Was tun bei Datenverlust?

published on 17.01.2014 09:09
Was tun bei Datenverlust?
Gesetze
Anwälte, die zu passenden Rechtsgebieten beraten
Artikel zu passenden Rechtsgebieten

Ohne Datenerhebung läuft im Internet (fast) nichts mehr. Doch wie schaut das Datenschutzmanagement in Ihrem Unternehmen aus? Was bei Datenpannen zu beachten ist.

Richtig handeln bei Datenschutzpannen

Jahrelange Imagepflege und das hart erarbeitete Vertrauen der Kunden und der Öffentlichkeit verpuffen binnen Stunden, wenn der Verlust von Kundendaten die mediale Runde dreht. Datenschutz gehört nicht zum beliebtesten Thema in der Unternehmensführung, dennoch ist es unerlässlich, sich hier keine offene Flanke zu erlauben. Datenschutzpannen sind handfeste Unternehmenskrisen. Kommen Kundendaten abhanden oder besteht ein solcher Verdacht, sind schnelle und überlegte Maßnahmen der Unternehmensleitung erforderlich.   Nach den großen Datenschutzskandalen der letzten Jahre - man denke an die Bahn, Lidl, Allianz oder Sony Playstation -  erstaunt es doch einigermaßen, dass die Mehrzahl der deutschen Unternehmen immer noch nicht ausreichend auf den Fall einer Datenschutzpanne vorbereitet ist, wie eine Erhebung der Ludwig-Maximilians-Universität München und des TÜV Süd aufzeigt. Ein Drittel der befragten Unternehmen gaben an, keine Handlungsanweisungen für den Fall einer Datenschutzpanne vorzuhalten. Über die Hälfte der Unternehmen haben sich mit dem Thema kaum oder überhaupt nicht auseinandergesetzt. Häufig fehlt den es den Mitarbeitern schlicht am nötigen Wissen über den Datenschutz.

Datenschutzmanagement aufbauen 

Um Datenschutzpannen zu vermeiden, müssen zunächst einige Grundvoraussetzungen erfüllt sein. Dazu gehört neben der Organisation bedarfsgerechter Datensicherheitsmaßnahmen die Sensibilisierung der Mitarbeiter. Die IT hat als Hauptschnittstelle den Menschen. Sie kann sich somit nicht vollständig selber schützen und bedarf deshalb bewussten Umgangs durch den Benutzer. Mit scheinbar banalen Maßnahmen können große Risiken abgewendet werden. Die Bestellung eines Datenschutzbeauftragten kann für zusätzliche Sicherheit sorgen.   

Sofern die Verarbeitung sensibler Daten an externe Dienstleister übertragen wird (Outsourcing), ist i.d.R. deren Sicherheitsniveau zu prüfen und sind die sicherheitsrelevanten Rahmenbedingungen der Datenverarbeitung vertraglich zu regeln (Auftragsdatenverarbeitung). 

Im Fall der Fälle: richtig handeln 

Eine Datenschutzpanne kommt in Betracht, wenn Daten abhanden gekommen sind  oder jemand unrechtmäßig Kenntnis erlangt hat. Bereits der Verdacht einer Datenschutzpanne verpflichtet zu Nachforschungen, ob tatsächlich eine unrechtmäßige Kenntniserlangung vorliegt.   Wenn sich der Verdacht bestätigt, ist zu prüfen, ob eine der folgenden Datenkategorien betroffen ist (vgl. § 42a Satz 1 BDSG):

  • Besondere Arten personenbezogener Daten gemäß § 3 Absatz 9 BDSG. Das sind: Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Besonders relevant wird die Informationspflicht im Bereich der Verarbeitung von medizinischen Daten (durch Ärzte, Krankenhäuser, Versicherungen etc.). Auch die Tatsache, dass sich jemand in Behandlung befindet, stellt eine Angabe über die Gesundheit dar, so dass auch Kontaktdaten von Patienten unter § 42a Satz 1 Nr. 1 BDSG fallen können.
  • Personenbezogene Daten, die einem Berufsgeheimnis unterliegen. Berufsgruppen, deren Angehörige einem Berufsgeheimnis unterliegen sind z.B. Anwälte, Notare, Steuerberater, Ärzte. 
  • Personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen.
  • Personenbezogene Daten zu Bank- oder Kreditkartenkonten. Das sind sämtliche Informationen, die mit solchen Konten im Zusammenhang stehen. Auch die Tatsache, dass eine Kontobeziehung besteht, gehört dazu. Kreditkarten- und Kontonummern mit oder ohne Namen des Kreditkarten- und Bankkontoinhabers sind ebenfalls personenbezogene Daten zu Bank- oder Kreditkartenkonten.   

