Was tun bei Datenverlust?

Ohne Datenerhebung läuft im Internet (fast) nichts mehr. Doch wie schaut das Datenschutzmanagement in Ihrem Unternehmen aus? Was bei Datenpannen zu beachten ist.

Richtig handeln bei Datenschutzpannen

Jahrelange Imagepflege und das hart erarbeitete Vertrauen der Kunden und der Öffentlichkeit verpuffen binnen Stunden, wenn der Verlust von Kundendaten die mediale Runde dreht. Datenschutz gehört nicht zum beliebtesten Thema in der Unternehmensführung, dennoch ist es unerlässlich, sich hier keine offene Flanke zu erlauben. Datenschutzpannen sind handfeste Unternehmenskrisen. Kommen Kundendaten abhanden oder besteht ein solcher Verdacht, sind schnelle und überlegte Maßnahmen der Unternehmensleitung erforderlich.   Nach den großen Datenschutzskandalen der letzten Jahre - man denke an die Bahn, Lidl, Allianz oder Sony Playstation -  erstaunt es doch einigermaßen, dass die Mehrzahl der deutschen Unternehmen immer noch nicht ausreichend auf den Fall einer Datenschutzpanne vorbereitet ist, wie eine Erhebung der Ludwig-Maximilians-Universität München und des TÜV Süd aufzeigt. Ein Drittel der befragten Unternehmen gaben an, keine Handlungsanweisungen für den Fall einer Datenschutzpanne vorzuhalten. Über die Hälfte der Unternehmen haben sich mit dem Thema kaum oder überhaupt nicht auseinandergesetzt. Häufig fehlt den es den Mitarbeitern schlicht am nötigen Wissen über den Datenschutz.

Datenschutzmanagement aufbauen 

Um Datenschutzpannen zu vermeiden, müssen zunächst einige Grundvoraussetzungen erfüllt sein. Dazu gehört neben der Organisation bedarfsgerechter Datensicherheitsmaßnahmen die Sensibilisierung der Mitarbeiter. Die IT hat als Hauptschnittstelle den Menschen. Sie kann sich somit nicht vollständig selber schützen und bedarf deshalb bewussten Umgangs durch den Benutzer. Mit scheinbar banalen Maßnahmen können große Risiken abgewendet werden. Die Bestellung eines Datenschutzbeauftragten kann für zusätzliche Sicherheit sorgen.   

Sofern die Verarbeitung sensibler Daten an externe Dienstleister übertragen wird (Outsourcing), ist i.d.R. deren Sicherheitsniveau zu prüfen und sind die sicherheitsrelevanten Rahmenbedingungen der Datenverarbeitung vertraglich zu regeln (Auftragsdatenverarbeitung). 

Im Fall der Fälle: richtig handeln 

Eine Datenschutzpanne kommt in Betracht, wenn Daten abhanden gekommen sind  oder jemand unrechtmäßig Kenntnis erlangt hat. Bereits der Verdacht einer Datenschutzpanne verpflichtet zu Nachforschungen, ob tatsächlich eine unrechtmäßige Kenntniserlangung vorliegt.   Wenn sich der Verdacht bestätigt, ist zu prüfen, ob eine der folgenden Datenkategorien betroffen ist (vgl. § 42a Satz 1 BDSG):

• Besondere Arten personenbezogener Daten gemäß § 3 Absatz 9 BDSG. Das sind: Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Besonders relevant wird die Informationspflicht im Bereich der Verarbeitung von medizinischen Daten (durch Ärzte, Krankenhäuser, Versicherungen etc.). Auch die Tatsache, dass sich jemand in Behandlung befindet, stellt eine Angabe über die Gesundheit dar, so dass auch Kontaktdaten von Patienten unter § 42a Satz 1 Nr. 1 BDSG fallen können.
• Personenbezogene Daten, die einem Berufsgeheimnis unterliegen. Berufsgruppen, deren Angehörige einem Berufsgeheimnis unterliegen sind z.B. Anwälte, Notare, Steuerberater, Ärzte. 
• Personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen.
• Personenbezogene Daten zu Bank- oder Kreditkartenkonten. Das sind sämtliche Informationen, die mit solchen Konten im Zusammenhang stehen. Auch die Tatsache, dass eine Kontobeziehung besteht, gehört dazu. Kreditkarten- und Kontonummern mit oder ohne Namen des Kreditkarten- und Bankkontoinhabers sind ebenfalls personenbezogene Daten zu Bank- oder Kreditkartenkonten.   

