Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

Datenschutzpanne! Und jetzt? Diese vier Schritte helfen im Notfall

0 Beurteilungen
Datenschutz
Urheber: Jamrooferpix | Fotolia

Von Andreas Würtz,

Vor Datenschutzverstößen ist kein Unternehmen gefeit. Wenn eine Datenschutzpanne passiert, gilt vor allem eines: Ruhe bewahren und mit kühlem Kopf die richtigen Gegenmaßnahmen einleiten. Das funktioniert nur mit guter Vorbereitung: Machen Sie Ihr Unternehmen in vier Schritten fit für den Notfall!

Worst-Case-Szenario

Stellen Sie sich vor: Es kommt zu einem Datenschutzvorfall in Ihrem Unternehmen – und der Vorfall entwickelt sich zu einer existenzbedrohenden Krise. Chaos herrscht, da keiner weiß, was zu tun ist. Panik bricht aus. Der Fall dringt an die Öffentlichkeit und die Reputation Ihres Unternehmens ist ruiniert. Dieses Worst-Case-Szenario ist sicherlich keine schöne Vorstellung. Doch den Gedanken verdrängen und wie der Hase vor der Schlange sitzen und hoffen, dass der Kelch an Ihrem Unternehmen vorbeigeht, ist keine gute Idee. Empfehlung: Beugen Sie vor!

Panne oder Krise

Bevor Sie einen Plan schmieden, welche Notfallmaßnahmen für Ihr Unternehmen geeignet sind und wie Sie sie am schnellsten und effektivsten umsetzen, gilt, zunächst gedanklich zu unterscheiden: Die eine Sache ist, dass es eine Datenschutzpanne in Ihrem Unternehmen gibt. Die andere, dass sich aus einer Panne eine handfeste Krise entwickelt, die Ihrem Unternehmen großen Schaden zufügt. Beide Fälle gilt es zu verhindern. Und für beide brauchen Sie einen Plan. Gehen Sie in folgenden Schritten vor:

1. Schritt: Präventionsmaßnahmen optimieren


Ziel Ihrer Arbeit als Datenschutzbeauftragter ist es, dass Datenschutzverstöße erst gar nicht passieren. Datenschutzverstöße geschehen meistens nicht aus Vorsatz. Ursachen für Datenschutzpannen sind vielmehr Unwissenheit, Fahrlässigkeit oder manchmal reine Neugierde. Gegen Vorsatz und kriminelle Energien können Sie als Datenschutzbeauftragter Ihr Unternehmen kaum schützen. Fehlendem Wissen oder Fahrlässigkeit können Sie mit Schulungen und Awarenessmaßnahmen begegnen. Überprüfen Sie, ob der Informationsbedarf in Ihrem Unternehmen ausreichend gedeckt ist. Stellen Sie Optimierungsbedarf fest, dann passen Sie Ihr Schulungskonzept entsprechend an. Senken Sie präventiv das Risiko, dass es zu Datenschutzverstößen kommt, indem Sie Schulungen in den Unternehmensbereichen durchführen, denen Sie in letzter Zeit nicht genug Aufmerksamkeit geschenkt haben.

2. Schritt: Notwendigkeit aufzeigen


Auch wenn Sie Ihren Job als Datenschutzbeauftragter mit Bravour erledigen und die Kollegen intensiv schulen und informieren: Sie werden nicht alle Pannen verhindern können. Doch auch dafür gibt es eine Lösung: einen Notfallplan, der verhindert, dass sich aus einer Panne eine waschechte Krise entwickelt. Holen Sie sich dazu Rückhalt von der Unternehmensleitung. Stellt das oberste Management die Notwendigkeit eines solchen Notfallplans infrage, insistieren Sie: Machen Sie deutlich, dass es nie hundertprozentige Sicherheit geben kann. Zeigen Sie anhand eines Beispiels auf, wie schnell Datenschutzverstöße ohne böse Absicht im Stress des Berufsalltags passiert sind. Machen Sie in diesem Zusammenhang auch auf die Informationspflicht aus § 42a Bundesdatenschutzgesetz (BDSG) aufmerksam, die die verantwortliche Stelle im Falle eines Verstoßes erfüllen muss.

Anzeige

 

3. Schritt: Notfallplan entwickeln


Entwickeln Sie ein erstes Grobkonzept des Notfallplans. Stellen Sie Ihr Konzept in einem Termin den Verantwortlichen vor. Der Notfallplan sollte alle erforderlichen Maßnahmen für den Notfall beschreiben, um schnell für Abhilfe zu sorgen und den Schaden zu begrenzen. Der Notfallplan umfasst dabei in erster Linie Benachrichtigungsprozesse. Legen Sie genau fest, wer wen in welcher Situation zu informieren hat und wer für welche weiterführenden Maßnahmen zuständig ist. Notieren Sie die Kontaktdaten aller beteiligten Personen und Verantwortlichen (Telefonnummer, Handynummer, E-Mail-Adresse etc.). Denken Sie auch daran, einen Prozess zur regelmäßigen Aktualisierung der Daten zu definieren.

In Ihrem Notfallplan ist mindestens enthalten: Wird ein Datenschutzverstoß bemerkt – z. B. weil Daten abhandengekommen sind –, ist unverzüglich der Datenschutzbeauftragte und die Unternehmensleitung zu informieren. Im nächsten Schritt ist zu prüfen, ob es sich um einen schwerwiegenden Datenschutzverstoß handelt und inwieweit die zuständige Aufsichtsbehörde und Betroffene informiert werden müssen. Die Prüfung stellt eine Abwägung dar, die gemeinsam mit Vertretern der Unternehmensleitung und des Krisenteams vorzunehmen und zu dokumentieren ist. Ein schwerwiegender Datenschutzverstoß liegt vor, wenn nach § 42a BDSG relevante Daten (z. B. Gesundheitsdaten, Kreditkartendaten) abhandenkommen und eine schwerwiegende Beeinträchtigung für die Rechte oder die schutzwürdigen Interessen der Betroffenen droht. Auch für diese Fälle muss allen Beteiligten klar sein, wer für welche weiteren Maßnahmen zuständig ist.

4. Schritt: Notallplan publik machen


Ein Notfallplan kann noch so gut sein: Wenn er in einer Schublade verschwindet und ihn niemand zu Gesicht bekommt, ist er das Papier nicht wert, auf dem er steht. Entwerfen Sie deshalb im nächsten Schritt ein Kommunikationskonzept zur Verbreitung des Notfallplans. Ziel: Jeder Beschäftigte im Unternehmen, der mit personenbezogenen Daten Umgang hat, muss diesen Notfallplan kennen und wissen, wie er sich im Notfall zu verhalten hat.

Appellieren Sie in dem Zusammenhang auch an die Eigenverantwortung der Beschäftigten. Machen Sie deutlich: Nicht nur das Unternehmen kann zur Verantwortung gezogen werden, wenn beim Umgang mit personenbezogenen Daten gegen den Datenschutz verstoßen wird. Auch jeder einzelne Mitarbeiter muss Verantwortung übernehmen und kann zur Rechenschaft gezogen werden, wenn er einen Verstoß verursacht hat.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

IT-Know-how und Praxistipps für Datenschutzbeauftragte

Spezifische Schulungspräsentationen für verschiedene Unternehmensbereiche

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!

Jobs