- VDK EDV - https://www.vdk-edv-service.de -

Umgang mit Datenschutzverletzungen

Posted By anjabetten On In Datenschutz | Comments Disabled

Unbeabsichtigte Datenschutzverletzungen finden in jeder Organisation beinahe täglich statt. Im Grunde stellt fast jeder Verstoß gegen datenschutzrechtliche Vorschriften eine Datenschutzverletzung dar. Die Arten der Verletzungen sind so vielfältig, dass es den Bearbeitern der Daten kaum bewusst ist, einen Verstoß gegen den Datenschutz zu begehen und damit unter Umständen eine Datenschutzverletzung auszulösen. Zunächst ist es wichtig zu wissen, was eine Datenschutzverletzung ist.

Art. 4 Nr. 12 DSGVO

„Verletzung des Schutzes personenbezogener Daten“ ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Bei der Beurteilung einer Datenpanne spielt es demnach keine Rolle, ob etwas beabsichtigt oder unbeabsichtigt passiert ist. Das Ergebnis der Panne ist häufig der Verlust von Daten oder die versehentliche Offenlegung von Informationen. Aber selbst die unbewusste Veränderung von Daten kann schon eine Datenpanne darstellen, weil die betroffene Person einen Nachteil aus der Veränderung erleiden kann, z.B. Versendung von Mahnungen an die falsche Anschrift.

Beispiele von Datenschutzverletzungen
(Vorausgesetzt es sind personenbezogene Daten betroffen)

  1. Verlust von Speichermedien (z.B. USB-Stick, Smartphone, Laptop)
  2. Opfer eines Cyberangriffs, Virusbefall oder Phishing-Angriff
  3. (Un-)beabsichtigte Löschung von Daten
  4. Falscher Empfänger von E-Mail, Briefen usw.
  5. Entsorgung von Dokumenten im Papierkorb (ohne diese mittels Aktenvernichter „geschreddert“ zu haben)
  6. Einblicke von Unbefugten in Daten (Dokumente, PC)
  7. Einbruch und Diebstahl von Hardware (Kamera, Laptop)

Maßnahmen

Zunächst ist es wichtig, den Schaden der Datenschutzverletzung zu begrenzen. Je nach Art der Verletzung sollten Maßnahmen ergriffen werden, wie beispielsweise:

DatenschutzverletzungSoforthilfe
Falscher Empfänger von E-Mail, Briefen usw.Falschen Empfänger informieren und um Vernichtung der Daten bitten
Opfer eines Cyberangriffs oder VirusbefallPC vom Internet trennen und IT-Fachpersonal informieren
Entsorgung von ungeschredderten Dokumenten im PapierkorbEntfernen der Unterlagen und ordnungsgemäß vernichten

Nachdem die Maßnahmen zur Soforthilfe ergriffen wurden, muss der/die Vorgesetzte und ggf. der/die Beauftragte für den Datenschutz informiert werden. Mitarbeiter des VdK Bayern können hierfür ein Meldeformular nutzen: https://map.vdk-edv.de/documents/meldung%20datenschutzverletzungen.pdf?id=0ff28827-9aab-4549-b9c9-633e715dcd24 [1]
Der/die Beauftragte für den Datenschutz berät Vorgesetzte über das weitere Vorgehen und unterstützt bei notwendigen Meldungen an Behörden und Betroffene.

Grundsätzlich ist jede Datenschutzverletzung umfangreich zu dokumentieren (Art. 33 Abs. 5 DSGVO), unabhängig davon, ob sie meldepflichtig war oder nicht. Dies dient auch der zukünftigen Nachverfolgung einer Datenschutzverletzung und der Begründung einer eventuell nicht erfolgten Meldung an die Aufsichtsbehörde.

Quelle: Stiftung Datenschutz