Eine Verletzung des Datenschutzes „beichten“ zu müssen, ist immer unangenehm. Jeder weiß, dass es Folgen haben kann, im schlimmsten Fall auch arbeitsrechtliche. Deshalb schweigen manche lieber. Doch Vorsicht! Das Verschweigen einer Datenpanne kann alles noch viel schlimmer machen.
Der verschwundene Laptop
Ein Laptop mit Kundendaten ist weg. Wahrscheinlich blieb er vor ein paar Tagen schlicht im Zug liegen. Das Gerät ist schon fünf Jahre alt und wurde nur noch ausnahmsweise benutzt. Also vermisst es niemand wirklich. Und die Kundendaten sind im EDV-System natürlich noch vorhanden. Da wird auch keiner misstrauisch. Also lieber mal einfach nichts sagen nach dem Motto „wird schon gut gehen“? Das ist keine gute Idee.
Meldepflicht gegenüber der Datenschutzaufsicht
Unternehmen müssen jede „Verletzung des Schutzes personenbezogener Daten“ der Datenschutzaufsicht melden. So regelt es Art. 33 DSGVO. Diese Meldepflicht ist in keiner Weise eingeschränkt. Das bedeutet: Der Verlust eines Laptops mit personenbezogenen Daten muss der Aufsicht in jedem Fall gemeldet werden. Dies gilt auch dann, wenn die Daten verschlüsselt waren. Das hat seinen Sinn. Denn wer weiß, ob die Verschlüsselung wirklich so gut ist, wie alle im Unternehmen glauben? Die Datenschutzaufsicht sieht das möglicherweise ganz anders.
Sehr knappe Meldefrist von 72 Stunden
Das Brisante dabei: Bei der Meldung an die Datenschutzaufsicht ist eine Frist von 72 Stunden zu beachten. Wird sie grundlos überschritten, droht dem Unternehmen schon deshalb ein Bußgeld. Ausreden von der Art „Unser Mitarbeiter hat uns die Panne intern nicht verraten“ gelten dabei nicht. Die Antwort darauf wäre: „Dann bringen Sie Ihren Mitarbeitern eben bei, dass Datenpannen gleich zu melden sind.“ Wird die Frist versäumt, kann die Aufsicht gegen das Unternehmen eine Geldbuße verhängen.
Online-Formulare für die Meldung einer Schutzverletzung
Alle Aufsichtsbehörden stellen auf ihren Homepages Online-Formulare zur Verfügung, mit denen Unternehmen Schutzverletzungen melden können. Das hat sich bewährt und hilft vor allem auch dabei, die kurze Meldefrist von 72 Stunden zuverlässig einzuhalten. Solche Meldungen sind keine gesetzliche Aufgabe der betrieblichen Datenschutzbeauftragten. Nur wenn ihnen diese Aufgabe besonders zugewiesen wurde, müssen sie sich darum kümmern.
Ausnahme: Benachrichtigung der Betroffenen
Ob den betroffenen Personen, um deren Daten es geht, „etwas passieren“ kann, spielt bei der Meldepflicht gegenüber der Aufsichtsbehörde keine Rolle. Dieser Aspekt wird erst wichtig, wenn es um die Benachrichtigung der Betroffenen geht. Diese Benachrichtigung ist in der DSGVO gesondert geregelt (Art. 34 DSGVO). Demnach müssen Betroffenen nur dann benachrichtigt werden, wenn ihnen „voraussichtlich ein hohes Risiko droht“. Hier gilt also ein völlig anderer Maßstab als bei der Benachrichtigung der Aufsichtsbehörde.
Am Beispiel des verschlüsselten Laptops wird wieder deutlich, was das bedeutet: Sind die Daten auf dem Laptop nach dem Stand der Technik verschlüsselt, droht kein hohes Risiko, wenn er Unbefugten in die Hände gerät. Die Folge: Die Betroffenen müssen nicht benachrichtigt werden. Daten auf mobilen Datenträgern zu verschlüsseln, „lohnt“ sich also für Unternehmen! Es erspart ihnen im Ernstfall die Benachrichtigung der Betroffenen.
Die Spielregeln der DSGVO im Überblick
- Die Spielregeln für den Umgang mit Datenpannen lassen sich so zusammenfassen:
- Jeder Mitarbeiter, dem eine Datenpanne unterläuft, muss möglichst sofort seine Vorgesetzten einschalten
- Nur so lässt sich vermeiden, dass dem Unternehmen ein teures Bußgeldverfahren droht.
- Meldungen von Unternehmen an die Datenschutzaufsicht müssen bei Datenpannen ausnahmslos erfolgen.
- Für diese Meldungen gilt eine Frist von 72 Stunden! Sie lässt sich nur einhalten, wenn jeder Mitarbeiter Pannen sofort intern meldet. Sonntage und Feiertage verlängern sie nicht.
- Eine Meldung an die Datenschutzaufsicht hat für sich allein noch keine negativen Konsequenzen. Es kann aber natürlich vorkommen, dass die Datenschutzaufsicht nachfragt, was eigentlich genau passiert ist.
- Eine Meldung an die Datenschutzaufsicht führt nicht automatisch dazu, dass die Betroffenen über die Datenpanne benachrichtigt werden.
- Eine solche Benachrichtigung der Betroffenen ist an enge Voraussetzungen geknüpft.
- Die Benachrichtigung der Betroffenen lässt sich in der Regel vermeiden, wenn die Daten verschlüsselt sind.