also nicht die Aufsichtsbehörde von sich aus mit einem Schreiben kommt, wird das Thema häufig ignoriert. Unschön wäre es daher aus Sicht solcher Verantwortlicher, wenn irgendwie Informationen über diese sorglose Einstellung zu Datenschutz nach außen gelangen würden. Bei einer Datenpanne ist die Gefahr jedoch hoch, dass genau das passiert.
Auch bei verantwortungsbewussteren Verantwortlichen kommen Datenschutzverletzungen allerdings immer wieder vor und lassen sich in einigen Fällen tatsächlich kaum vermeiden. Einhundertprozentige Sicherheit gibt es nicht. Wichtig ist ein Problembewusstsein, ein Plan und die regelmäßige Schulung des Personals.
Disclaimer: Dieser Beitrag stellt keine Rechtsberatung dar und erhebt keinen Anspruch auf Vollständigkeit. Auslassungen, Verkürzungen und Vereinfachungen sind beabsichtigt. Bei Unsicherheiten empfehle ich ein Gespräch mit einem Rechtsanwalt oder Datenschutzbeauftragten.
Beispielhaftes Szenario: Fehlversand einer Rechnung
Die Abteilung Kundenbetreuung schreibt eine E-Mail: Eine Rechnung wurde an den falschen Adressaten geschickt. Name, Anschrift, Kontaktdaten, bezogene Leistung, Leistungsdatum etc. sind in die falschen Hände geraten.
Was man nicht tun sollte:
Erst einmal abwarten. In dieser Situation besteht dringender Handlungsbedarf, denn wenn es sich um eine Datenpanne handelt, die der zuständigen Aufsichtsbehörde zu melden ist, muss diese Meldung „unverzüglich und möglichst binnen 72 Stunden“ erfolgen (Art. 33 Abs. 1 S. 1 DSGVO). Diese Frist beginnt zu dem Zeitpunkt, in dem der Vorfall im Unternehmen bekannt wird. Dabei ist es egal, wer es zuerst merkt – ob Kundenbetreuer oder Datenschutzjuristin, die Zeit läuft.
Was man tun sollte
Sofort prüfen, ob es sich um einen solchen Fall handelt. Das bedeutet Sachverhaltsaufklärung: Wurde die Rechnung tatsächlich an einen Dritten verschickt? An nur einen, oder vielleicht an 30 oder 300 Personen? Oder an den Ehepartner? Hat der Kunde eine abweichende Rechnungsadresse angegeben und die Rechnung ging dorthin? Ist der Kunde ein Unternehmen und die Anschrift auf der Rechnung der Unternehmenssitz? All das fließt später in eine Abwägungsentscheidung ein. Nur, wenn wir wissen, was passiert ist, können wir die Situation bewerten.
Risikoeinschätzung und Meldepflicht
Nun kommen wir zum Ergebnis, dass eine Datenschutzverletzung vorliegt. Aber ist sie auch meldepflichtig? Das ist nämlich dann nicht der Fall, wenn sie „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ (Art. 33 Abs. 1 S. 1 Hs. 2 DSGVO).
Das Risiko ist dabei das Bestehen der Möglichkeit, dass ein physischer, materieller oder immaterieller Schaden eintritt, wobei sowohl Eintrittswahrscheinlichkeit als auch die Schwere dieses Schadens zu berücksichtigen sind.
Hier muss der Verantwortliche also eine Einschätzung vornehmen:
Was ist passiert oder kann noch passieren und wie wahrscheinlich ist das?
Was kann man jetzt, wo das Kind in den Brunnen gefallen ist, noch unternehmen?
Das könnte so aussehen:
Die Rechnung ging tatsächlich an die falsche Person, diese ist ebenfalls ein Kunde. Nun sollten Name und Adresse, E-Mailadresse und ggfs. Telefonnummer zwar grundsätzlich natürlich nicht unbeteiligten Personen offengelegt werden, aber der Kunde hat Büromaterial für EUR 84,55 gekauft. Das Risiko für die Rechte und Freiheiten des Betroffenen ist wahrscheinlich gering (und auch für die des tatsächlichen Empfängers. Zur Erinnerung: Es geht um die Rechte und Freiheiten „natürlicher Personen“ und eine solche ist der Empfänger auch). Aufgrund dieser Einschätzung ist es auch nicht erforderlich, den Betroffenen über den Vorfall zu informieren. Wir finden die Ursache für den Fehlversand heraus, tun unser mögliches, damit so etwas nicht mehr vorkommt, und dokumentieren den Vorgang.