Liegt eine dieser Kategorien vor, so muss das  Unternehmen unverzüglich, also ohne schuldhaftes Zögern, die zuständige Datenschutz-Aufsichtsbehörde informieren. Wird dies versäumt, können Bußgelder bis zu 300.000 EUR verhängt werden.  Bußgeld gibt es also nicht für die Datenschutzpanne an sich, sondern für schlechtes Krisenmanagement. Sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden sind, sind zudem die Betroffenen zu benachrichtigen. Die Benachrichtigungspflicht kann so weit gehen, dass halbseitige Anzeigen in überregionalen Tageszeitungen geschaltet werden müssen, wie ein Fall von zwei Kliniken zeigt, in denen 2012 zehntausende digitale Krankenakten verschwunden sind. Es empfiehlt sich, frühzeitig den Datenschutzbeauftragten hinzuzuziehen. Er gibt Ratschläge zum weiteren Vorgehen und unterstützt bei der Kommunikation mit den verschiedenen Stellen. 

Wie können Datenschutzpannen entstehen? 

  • Sensible Daten im Altpapier
  • E-Mail-Newsletter werden nicht an „Bcc“ versendet, so dass jeder sehen kann, wer noch im Verteiler steht
  • Unsachgemäße Entsorgung alter Datenträger (Festplatten, USB-Sticks, CD-ROMs etc.)
  • Mobile Datenträger mit unverschlüsselten Unternehmensdaten kommen abhanden (Smartphone, Laptop, externe Festplatte, USB-Stick etc.) 
  • Datenverlust durch menschliches oder technisches Versagen ohne ausreichendes Backup
  • Unautorisierter Zugriff auf Netzwerk, Mailserver, Datenbanken, Datenträger, SmartphonesVirenangriff u.v.m. 

Wie können Datenschutzpannen entdeckt werden? 

  • Regelmäßige Kontrolle der Zugriffsbeschränkungen
  • Auffälligkeiten bei der Datenverarbeitung (z.B. fehlerhafte oder unvollständige Datensätze)
  • Virenfund in der EDV
  • Verlust von Datenträgern außer Haus, Einbruch, Diebstahl
  • Hinweise von besorgten Kunden, Berichterstattung in der Presse (worst case!)

Richtlinie für Datenschutzpannen 

Aufgrund der hohen Risiken sollten sich Unternehmen auf Datenschutzpannen hinreichend vorbereiten. Durch klare Handlungsanweisungen an die Mitarbeiter kann häufig Schlimmeres verhindert werden. Die Verantwortlichkeiten müssen geregelt sein: Datenschutzpannen sind Chefsache und sollten als solche kommuniziert werden.   

Folgende Informationen sollten für die Mitarbeiter klar sein: 

  • Zunächst sollte klargestellt werden, dass durch Anzeige eines Datenverlustes keine direkten arbeitsrechtlichen Konsequenzen zu befürchten sind. Denn nichts ist schlimmer, als wenn ein Mitarbeiter aus Angst um seinen Arbeitsplatz den Verlust eines USB-Sticks mit wertvollen Kundendaten verschweigt.
  • Es sollte ein interner Meldeweg definiert werden. An wen sollen sich die Mitarbeiter im Verdachtsfall wenden? Wer ist wann zu informieren? Mögliche Stellen sind die Geschäftsführung, der Datenschutzbeauftragte, der IT-Verantwortliche etc. Zeit spielt hierbei eine große Rolle.
  • Neben der Weitergabe der Information innerhalb des Unternehmens ist es wichtig, dass die Beschäftigten wissen, was sie gegenüber einem Betroffenen kommunizieren dürfen. Denn nicht selten kommt es vor, dass der Verlust erst durch einen betroffenen Kunden ans Tageslicht gerät. Im Zweifel sollten hier keine Details genannt werden. Ein Verweis  auf den Datenschutzbeauftragten und eine rasche interne Klärung ist zunächst ausreichend.
  • Jeder Vorfall sollte dokumentiert werden, idealerweise bereits durch den meldenden Mitarbeiter. Die Dokumentation hilft bei der Prüfung, ob eine Meldepflicht gemäß § 42a BDSG besteht. 

Unterstützung anfordern 

Datenschutzrecht ist komplex. Unternehmen sind daher gut beraten, frühzeitig einen erfahrenen Datenschutzbeauftragten oder einen spezialisierten Rechtsanwalt hinzuzuziehen.       

Dieser Beitrag wurde auf www.gruenderszene.de veröffentlicht. Weitere interessante Beiträge zum Datenschutz- und Onlinerecht finden Sie in unserem Blog.

