Datenpanne nach DSGVO: Was tun in den ersten 72 Stunden?
Wenn personenbezogene Daten verloren gehen, offengelegt werden oder unbefugt zugänglich sind, muss schnell geprüft werden, ob eine Meldung an die Aufsichtsbehörde nötig ist.
1. Vorfall sichern
Zuerst sollte der Schaden begrenzt werden. Zugänge sperren, öffentliche Links entfernen, Passwörter ändern, Systeme sichern und die IT einbinden. Wichtig ist: nicht nur reparieren, sondern auch festhalten, was passiert ist.
2. Fakten sammeln
Für die Bewertung braucht das Unternehmen klare Fakten: Wann wurde der Vorfall entdeckt? Welche Daten sind betroffen? Wie viele Personen können betroffen sein? Wer hatte Zugriff? Ist ein Dienstleister beteiligt?
3. Risiko bewerten
Eine Meldung ist nicht bei jeder Datenpanne erforderlich. Entscheidend ist, ob ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Das kann zum Beispiel bei Zugangsdaten, Gesundheitsdaten, Beschäftigtendaten, Finanzdaten oder vertraulichen Kundendaten der Fall sein.
4. 72-Stunden-Frist prüfen
Nach Art. 33 DSGVO soll eine meldepflichtige Datenpanne möglichst innerhalb von 72 Stunden nach Kenntnis gemeldet werden. Wenn noch nicht alle Informationen vorliegen, kann eine Meldung schrittweise ergänzt werden. Spätere Meldungen müssen begründet werden.
5. Betroffene nicht vorschnell informieren
Betroffene müssen nur informiert werden, wenn voraussichtlich ein hohes Risiko besteht. Dann muss die Information verständlich sein und konkrete Hinweise enthalten. Eine unüberlegte Nachricht kann mehr Unruhe auslösen als nötig.
6. Entscheidung dokumentieren
Auch wenn nicht gemeldet wird, sollte die Entscheidung nachvollziehbar dokumentiert werden: Sachverhalt, betroffene Daten, Risiko, Maßnahmen und Gründe für die Entscheidung. Das hilft bei späteren Rückfragen.
Datenpanne prüfen lassen?
Ich unterstütze Unternehmen bei der schnellen Einordnung von Datenschutzvorfällen, bei Meldungen an die Aufsichtsbehörde und bei der Dokumentation.
Datenpanne nach DSGVO prüfen Datenschutz-Check ansehen