Damit schließen wir die Angelegenheit.
Variante: erhöhtes Risiko
Stellen wir jedoch ein hohes Risiko fest, müssen wir die Meldung veranlassen. Nicht innerhalb von 3 Tagen, wie oft angenommen wird, sondern unverzüglich, aber spätestens innerhalb von 3 Tagen. Reißen wir diese Frist z.B. wegen umfangreicher Sachverhaltsaufklärung, muss das gegenüber der Aufsichtsbehörde begründet werden. Man kann in diesem Fall zur Wahrung der Frist eine Vorabmeldung machen und weitere Informationen nach vollendeter Sachverhaltsaufklärung nachliefern. Alles ist zu dokumentieren, Stichwort Rechenschaftspflicht.
Die Datenschutzbehörden stellen auf ihren Internetseiten Formulare zur Verfügung, die durch den Meldevorgang führen (Bsp. Bayerisches Landesamt für Datenschutzaufsicht: https://www.lda.bayern.de/de/datenpanne.html)
Außerdem ist der betroffene Kunde zu informieren, außer in den folgenden Ausnahmefällen:
- Wir haben dafür gesorgt, dass die Daten für den tatsächlichen Empfänger nicht mehr zugänglich sind (geht in unserem Beispiel nicht).
- Wir haben Maßnahmen ergriffen, die sicherstellen, dass das hohe Risiko nicht mehr besteht (z.B. haben wir den Empfänger kontaktiert, ihn um Vernichtung der Rechnung gebeten und dieser hat glaubhaft versichert, dass er dem Folge leistet).
- Wir hätten damit einen unverhältnismäßigen Aufwand. Das wäre z.B. dann der Fall, wenn wir die Rechnung von 5.000 Kunden an falsche Adressaten geschickt hätten. In diesem Fall bliebe es uns erspart, mit allen individuell Kontakt aufzunehmen. Stattdessen können wir z.B. auf unserer Internetseite über den Vorfall informieren.
Auch wenn keine gesetzliche Verpflichtung besteht, kann man sich aber natürlich dazu entscheiden, gegenüber dem Betroffenen transparent mit dem Vorfall umzugehen. Die Information über eine Datenpanne und eine Entschuldigung zusammen mit einer Beschreibung der Maßnahmen, die zur Minimierung des Risikos im konkreten Fall sowie zur Vermeidung solcher Vorfälle in der Zukunft getroffen wurden, vermitteln: Hier nimmt jemand meine Rechte ernst. Das schafft Vertrauen und kann für den Verantwortlichen daher von Vorteil sein.
Fazit
Für Verantwortliche lassen sich Datenpannen nur handhaben, wenn sie vorbereitet sind. Die Umsetzung technischer und organisatorischer Maßnahmen (TOM) ist ein Muss. Wenn das Büro nicht verschlossen ist und der Rechner dort ohne Passwortschutz ist, muss man sich über Datenpannen nicht wundern. Allerdings kann auch unter besseren Voraussetzungen immer etwas schiefgehen. Ohne die erforderliche Sensibilität im Unternehmen wird die Person, die zuerst von dem Vorfall erfährt, nicht die erforderlichen Schritte in die Wege leiten. Ohne einen Plan wird sie nicht wissen, was die erforderlichen Schritte sind. Ohne entsprechende Schulung wird sie nichts davon auf dem Schirm haben.
Organisation ist alles.
Alle Beiträge der Reihe:
Teil 1 Datenschutzerklärung
Teil 2 Verzeichnis der Verarbeitungstätigkeiten (VVT)
Teil 3 Videoüberwachung
Sonderbeitrag 1: KI-generierte Datenschutzunterlagen
Teil 4 Vorgehen bei Datenpannen
Teil 5 Einwilligung bietet keine ultimative Sicherheit
Teil 6 Cookie-Banner
Teil 7 Auftragsverarbeitungsvertrag (AVV)
Teil 8 Vorgehen bei Betroffenenanfragen
Teil 9 Datenschutzbeauftragter (DSB)