Ab Mai 2018: Neue Spiel­re­geln für den Umgang mit Datenpannen

Da fährt „es“ dahin…

Eine Ver­let­zung des Da­ten­schut­zes „beich­ten“ zu müssen, ist immer un­an­ge­nehm. Jeder weiß, dass es Folgen haben kann, im schlimms­ten Fall auch ar­beits­recht­li­che. Deshalb schwei­gen manche lieber. Doch Vor­sicht! Ab 25. Mai 2018 gilt die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO). Dann kann das Ver­schwei­gen einer Da­ten­pan­ne alles noch viel schlim­mer machen.

Der ver­schwun­de­ne Laptop
Ein Laptop mit Kun­den­da­ten ist weg. Wahr­schein­lich blieb er vor ein paar Tagen schlicht im Zug liegen. Das Gerät ist schon fünf Jahre alt und wurde nur noch aus­nahms­wei­se benutzt. Also ver­misst es niemand wirk­lich. Und die Kun­den­da­ten sind im EDV-System na­tür­lich noch vor­han­den. Da wird auch niemand miss­trau­isch. Also lieber mal einfach nichts sagen nach dem Motto „Wird schon gut gehen“? Schon jetzt ist das keine gute Idee. Ab 25. Mai 2018 kann diese Taktik sogar richtig übel enden.

Mel­de­pflicht des Unternehmens …
Schon jetzt sind Un­ter­neh­men ver­pflich­tet, be­stimm­te Da­ten­pan­nen der Da­ten­schutz­auf­sicht zu melden. Aus­gangs­punkt ist dabei, dass Daten un­be­fugt über­mit­telt wurden. Das be­deu­tet ver­ein­facht gesagt, dass sie zu Unrecht in die Hände von Au­ßen­ste­hen­den gelangt sind. Das allein reicht aber nicht, um eine Mel­de­pflicht ent­ste­hen zu lassen. Viel­mehr muss noch hin­zu­kom­men, dass „schwer­wie­gen­de Be­ein­träch­ti­gun­gen“ für die Rechte der Per­so­nen drohen, um deren Daten es geht.

… bisher oft nur Theorie
Diese Ein­schrän­kung führt bisher dazu, dass im Er­geb­nis oft keine Mel­de­pflicht besteht. Bei­spiel: Ein Laptop geht ver­lo­ren. Die Daten auf dem Laptop sind jedoch nach dem Stand der Technik ver­schlüs­selt. Dann kann man davon aus­ge­hen, dass keine schwer­wie­gen­den Be­ein­träch­ti­gun­gen drohen. Folge: Eine Mel­de­pflicht ent­steht im Er­geb­nis nicht.

Künftig sieht es anders aus
Die Re­ge­lun­gen der DS-GVO für die Mel­de­pflicht sehen anders aus. Sie kennen eine solche Ein­schrän­kung nicht. Viel­mehr muss ein Un­ter­neh­men künftig jede „Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten“ der Da­ten­schutz­auf­sicht melden. Diese Mel­de­pflicht ist in keiner Weise ein­ge­schränkt. Das be­deu­tet: Der Verlust eines Laptops mit per­so­nen­be­zo­ge­nen Daten muss auch dann ge­mel­det werden, wenn wahr­schein­lich alles aus­rei­chend ver­schlüs­selt war.

Mel­de­frist: 72 Stunden
Das Bri­san­te dabei: Bei der Meldung an die Da­ten­schutz­auf­sicht ist eine Frist von 72 Stunden zu be­ach­ten. Wird sie grund­los über­schrit­ten, droht dem Un­ter­neh­men schon deshalb ein Bußgeld. Aus­re­den von der Art „Unser Mit­ar­bei­ter hat uns die Panne intern nicht ver­ra­ten“ gelten dabei nicht. Die Antwort darauf wäre: „Dann bringen Sie Ihren Mit­ar­bei­tern eben bei, dass Da­ten­pan­nen gleich zu melden sind.“

Online-For­­mu­la­­re in Vorbereitung
In der Praxis wird es darauf hin­aus­lau­fen, dass eine Meldung an die Da­ten­schutz­auf­sicht künftig relativ häufig not­wen­dig ist. Die ersten Auf­sichts­be­hör­den (etwa das Baye­ri­sche Lan­des­amt für Da­ten­schutz­auf­sicht) stellen dafür schon Online-For­­mu­la­­re bereit.

Aus­nah­me: Be­nach­rich­ti­gung der Betroffenen
Ob den Be­trof­fe­nen, um deren Daten es geht, „etwas pas­sie­ren“ kann, spielt bei der Mel­de­pflicht keine Rolle. Dieser Aspekt wird erst wichtig, wenn es um die Be­nach­rich­ti­gung der Be­trof­fe­nen geht. Sie ist ge­son­dert ge­re­gelt (Art. 34 DS-GVO). Die Be­trof­fe­nen müssen nur dann be­nach­rich­tigt werden, wenn ihnen „vor­aus­sicht­lich ein hohes Risiko droht“.

Am Bei­spiel des ver­schlüs­sel­ten Laptops wird wieder deut­lich, was das be­deu­tet: Sind die Daten auf dem Laptop nach dem Stand der Technik ver­schlüs­selt, droht kein hohes Risiko, wenn er Un­be­fug­ten in die Hände gerät. Die Folge: Die Be­trof­fe­nen müssen nicht be­nach­rich­tigt werden.

Neue Spiel­re­geln im Über­blick ab 25. Mai 2018:

• Jeder Mit­ar­bei­ter, dem eine Da­ten­pan­ne un­ter­läuft, muss mög­lichst sofort seine Vor­ge­setz­ten einschalten.
• Nur so lässt sich ver­mei­den, dass dem Un­ter­neh­men ein mög­li­cher­wei­se teures Buß­geld­ver­fah­ren droht.
• Mel­dun­gen von Un­ter­neh­men an die Da­ten­schutz­auf­sicht werden künftig viel häu­fi­ger sein als bisher.
• Für sie gilt eine Frist von 72 Stunden. Sie lässt sich nur ein­hal­ten, wenn jeder Mit­ar­bei­ter Pannen sofort intern meldet.
• Eine Meldung an die Da­ten­schutz­auf­sicht hat für sich allein noch keine ne­ga­ti­ven Kon­se­quen­zen. Es kann aber na­tür­lich vor­kom­men, dass die Da­ten­schutz­auf­sicht genauer nach­fragt, was ei­gent­lich genau pas­siert ist.
• Eine Meldung an die Da­ten­schutz­auf­sicht führt nicht au­to­ma­tisch dazu, dass die Be­trof­fe­nen über die Da­ten­pan­ne be­nach­rich­tigt werden. Eine solche Be­nach­rich­ti­gung der Be­trof­fe­nen ist an relativ enge Vor­aus­set­zun­gen geknüpft.
• Sank­ti­on: bis zu 10 Mio. Euro Bußgeld oder 2 % des welt­wei­ten Jah­res­um­sat­zes des Vor­jah­res, je nach dem was höher ist.

Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.
Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: per E-Mail consulting@AdOrgaSolutions.de oder
te­le­fo­nisch Büro München +49 89 411 726 – 35, Büro Wien +43 1 253 017- 8177.