Vortrag: Wenn der Ernstfall eintritt. Wie können Unternehmen und Vereine Datenschutzverletzungen richtig managen und sich vorbereiten?

fingerprint 2904774 640Toller Abend am 8. Mai 2019 auf dem Weingut Henri Ruppert – Wenn der Ernstfall eintritt. Wie können Unternehmen und Vereine Datenschutzverletzungen richtig managen und sich vorbereiten?

Wie sollten Unternehmen und Vereine auf Datenschutzverletzungen reagieren? Was können Unternehmen tun, um ihre Reaktionszeit zu verkürzen und damit den Schaden zu minimieren? Warum spielen Schulung und Sensibilisierung der Mitarbeiter dabei eine große Rolle? Welche datenschutzrechtlichen Pflichten sind bei einer Datenschutzverletzung einzuhalten? Diese und andere Fragen thematisierten Rechtsanwalt Martin Kerz (IT- Security Auditor und Risk Manager) und Rechtsanwältin Sandra Dury (Datenschutzauditorin u. Datenschutzbeauftragte) von der DURY Compliance & Consulting GmbH in ihrem Vortrag.

Prominente Datenschutzverletzungen wie z. B. die bei der Hotelkette Marriott und dem Fahrdienstvermittler Uber, aber auch alltägliche Vorkommnisse wie z. B. die Entsorgung von Kundendaten im Hausmüll, der verlorene Laptop oder USB-Stick, die vergessenen Unterlagen im Zug, der Versand von Unterlagen an den falschen Adressaten oder ein Hackerangriff sind ein Ausgangspunkt, um einen eigenen Notfallplan zu erstellen. Der Gesetzgeber erwartet von den Unternehmen - als datenschutzrechtlich Verantwortlichen - schnell zu reagieren. Es drohen nicht nur Bußgelder, sondern auch Schadensersatzforderungen, Reputationsschäden, ein hoher Vertrauensverlust bei Mitarbeitern und Kunden sowie Produktionsausfälle.

Erschreckende Statistiken machen deutlich, dass der richtige Umgang mit Datenschutzverletzungen zu den wichtigen Prozessen im Unternehmen gehört. Datenschutzverletzungen bleiben in einem Unternehmen im weltweiten Durchschnitt 196 Tage unbemerkt (IBM - Ponemon Cost of a Data Breach Study 2018, S. 33). Das liegt häufig daran, dass es bereits an einfachsten Maßnahmen in vielen Unternehmen mangelt, um schnell auf eine Datenschutzverletzung reagieren zu können.

Was ist eine Datenschutzverletzung nach der DSGVO?

Nach Art. 4 Nr. 12 DSGVO ist eine Datenschutzverletzung  eine Verletzung des Schutzes personenbezogener Daten, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von/zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Was ist zu tun? Neben der Überprüfung der eigenen IT-Systeme, der Schulung und Sensibilisierung der Mitarbeiter zu diesem sehr wichtigem Thema, sollten Prozesse im Unternehmen definiert und dokumentiert werden. Die IT und der Datenschutzbeauftragte sollten die Geschäftsführung oder den Vorstand beraten und als Verantwortliche im Prozess definiert werden.  Die wichtigsten Kernelemente einer solchen Prozessdokumentation könnten dabei beispielweise sein:

  • Bereitstellen einer zentralen Kontaktstelle für die Mitarbeiter, so dass möglichst schnell auf den Vorfall reagiert wird.
  • Analyse und Bewertung der Datenschutzverletzung.
  • Klären, welche Sofortmaßnahmen getroffen werden können, um die Datenschutzverletzung einzudämmen.
  • Bewertung, ob überhaupt personenbezogene Daten betroffen sind und ob ein Risiko für die betroffenen Personen besteht.
  • Wenn ja, ist der Vorfall innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden.
  • Bei hohen Risiken sind auch die Betroffenen zu informieren.

Bei Hackerangriffen und Datenschutzverletzungen ist Zeit ein wesentlicher und entscheidender Faktor. Je schneller Angriffe, Sicherheitslücken und damit potentielle Datenschutzverletzungen erkannt werden, desto früher lassen sich Gegenmaßnahmen einleiten, desto geringer ist der Schaden. Im Ernstfall sollte keine Zeit damit verschwendet werden, sich Maßnahmen zu überlegen und sich erst dann mit den gesetzlichen Pflichten nach der Datenschutzgrundverordnung vertraut zu machen.

Fazit

Vorbereitung ist die beste Verteidigungsstrategie. Ein Plan zum Umgang mit Datenschutzverletzungen sollte es in jedem Unternehmen, Verein oder anderen Organisationen geben. Nur so können wesentlich schneller Datenschutzverletzungen entdeckt und gelöst werden.

Informationen zu den Referenten/Autoren:

Beide Referenten sind Autoren des Buches „Datenschutz in Luxemburg“. Sie beraten Unternehmen, Vereine und andere Organisation in Deutschland und Luxemburg ausschließlich in den Bereichen Datenschutz, IT- Sicherheit und Compliance. Beide können ferner auf jahrelange Berufserfahrung in internationalen Unternehmen zurückgreifen.