Vorfall sichern
Zugänge sperren, Daten sichern, weitere Offenlegung stoppen und IT oder Dienstleister einbinden.
Datenpanne nach DSGVO
Bei einer Datenpanne muss schnell entschieden werden: Was ist passiert? Welche Daten sind betroffen? Besteht ein Risiko für Personen? Muss die Aufsichtsbehörde informiert werden? Müssen Betroffene benachrichtigt werden?
Worum es geht
Eine Datenpanne kann vieles sein: eine falsch versendete E-Mail, ein verlorener Laptop, ein offener Cloud-Ordner, ein gehacktes Konto, Ransomware, ein falsch berechtigter Zugriff oder versehentlich gelöschte Daten.
Wichtig ist, nicht in Panik zu geraten und trotzdem schnell zu handeln. Unternehmen müssen den Vorfall sichern, bewerten, dokumentieren und entscheiden, ob eine Meldung oder Betroffeneninformation erforderlich ist.
Erste Schritte
Zugänge sperren, Daten sichern, weitere Offenlegung stoppen und IT oder Dienstleister einbinden.
Wann wurde der Vorfall entdeckt? Welche Daten, Systeme, Personen und Dienstleister sind betroffen?
Drohen Identitätsdiebstahl, Betrug, Rufschäden, finanzielle Nachteile, Diskriminierung oder besondere persönliche Belastungen?
Die 72-Stunden-Frist läuft ab Kenntnis. Wenn Informationen fehlen, kann eine Meldung schrittweise ergänzt werden.
Meldung
Nach Art. 33 DSGVO muss die Aufsichtsbehörde informiert werden, wenn ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Ist ein Risiko unwahrscheinlich, kann eine Meldung entbehrlich sein. Die Prüfung sollte aber dokumentiert werden.
Verlust, Offenlegung, unbefugter Zugriff, Veränderung, Löschung oder fehlende Verfügbarkeit.
Kontaktdaten, Zugangsdaten, Gesundheitsdaten, Beschäftigtendaten, Kundendaten oder Finanzdaten.
Welche Nachteile können für die betroffenen Personen entstehen?
Was wurde getan, um den Vorfall zu stoppen und Schäden zu mindern?
Betroffene
Nach Art. 34 DSGVO ist eine Information der betroffenen Personen erforderlich, wenn voraussichtlich ein hohes Risiko besteht. Diese Information muss verständlich sein. Sie sollte nicht unnötig beunruhigen, aber klar sagen, was passiert ist und was Betroffene tun können.
Keine technischen Floskeln. Betroffene müssen den Vorfall verstehen können.
Zum Beispiel Passwörter ändern, Kontobewegungen prüfen oder auf verdächtige Nachrichten achten.
Es sollte klar sein, wo Betroffene Rückfragen stellen können.
Je nach Fall kann eine Abstimmung mit IT, Geschäftsleitung, Kommunikation oder Behörde sinnvoll sein.
Dokumentation
Art. 33 DSGVO verlangt, dass Datenschutzverletzungen dokumentiert werden. Dazu gehören die Fakten, die Folgen und die ergriffenen Maßnahmen. Diese Dokumentation hilft auch dann, wenn später Fragen von Kunden, Beschäftigten, Dienstleistern oder der Aufsichtsbehörde kommen.
Nach dem akuten Vorfall sollte geprüft werden, warum es passiert ist und welche Maßnahmen künftig helfen: Zugriffsrechte, Schulung, AVV, technische Sicherheit, Löschregeln oder ein besserer Notfallprozess.
Angebot
kurzfristig
Für Unternehmen, die schnell wissen müssen, ob eine Meldung oder Betroffeneninformation nötig ist.
nach Aufwand
Für Unternehmen, die eine Datenpanne sauber bearbeiten und nachvollziehbar festhalten möchten.
als Check
Für Unternehmen, die nach dem Vorfall Ursachen und Schutzmaßnahmen verbessern möchten.
FAQ
Eine Meldung an die Aufsichtsbehörde ist erforderlich, wenn die Datenpanne voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Die DSGVO verlangt eine Meldung ohne unangemessene Verzögerung und möglichst innerhalb von 72 Stunden, nachdem das Unternehmen Kenntnis von der Datenpanne hat. Wenn später gemeldet wird, müssen die Gründe angegeben werden.
Nein. Betroffene müssen informiert werden, wenn die Datenpanne voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten mit sich bringt.
Dann kann eine Meldung schrittweise ergänzt werden. Wichtig ist, die bekannten Fakten, offenen Punkte und nächsten Schritte sauber festzuhalten.
Dokumentiert werden sollten der Sachverhalt, die betroffenen Daten, die möglichen Folgen, die Bewertung, die getroffenen Maßnahmen und die Entscheidung über Meldung oder Nichtmeldung.
Nächster Schritt
Schicken Sie eine kurze Nachricht mit Zeitpunkt, Art des Vorfalls, betroffenen Daten, betroffenen Personen und den bereits getroffenen Maßnahmen. Bei akuten Fällen sollte die Prüfung schnell beginnen.