Interner Ablaufplan: So geht man bei einer Datenpanne vor

By DatenschutzDatenpannen & Cyberangriffe
Beitragsbild zur Kategorie "Datenpannen & Cyberangriffe"

Ohne klaren Prozess gehen im Ernstfall oft wertvolle Stunden verloren. Ein praktischer interner Ablauf sieht typischerweise wie folgt aus:

Erkennen und internes Melden
  • Jede Mitarbeiterin und jeder Mitarbeiter ist verpflichtet, Verdachtsfälle sofort an eine definierte Stelle zu melden, etwa an die oder den Datenschutzbeauftragten, die IT‑Sicherheit oder die Geschäftsführung.
  • Ein einfaches internes Meldeformular oder eine zentrale E‑Mail‑Adresse hilft, keine wesentlichen Angaben zu vergessen.
Erste Maßnahmen zur Schadensbegrenzung
  • Systeme sichern, Zugänge sperren, Passwörter ändern und kompromittierte Dienste isolieren.
  • Beweise sichern, beispielsweise Protokolle oder Screenshots, um später Ursachen nachvollziehen zu können.
Sachverhalt ermitteln
  • Welche Daten sind betroffen, insbesondere Art, Umfang und Sensibilität der Daten.
  • Wie viele Personen sind betroffen und welche Gruppen, etwa Kunden, Patienten oder Mitarbeitende.
  • Wie ist es zu dem Vorfall gekommen, zum Beispiel durch technischen Fehler, menschliches Versehen oder einen Angriff.
  • Sind die Daten noch verfügbar oder dauerhaft verloren.
Risiko bewerten und Meldepflicht prüfen
  • Besteht voraussichtlich kein Risiko, ist keine Meldung erforderlich, die Entscheidung sollte aber dokumentiert werden.
  • Besteht ein Risiko, ist eine Meldung an die zuständige Aufsichtsbehörde nach Art. 33 DSGVO erforderlich.
  • Besteht ein hohes Risiko, sind zusätzlich die betroffenen Personen nach Art. 34 DSGVO zu informieren.
Meldung an die Aufsichtsbehörde (innerhalb von 72 Stunden)
  • Möglichst innerhalb der Frist von 72 Stunden sollte eine erste, gegebenenfalls noch unvollständige Meldung abgegeben und später durch weitere Informationen ergänzt werden.
  • Viele Aufsichtsbehörden stellen hierfür Online‑Formulare oder PDF‑Muster zur Verfügung.
Information der Betroffenen (falls erforderlich)
  • In klarer und verständlicher Sprache sollte erläutert werden, was passiert ist, welche Folgen drohen und welche Maßnahmen bereits ergriffen wurden sowie welche Schutzmaßnahmen den Betroffenen empfohlen werden.
  • Es ist ein Kommunikationskanal zu wählen, der die Betroffenen zuverlässig erreicht, etwa Brief, E‑Mail oder in Ausnahmefällen eine öffentliche Bekanntmachung.
Nachbereitung und Prävention
  • Es sollte eine Ursachenanalyse erfolgen, auf deren Basis technische und organisatorische Maßnahmen angepasst, Schulungen durchgeführt und Prozesse verbessert werden.
  • Alle Schritte und Entscheidungen sind schriftlich zu dokumentieren, auch im Fall einer Nicht‑Meldung.

Was muss in die Meldung an die Aufsichtsbehörde?

Die Meldung nach Art. 33 DSGVO hat bestimmte Pflichtinhalte. Viele deutsche Aufsichtsbehörden und Praxishilfen bilden diese Vorgaben bereits in Formularen ab.

Typische Angaben im Meldeformular sind:

  • Kontaktdaten des Verantwortlichen und gegebenenfalls der oder des Datenschutzbeauftragten.
  • Beschreibung der Art der Datenpanne, z.B. Fehlversand, Hackerangriff oder Verlust eines Geräts.
  • Kategorien und ungefähre Anzahl der betroffenen Personen.
  • Kategorien und ungefähre Anzahl der betroffenen Datensätze.
  • Beschreibung der wahrscheinlichen Folgen der Datenpanne.
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen, insbesondere TOM zur Eindämmung und zur zukünftigen Vermeidung.
  • Zeitpunkt des Bekanntwerdens und Zeitpunkt der Meldung sowie gegebenenfalls eine Begründung bei Fristüberschreitung.
  • Falls innerhalb der 72 Stunden noch nicht alle Informationen vorliegen, kann zunächst eine vorläufige Meldung an die Aufsichtsbehörde übermittelt und zu einem späteren Zeitpunkt ergänzt werden.

Dokumentation: Auch Nicht‑Meldungen festhalten

Selbst wenn man zu dem Schluss kommt, dass eine konkrete Datenpanne nicht meldepflichtig ist, muss die Entscheidung mitsamt ihrer Begründung dokumentiert werden.

Eine praxisnahe Liste könnte enthalten:

  • Kurze Beschreibung des Vorfalls.
  • Einschätzung des Risikos und Gründe, warum keine Meldepflicht angenommen wurde.
  • Datum, verantwortliche Entscheidungsträger sowie gegebenenfalls die Einbindung der oder des Datenschutzbeauftragten.
  • Ergriffene technische und organisatorische Maßnahmen, um Wiederholungen zu vermeiden.

Diese „Datenpannen‑Chronik“ kann von Aufsichtsbehörden angefordert werden und zeigt, dass die Sorgfaltspflichten ernst genommen werden.