Die meisten von euch werden es mitbekommen haben: In den letzten Tagen wurde eine kritische Sicherheitslücke in Microsoft Exchange Servern aufgedeckt, die vielerorts zu Datenpannen geführt hat/haben kann.
Doch was muss eigentlich im Falle einer Datenpanne bzw. einer möglichen Datenpanne passieren?
Anhand von Artikel 33 und 34 DSGVO sind Unternehmen dazu verpflichtet eine Datenschutzverletzung (z.B. Hacker-Angriff, Falscher E-Mail-Versand) der zuständigen Aufsichtsbehörde unverzüglich (innerhalb von 72 Stunden nach Bekanntwerden) zu melden.
Folgende Informationen müssen der Datenschutzaufsichtsbehörde zur Verfügung gestellt werden:
a.) eine Beschreibung der Datenpanne (wenn möglich mit der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
b.) Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c.) eine Beschreibung der wahrscheinlichen Folgen der Datenpanne;
d.) eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung der Datenpanne;
Dabei ist es egal ob die Datenschutzverletzung fahrlässig oder vorsätzlich herbeigeführt wurde oder ob unbefugte Zugang zu personenbezogenen Daten hatten oder ein Zugang zu personenbezogenen Daten nur eventuell möglich war.
Daher sollte im Unternehmen klar kommuniziert werden, was im Falle einer Datenpanne zutun ist, um vorschriftsmäßig zu handeln. Hier bietet sich vor allem eine verbindliche interne Datenschutzrichtline an, die das Vorgehen festlegt. Sollte eine Datenpanne nicht rechtzeitig oder gar nicht gemeldet werden, können Bußgelder verhängt werden.