Liegt eine dieser Kategorien vor, so muss das  Unternehmen unverzüglich, also ohne schuldhaftes Zögern, die zuständige Datenschutz-Aufsichtsbehörde informieren. Wird dies versäumt, können Bußgelder bis zu 300.000 EUR verhängt werden.  Bußgeld gibt es also nicht für die Datenschutzpanne an sich, sondern für schlechtes Krisenmanagement. Sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden sind, sind zudem die Betroffenen zu benachrichtigen. Die Benachrichtigungspflicht kann so weit gehen, dass halbseitige Anzeigen in überregionalen Tageszeitungen geschaltet werden müssen, wie ein Fall von zwei Kliniken zeigt, in denen 2012 zehntausende digitale Krankenakten verschwunden sind. Es empfiehlt sich, frühzeitig den Datenschutzbeauftragten hinzuzuziehen. Er gibt Ratschläge zum weiteren Vorgehen und unterstützt bei der Kommunikation mit den verschiedenen Stellen. 

Wie können Datenschutzpannen entstehen? 

• Sensible Daten im Altpapier
• E-Mail-Newsletter werden nicht an „Bcc“ versendet, so dass jeder sehen kann, wer noch im Verteiler steht
• Unsachgemäße Entsorgung alter Datenträger (Festplatten, USB-Sticks, CD-ROMs etc.)
• Mobile Datenträger mit unverschlüsselten Unternehmensdaten kommen abhanden (Smartphone, Laptop, externe Festplatte, USB-Stick etc.) 
• Datenverlust durch menschliches oder technisches Versagen ohne ausreichendes Backup
• Unautorisierter Zugriff auf Netzwerk, Mailserver, Datenbanken, Datenträger, SmartphonesVirenangriff u.v.m. 

Wie können Datenschutzpannen entdeckt werden? 

• Regelmäßige Kontrolle der Zugriffsbeschränkungen
• Auffälligkeiten bei der Datenverarbeitung (z.B. fehlerhafte oder unvollständige Datensätze)
• Virenfund in der EDV
• Verlust von Datenträgern außer Haus, Einbruch, Diebstahl
• Hinweise von besorgten Kunden, Berichterstattung in der Presse (worst case!)

Richtlinie für Datenschutzpannen 

Aufgrund der hohen Risiken sollten sich Unternehmen auf Datenschutzpannen hinreichend vorbereiten. Durch klare Handlungsanweisungen an die Mitarbeiter kann häufig Schlimmeres verhindert werden. Die Verantwortlichkeiten müssen geregelt sein: Datenschutzpannen sind Chefsache und sollten als solche kommuniziert werden.   

Folgende Informationen sollten für die Mitarbeiter klar sein: 

• Zunächst sollte klargestellt werden, dass durch Anzeige eines Datenverlustes keine direkten arbeitsrechtlichen Konsequenzen zu befürchten sind. Denn nichts ist schlimmer, als wenn ein Mitarbeiter aus Angst um seinen Arbeitsplatz den Verlust eines USB-Sticks mit wertvollen Kundendaten verschweigt.
• Es sollte ein interner Meldeweg definiert werden. An wen sollen sich die Mitarbeiter im Verdachtsfall wenden? Wer ist wann zu informieren? Mögliche Stellen sind die Geschäftsführung, der Datenschutzbeauftragte, der IT-Verantwortliche etc. Zeit spielt hierbei eine große Rolle.
• Neben der Weitergabe der Information innerhalb des Unternehmens ist es wichtig, dass die Beschäftigten wissen, was sie gegenüber einem Betroffenen kommunizieren dürfen. Denn nicht selten kommt es vor, dass der Verlust erst durch einen betroffenen Kunden ans Tageslicht gerät. Im Zweifel sollten hier keine Details genannt werden. Ein Verweis  auf den Datenschutzbeauftragten und eine rasche interne Klärung ist zunächst ausreichend.
• Jeder Vorfall sollte dokumentiert werden, idealerweise bereits durch den meldenden Mitarbeiter. Die Dokumentation hilft bei der Prüfung, ob eine Meldepflicht gemäß § 42a BDSG besteht. 

Unterstützung anfordern 

Datenschutzrecht ist komplex. Unternehmen sind daher gut beraten, frühzeitig einen erfahrenen Datenschutzbeauftragten oder einen spezialisierten Rechtsanwalt hinzuzuziehen.       

Dieser Beitrag wurde auf www.gruenderszene.de veröffentlicht. Weitere interessante Beiträge zum Datenschutz- und Onlinerecht finden Sie in unserem Blog.