In unserem Beitrag: „Datenvorfall, was ist damit gemeint?“, haben wir Ihnen eine Definition und Beispiele aus der alltäglichen Praxis genannt, um Sie für das Thema Datensicherheit in Ihrem Unternehmen zu sensibilisieren. Das Ziel ist, Datenvorfälle möglichst zu vermeiden. Doch Fehler passieren – aufgrund eines technischen Vorfalls oder durch menschliches Versagen, deshalb ist es nicht unwahrscheinlich, dass es im Laufe der Zeit eine Datenpanne in Ihrem Unternehmen geben wird. In diesem Artikel haben wir die wichtigsten Informationen zur Meldepflicht von Datenvorfällen für Sie zusammengefasst. Für eine bestmögliche Lösung des konkreten Falls empfehlen wir Ihnen allerdings, einen Datenschutzbeauftragten hinzuzuziehen.
Zügiges Handeln ist erforderlich
Ein Datenvorfall unterliegt grundsätzlich der Meldepflicht. Die verantwortliche Person hat 72 Stunden nach Kenntnisnahme des Vorfalls Zeit, diesen der zuständigen Datenschutzbehörde zu melden. Abhängig vom Fall ist auch die betroffene Person zu informieren. Das Wochenende oder Feiertage haben übrigens keine aufschiebende Wirkung, es bleiben 72 Stunden. Die Meldung an die Behörde darf nur entfallen, wenn eine Risikoabwägung ergibt, dass voraussichtlich kein Risiko für die betroffene Person entsteht.
Die Risikoabwägung
Um beurteilen zu können, ob eine Datenpanne negative Auswirkungen für die betroffene Person haben könnte, ist eine Risikoabwägung durchzuführen. Hierbei wird zunächst jeglicher mögliche Schaden bestimmt, der durch den Datenvorfall entstehen könnte wie zum Beispiel Diskriminierung, Identitätsdiebstahl oder finanzieller Schaden. Im zweiten Schritt erfolgt eine Abschätzung, wie wahrscheinlich es ist, dass der Schaden eintritt und wie schwer der mögliche Schaden konkret wäre. Im dritten Schritt wird jedes Risiko einem Risikobereich zugeordnet. Nur wenn jedes mögliche Risiko als „geringes Risiko“ bewertet wird, kann eine Meldung ausbleiben – sowohl an die Behörde als auch an die betroffene Person.
HUBIT Datenschutz unterstützt Sie bei Datenvorfällen
Die Risikoabwägung ist sehr komplex und mit äußerster Sorgfalt durchzuführen. Kommt das Unternehmen zu einer falschen Einschätzung und der Datenvorfall wird der Behörde später bekannt, hat die Nicht-Meldung bei der Beurteilung durch die Behörde zusätzliche negative Auswirkungen. Sie sollten sich daher unverzüglich nach Bekanntwerden des Datenvorfalls mit uns in Verbindung setzen, damit wir möglichst viel Zeit haben, den Vorgang aufzuklären und zu beurteilen. Außerdem übernehmen wir die Kommunikation mit der Datenschutzbehörde, um den Vorfall in Ihrem Interesse zu klären. Es geht darum, so viel wie nötig und so wenig wie möglich zu sagen, um keine zusätzlichen Fragen aufkommen zu lassen. Ist der Fall sehr komplex, können wir zudem zur Fristwahrung eine Vorabmeldung vornehmen.
Lassen Sie sich am besten bereits jetzt von uns beraten, damit wir im Fall der Fälle mit Ihrem Unternehmen vertraut sind.