Show what you know!
2 Gesetze

{{count_recursive}} Gesetze werden in diesem Text zitiert

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurd
13827 Anwälte, die zu passenden Rechtsgebieten beraten

moreResultsText

Fachanwältin für
Gewerblicher Rechtsschutz, Informationstechnologierecht

KPW PartmbB Rechtsanwälte und Fachanwälte sind eine auf IP- und IT-Recht spezialisierte Kanzlei. Wir beraten in den Bereichen: Wettbewerbsrecht Markenrecht Urheberrecht Designrecht IT-Recht Patentrecht E-Commerce Know-How Schutz
Languages
DE, EN
3 Lawyers
Dr.jur. Markus Wekwerth | Fachanwalt für gewerblichen Rechtsschutz
Clemens Pfitzer | Fachanwalt für gewerblichen Rechtsschutz, Fachanwalt für Informationstechnologierecht
Clemens Pfitzer

Sie haben ein rechtliches Problem? Wir lösen es gerne! Kontaktieren Sie uns!
Fachanwältin für
Arbeitsrecht, Bau- und Architektenrecht, Familienrecht, Miet- und Wohnungseigentumsrecht, Sozialrecht, Strafrecht,

Die seit 1919 bestehende Kanzlei Winter Rechtsanwälte & Steuerberater PartG mbB in 51467 Bergisch Gladbach berät kleinere bis mittelständische Unternehmen und Privatpersonen u.a. in den Rechtsgebieten: Arbeitsrecht, Bau- und Architektenrecht, Datensc
Languages
DE, EN
13 Lawyers
Dirk Torsten Keller
Sören Riebenstahl
Sören Riebenstahl
LL.M. David Rohmer
Dr. Karl-Christoph Bode
Christina Greuter
Jos-Henrik Sonntag
Frank-Michael Bürger
Frank Neumann
Jan-Gevert Haslob
Anwälte, die zum Thema Internetrecht und IT-Recht beraten

ALBRECHT Rechtsanwälte ist eine Rechtsanwaltskanzlei mit Standort in Bad Hersfeld. Ihr Anwalt im Arbeitsrecht, Familienrecht, Baurecht, Erbrecht in Ihrer Nähe. Kontaktieren Sie uns.

Unsere Anwaltskanzlei Dr. Ebner, Schiersner & Kollegen ist Ihr starker Partner in allen rechtlichen Belangen. Mit unserer langjährigen Berufserfahrung und unserem Spezialwissen bieten wir Ihnen hochqualifizierte Rechtsberatung und engagierte Interess
Fachanwältin für
Gewerblicher Rechtsschutz, Informationstechnologierecht

KPW PartmbB Rechtsanwälte und Fachanwälte sind eine auf IP- und IT-Recht spezialisierte Kanzlei. Wir beraten in den Bereichen: Wettbewerbsrecht Markenrecht Urheberrecht Designrecht IT-Recht Patentrecht E-Commerce Know-How Schutz
Languages
DE, EN
3 Lawyers
Dr.jur. Markus Wekwerth | Fachanwalt für gewerblichen Rechtsschutz
Clemens Pfitzer | Fachanwalt für gewerblichen Rechtsschutz, Fachanwalt für Informationstechnologierecht
Clemens Pfitzer
Fachanwältin für
Arbeitsrecht, Verkehrsrecht

Die Rechtsanwälte im Hause van Sambeck, Büsing & Trapp legen gemäß ihrer Tätigkeitsschwerpunkte und Fachanwaltschaften den Fokus gezielt auf die Fachbereiche des allgemeinen Zivilrechts, hier insbesondere auf das Arbeits- und Verkehrsrecht sowie auf
Languages
DE, EN,
3 Lawyers
Maximilian van Sambeck | Fachanwalt für Arbeitsrecht
Wolf Büsing | Fachanwalt für Verkehrsrecht
Philipp Daniel Trapp
Anwälte, die zum Thema Arbeitsrecht beraten
Fachanwältin für
Gewerblicher Rechtsschutz, Informationstechnologierecht

KPW PartmbB Rechtsanwälte und Fachanwälte sind eine auf IP- und IT-Recht spezialisierte Kanzlei. Wir beraten in den Bereichen: Wettbewerbsrecht Markenrecht Urheberrecht Designrecht IT-Recht Patentrecht E-Commerce Know-How Schutz
Languages
DE, EN
3 Lawyers
Dr.jur. Markus Wekwerth | Fachanwalt für gewerblichen Rechtsschutz
Clemens Pfitzer | Fachanwalt für gewerblichen Rechtsschutz, Fachanwalt für Informationstechnologierecht
Clemens Pfitzer

Sie haben ein rechtliches Problem? Wir lösen es gerne! Kontaktieren Sie uns!

