Notebook geklaut – Handy weg
Eine 100prozentige Sicherheit gibt es nirgends. Auch nicht im Datenschutz. Fehler passieren, Datenpannen eben auch.
Das Firmenhandy ist verschwunden, das Notebook geklaut. Auf beiden waren zumindest Kontaktdaten. Wenn nicht noch mehr personenbezogene Daten.
Oder im Büro wurde eingebrochen. Dokumente mit Namen und Adressen, Geburtsdatum oder Schuhgröße aus einem verschlossenen Schreibtisch wurden entwendet. Vielleicht hat jemand Daten aus der Datenbank auf seinen USB-Stick gezogen. Obwohl wir uns ordnungsgemäß abgemeldet und alle Systeme heruntergefahren haben. Oder ein Hacker hat sich gleich von außen Zugang zum Server verschafft.
Der erste Schritt: Datenpanne dem Chef melden
Der erste Schritt:
Die Datenpanne dem Vorgesetzten melden: „Chef, da ist etwas passiert.“
Der Datenschutzbeauftragte weiß, was zu tun ist
Der meldet den Vorfall innerhalb 24 Stunden dem Datenschutzbeauftragten und der prüft, ob Personenrechte verletzt wurden und entscheidet, was weiter zu tun ist.
Jede Panne ist innerhalb 72 Stunden der zuständigen Aufsichtsbehörde zu melden, wenn Personenrechte verletzt werden
Sobald Personenrechte verletzt werden, muss jede Datenpanne,
- jeder Datenschutzverstoß und
- jede Datenschutzverletzung
jede Panne innerhalb 72 Stunden der zuständige Aufsichtsbehörde gemeldet werden.
Wer keinen Datenschutzbeauftragten hat, sollte sicherheitshalber jeden Vorfall innerhalb 72 Stunden der zuständigen Datenschutzbehörde melden.
Nachweispflicht, dass man alles getan hat, die Datenpanne zu vermeiden
Wenn man nachweisen kann, dass man alles getan hat, um Datenpannen zu vermeiden und es trotzdem geschieht, passiert gar nichts.
Wer das nicht nachweisen kann oder die Datenschutzverletzung nicht rechtzeitig gemeldet hat, muss unter Umständen mit empfindlichen Bußgeldern rechnen.
Datenpannen passieren
Dass der Verstoß – und sei er noch so klein – von anderen angezeigt wird, passiert leider immer wieder. Von Leuten, die genau deshalb Daten klauen, um uns einen Verstoß in die Schuhe schieben zu können. Oder solche, die offen liegende Briefe oder Adressen einfach fotografieren und der Datenschutzbehörde Meldung machen, weil sie uns aus irgendwelchen Gründen nicht leiden können, lästige Konkurrenz aus dem Weg schaffen oder uns damit erpressen wollen, dass sie uns bei der Datenschutzbehörde anzeigen, wenn wir nicht einen bestimmten Geldbetrag zahlen. Oft ist der gar nicht so hoch, damit wir gar nicht lange überlegen, sondern lieber zahlen, als Stellungnahmen zu schreiben und Maßnahmen dokumentieren zu müssen.