„Desaster-Plan“ – Reaktionsplan zur Bewältigung von Datenpannen

Was tun, wenn der „worst case“ eintritt und es zur Datenpanne kommt?

Die Datenschutzgrundverordnung fordert vom Verantwortlichen, dass er feststellen kann, ob eine Datenpanne aufgetreten ist und die Aufsichtsbehörde, sowie die betroffenen Personen unverzüglich darüber informiert werden, Art. 33, 34 DSGVO.

Gemäß Art. 33 Abs. 1 DSGVO bedeutet unverzüglich in diesem Zusammenhang für die Meldung an die Aufsichtsbehörde maximal innerhalb von 72 Stunden. Erfolg die Meldung der Datenpanne erst nach dieser Frist muss die Verzögerung zusätzlich begründet werden.

I. Was sind Datenpannen?

Gemäß Art. 4 Nr. 12 DSGVO ist eine Datenpanne eine Verletzung der Sicherheit, die,

• ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung,

• oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten

führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Das kann beispielsweise das Abhandenkommen eines USB Sticks mit personenbezogenen Daten sein, aber auch der Verlust eines Backups, der nicht wieder hergestellt werden kann, sowie die Löschung von personenbezogenen Daten durch eine nicht autorisierte Person.

II. Reaktion bei Datenpannen – Der „Desaster-Plan“

Aufgrund der hohen Anforderungen an den Verantwortlichen, sowie die knappen Meldefristen der Datenschutzgrundverordnung im Falle einer Datenpanne, muss der Verantwortliche auf den Eintritt von Datenpannen vorbereitet sein und die Zuständigkeiten innerhalb des Unternehmens vorab klären.

Hierzu empfehlen sich folgende Schritte für den „Desaster-Plan“:

• Maßnahmen um Datenpannen frühzeitig zu erkennen
• Feststellung der betroffenen Daten und Personen
• Beweissicherung
• Bewertung der Folgen
• Kontrolle der Sicherheitsvorkehrungen
• Bewertung, ob Meldung erfolgen soll
• Meldung bei der Aufsichtsbehörde/der betroffenen Person
• Dokumentation des gesamten Vorgangs

Maßnahmen, um Datenpannen frühzeitig zu erkennen

Um in der Kürze der Zeit schnell handeln zu können und gegebenenfalls den Vorfall fristgerecht der Aufsichtsbehörde und/oder den betroffenen Personen melden zu können, müssen der Verantwortliche und der Datenschutzbeauftragte frühzeitig von der Datenpanne Kenntnis erlangen. Hierbei kommt es auf die Mitarbeiter an, die für die Verarbeitung personenbezogener Daten verantwortlich sind. Diese Mitarbeiter sollten dahingehend unterrichtet werden und sensibilisiert, dass eine zügige Weiterleitung im Interesse des Unternehmens liegt. Das Vorgehen im Ernstfall sollte vorab mit den Beteiligten regelmäßig durchgesprochen und gegebenenfalls auch geprobt und dokumentiert werden, damit sich Schwächen nicht erst im Fall der Datenpanne aufdecken.

Feststellung der betroffenen Daten und Personen

Hier muss die Anzahl der Datensätze und Kategorien der betroffenen Daten festgestellt werden. Sind personenbezogene oder sogar besondere Kategorien personenbezogener Daten betroffen? Sind keine personenbezogenen Daten betroffen müssen keine weiteren Maßnahmen eingeleitet werden. Des Weiteren muss die Anzahl der betroffenen Personen festgestellt werden.

Beweissicherung

Wenn möglich sollten Sicherungskopie angefertigt werden und die eingeleiteten Maßnahmen zur Behebung oder Minderung des Problems dokumentiert werden.

Bewertung der Folgen

Der Datenschutzbeauftragte muss im Falle einer Datenpanne zügig eine Bewertung der Situation im Wege einer Risikoanalyse durchführen. Wenn kein hohes Risiko für die betroffenen Personen besteht, kann die Benachrichtigung an die betroffene Person unterbleiben. Die Behörde muss informiert werden, wenn Daten Dritter unrechtmäßig offenbart werden oder infolge eines Sicherheitsbruchs gelöscht oder zeitweise unzugänglich gemacht werden.

Kontrolle der Sicherheitsvorkehrungen

Der Desaster-Plan sollte Maßnahmen zur Kontrolle der Sicherheitsvorkehrungen beinhalten, sowie entsprechende Gegenmaßnahmen für verschiedene Arten von Datenschutzpannen.

Bewertung, ob eine Meldung

erfolgen soll Indizien für eine meldepflichtige Datenpanne liegen vor, wenn sensible personenbezogene Daten gem. Art. 9 DSGVO oder eine besonders große Anzahl von Daten betroffen sind, sowie die Länge des Zeitraums in dem Daten z.B. abhandenkommen. Ein nach dem aktuellen Stand der Technik verschlüsselter USB-Stick der abhanden kommt ist wiederrum in der Regel nicht meldepflichtig.

Dokumentation des gesamten Vorgangs

Art. 33 abs. 5 DSGVO schreibt vor, dass der Verantwortliche die Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen dokumentiert. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.