Datenpannen: Orientierungshilfe Meldung von Datenschutzverstößen
Digitalisierung und immer stärkere Vernetzung von IT-Systemen führen letztlich dazu, dass selbst bei ausgefeilten Sicherheitskonzepten eine Datenpanne möglich bleibt.
Dahinter müssen gar nicht immer Kriminelle stecken. Bereits ein Fehler in der Konfiguration eines Servers oder eine ungesicherte Datenleitung beim Austausch von personenbezogenen Daten können genügen.
Im Falle einer Panne, die personenbezogene Daten betrifft, sieht die Datenschutz-Grundverordnung (DSGVO) sowohl eine Meldepflicht bei der zuständigen Aufsichtsbehörde (Art. 33 DSGVO), als auch eine Benachrichtigungspflicht der Betroffenen (Art. 34 DSGVO) vor.
Allerdings: Die Datenschutz-Aufsichtsbehörde muss immer informiert werden, die betroffenen Personen nur unter bestimmten Umständen.
Eine Verletzung des Datenschutzes kann Teil einer größeren Attacke auf die eigenen IT-Systeme sein. Das setzt die IT-Experten und Verantwortlichen unter Stress, dazu kommt zusätzlich die Verunsicherung darüber, wie nun das korrekte Vorgehen gemäß der DSGVO ist.
Handreichung für öffentliche Stelle, die auch Unternehmen nutzt
In seiner Pressemitteilung zur Veröffentlichung der Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ weist der Bayerische Landesbeauftragte für den Datenschutz darauf hin, dass die bisher eingereichten Meldungen der Behörde einen guten Überblick über die Sicherheitslage des Bundeslands bringen.
Auf Basis der bisher gemachten Erfahrungen soll die Broschüre nun mehr Sicherheit im Umgang mit Datenpannen bieten.
Die Autoren hatten bei der Zusammenstellung der Hinweise zwar öffentliche Stellen, also Behörden, im Blick. Eine eingehende Lektüre zeigt aber, dass der Leitfaden zahlreiche Hinweise für die allgemeine Vorgehensweise enthält. Somit lohnt sich der Download des Dokuments auch für die Verantwortlichen und Datenschutzbeauftragten aus Unternehmen.
Dafür sorgen auch die übersichtlichen Diagramme und Schaubilder, die über die beste Vorgehensweise informieren, sobald ein Verantwortlicher eine Datenpanne entdeckt.
Schließlich geht es auch um die Bewertung eines möglichen Schadens für die Betroffenen, deren Daten möglicherweise in falsche Hände gelangen.
Die Beispiele und Erläuterungen entstammen zwar dem Alltag von Behörden. Sie lassen sich aber gut auf Unternehmen übertragen.
So spielt es im Kern keine Rolle, ob beispielsweise Handakten mit personenbezogenen Informationen einem Gemeinderatsmitglied entwendet wurden, oder ob dem Mitarbeiter eines Unternehmens Unterelagen abhanden kommen.
Die Hinweise auf das Landesrechts für die bayerische Verwaltungspraxis können Leser aus der Privatwirtschaft ignorieren. Die Leser erhalten aber sehr ausführliche und nachvollziehbare Hinweise, wie sie Risiken bewerten müssen, um daraus die entsprechenden Maßnahmen und Benachrichtigungen abzuleiten.
Laden Sie sich die Orientierungshilfe im PDF-Format von der Seite des BayLfD herunter.