Strafrecht Straßenverkehrsrecht Recht um das Kfz
Languages
DE, EN
2 Lawyers
Michael Schlier | Fachanwalt für Arbeitsrecht
Matthias Hänke

Rehkatsch Rechtsanwälte, Köln, Berlin und deutschlandweit  berät und vertritt vor Gericht  zu den Themen: Urheber- und Medienrecht Influencer- und Social Media-Recht Musikrecht Filmrecht Markenrecht Presserecht Sportrecht Wettbewe
Anwälte, die zum Thema Persönlichkeitsrecht beraten
200 Artikel zu passenden Rechtsgebieten

moreResultsText

13.11.2024 14:17

Erfahren Sie, ob Fake-Profile erlaubt sind und wie sie gekennzeichnet werden müssen. Schützen Sie sich online!
29.05.2017 12:48

Definitionen zum Legal Tech Nach erstmaliger Veröffentlichung dieses kleinen Beitrags im Jahre 2017 hat sich insbesondere der Stämpfli Verlag aus Bern (Schweiz) verdient gemacht mit dem schönen Glossar, inspiriert durch diesen meinen kleinen Vorreiter-Beitrag hier (alle Begriffe und auch einige Definitionen wurden übernommen), herausgegeben von Martin Eckert, Andreas Furrer und Andreas Glarner im Jahre 2019. Vor der Flexibilität und wirklichen Intelligenz der Schweizer ziehe ich nach zwei Jahren Corona-Beobachtung den Hut, siehe dazu meinen Aufklärungsmedien-Lotsen, eine kleine Übersicht an Aufklärungsmedien - auffallend viele in der Schweiz ansässig. Das Potential an solcher Einstiegs-Lektüre und auch an Aufrkläungsmedien ist noch lange nicht ausgeschöpft... immer geht es vor allem darum, eine immer komplexere Welt begrifflich zu übersetzen und lesbar zu machen.
03.04.2017 20:19

Links zum innovativen Rechtsmarkt unter Berücksichtigung des neuen Corona-Rechts Seit erster Fassung dieses kleinen Beitrags Ende 2016 hat sich viel auf dem Markt der Legal-Tech-Unternehmen gewandelt. Wenn Sie einen Link vermissen, melden Sie sich bitte, wir prüfen das dann und ergänzen diesen kleinen Wegscheider.
Artikel zu Internetrecht und IT-Recht
28.06.2024 11:50

Mittlerweile ist die elektronische Arbeitszeiterfassung für Unternehmen in Deutschland Pflicht. Doch was bedeutet dies genau und wie können Unternehmen alle Anforderungen erfüllen? Autor: Hannes Graubohm
SubjectsArbeitsrecht
15.12.2023 15:47

Messenger-Dienste wie WhatsApp, Signal und Telegramm sind heutzutage unverzichtbare Kommunikationsmittel. Insbesondere im beruflichen Kontext bieten sie eine rasche und effiziente Plattform für den Austausch zwischen Vorgesetzten und KollegInnen. Dah
24.10.2023 16:18

Ein Arbeitnehmer erhält 10 000 Euro Schadensersatz von seinem ehemaligen Arbeitnehmer. Das beklagte Unternehmen hat nach Beendigung des Arbeitsverhältnisses mit dem Kläger, dessen Video- und Bildmaterial weiterhin zu Werbezwecken verwendet.  Streifler&Kollegen - Rechtsanwälte Berlin
12.10.2021 14:40

Einige nützliche Informationen zum Thema Arbeitnehmerüberlassung insbesondere für Beteiligte an Bauprojekten.
Artikel zu Arbeitsrecht
15.12.2023 15:47

Messenger-Dienste wie WhatsApp, Signal und Telegramm sind heutzutage unverzichtbare Kommunikationsmittel. Insbesondere im beruflichen Kontext bieten sie eine rasche und effiziente Plattform für den Austausch zwischen Vorgesetzten und KollegInnen. Dah
24.10.2023 16:18

Ein Arbeitnehmer erhält 10 000 Euro Schadensersatz von seinem ehemaligen Arbeitnehmer. Das beklagte Unternehmen hat nach Beendigung des Arbeitsverhältnisses mit dem Kläger, dessen Video- und Bildmaterial weiterhin zu Werbezwecken verwendet.  Streifler&Kollegen - Rechtsanwälte Berlin
05.01.2021 17:25

Der Versuch einer innerfamiliären Kontaktaufnahme, welche sich auf drei Anrufe sowie drei Whatsapp-Nachrichten in drei Wochen beschränkt, begründet keinen Unterlassungsanspruch.  Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin Was
Artikel zu Persönlichkeitsrecht

Annotations

Die Verarbeitung personenbezogener Daten durch eine öffentliche Stelle ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist.