Eine Verletzung des Datenschutzes „beichten“ zu müssen, ist immer unangenehm. Jeder weiß, dass es Folgen haben kann, im schlimmsten Fall auch arbeitsrechtliche. Deshalb schweigen manche lieber. Doch Vorsicht! Ab 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DS-GVO). Dann kann das Verschweigen einer Datenpanne alles noch viel schlimmer machen.
Der verschwundene Laptop
Ein Laptop mit Kundendaten ist weg. Wahrscheinlich blieb er vor ein paar Tagen schlicht im Zug liegen. Das Gerät ist schon fünf Jahre alt und wurde nur noch ausnahmsweise benutzt. Also vermisst es niemand wirklich. Und die Kundendaten sind im EDV-System natürlich noch vorhanden. Da wird auch niemand misstrauisch. Also lieber mal einfach nichts sagen nach dem Motto „Wird schon gut gehen“? Schon jetzt ist das keine gute Idee. Ab 25. Mai 2018 kann diese Taktik sogar richtig übel enden.
Meldepflicht des Unternehmens …
Schon jetzt sind Unternehmen verpflichtet, bestimmte Datenpannen der Datenschutzaufsicht zu melden. Ausgangspunkt ist dabei, dass Daten unbefugt übermittelt wurden. Das bedeutet vereinfacht gesagt, dass sie zu Unrecht in die Hände von Außenstehenden gelangt sind. Das allein reicht aber nicht, um eine Meldepflicht entstehen zu lassen. Vielmehr muss noch hinzukommen, dass „schwerwiegende Beeinträchtigungen“ für die Rechte der Personen drohen, um deren Daten es geht.
… bisher oft nur Theorie
Diese Einschränkung führt bisher dazu, dass im Ergebnis oft keine Meldepflicht besteht. Beispiel: Ein Laptop geht verloren. Die Daten auf dem Laptop sind jedoch nach dem Stand der Technik verschlüsselt. Dann kann man davon ausgehen, dass keine schwerwiegenden Beeinträchtigungen drohen. Folge: Eine Meldepflicht entsteht im Ergebnis nicht.
Künftig sieht es anders aus
Die Regelungen der DS-GVO für die Meldepflicht sehen anders aus. Sie kennen eine solche Einschränkung nicht. Vielmehr muss ein Unternehmen künftig jede „Verletzung des Schutzes personenbezogener Daten“ der Datenschutzaufsicht melden. Diese Meldepflicht ist in keiner Weise eingeschränkt. Das bedeutet: Der Verlust eines Laptops mit personenbezogenen Daten muss auch dann gemeldet werden, wenn wahrscheinlich alles ausreichend verschlüsselt war.
Meldefrist: 72 Stunden
Das Brisante dabei: Bei der Meldung an die Datenschutzaufsicht ist eine Frist von 72 Stunden zu beachten. Wird sie grundlos überschritten, droht dem Unternehmen schon deshalb ein Bußgeld. Ausreden von der Art „Unser Mitarbeiter hat uns die Panne intern nicht verraten“ gelten dabei nicht. Die Antwort darauf wäre: „Dann bringen Sie Ihren Mitarbeitern eben bei, dass Datenpannen gleich zu melden sind.“
Online-Formulare in Vorbereitung
In der Praxis wird es darauf hinauslaufen, dass eine Meldung an die Datenschutzaufsicht künftig relativ häufig notwendig ist. Die ersten Aufsichtsbehörden (etwa das Bayerische Landesamt für Datenschutzaufsicht) stellen dafür schon Online-Formulare bereit.
Ausnahme: Benachrichtigung der Betroffenen
Ob den Betroffenen, um deren Daten es geht, „etwas passieren“ kann, spielt bei der Meldepflicht keine Rolle. Dieser Aspekt wird erst wichtig, wenn es um die Benachrichtigung der Betroffenen geht. Sie ist gesondert geregelt (Art. 34 DS-GVO). Die Betroffenen müssen nur dann benachrichtigt werden, wenn ihnen „voraussichtlich ein hohes Risiko droht“.
Am Beispiel des verschlüsselten Laptops wird wieder deutlich, was das bedeutet: Sind die Daten auf dem Laptop nach dem Stand der Technik verschlüsselt, droht kein hohes Risiko, wenn er Unbefugten in die Hände gerät. Die Folge: Die Betroffenen müssen nicht benachrichtigt werden.
Neue Spielregeln im Überblick ab 25. Mai 2018:
- Jeder Mitarbeiter, dem eine Datenpanne unterläuft, muss möglichst sofort seine Vorgesetzten einschalten.
- Nur so lässt sich vermeiden, dass dem Unternehmen ein möglicherweise teures Bußgeldverfahren droht.
- Meldungen von Unternehmen an die Datenschutzaufsicht werden künftig viel häufiger sein als bisher.
- Für sie gilt eine Frist von 72 Stunden. Sie lässt sich nur einhalten, wenn jeder Mitarbeiter Pannen sofort intern meldet.
- Eine Meldung an die Datenschutzaufsicht hat für sich allein noch keine negativen Konsequenzen. Es kann aber natürlich vorkommen, dass die Datenschutzaufsicht genauer nachfragt, was eigentlich genau passiert ist.
- Eine Meldung an die Datenschutzaufsicht führt nicht automatisch dazu, dass die Betroffenen über die Datenpanne benachrichtigt werden. Eine solche Benachrichtigung der Betroffenen ist an relativ enge Voraussetzungen geknüpft.
- Sanktion: bis zu 10 Mio. Euro Bußgeld oder 2 % des weltweiten Jahresumsatzes des Vorjahres, je nach dem was höher ist.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: per E-Mail consulting@AdOrgaSolutions.de oder
telefonisch Büro München +49 89 411 726 – 35, Büro Wien +43 1 253 017- 8177.