Richtig handeln bei Datenschutzpannen
Jahreslange Imagepflege und das hart erarbeitete Vertrauen der Kunden und der Öffentlichkeit verpuffen binnen Stunden, wenn der Verlust von Kundendaten die mediale Runde dreht. Datenschutz gehört nicht zum beliebtesten Thema bei der Unternehmensgründung, dennoch ist es unerlässlich, sich hier keine offene Flanke zu erlauben. Datenschutzpannen sind handfeste Unternehmenskrisen. Kommen Kundendaten online wie offline abhanden oder besteht ein solcher Verdacht, sind schnelle und überlegte Maßnahmen der Unternehmensleitung erforderlich.
Nach den großen Datenschutzskandalen der letzten Jahre – man denke an die Bahn, Lidl, Allianz oder Sony Playstation – erstaunt es doch einigermaßen, dass die Mehrzahl der deutschen Unternehmen immer noch nicht ausreichend auf den Fall einer Datenschutzpanne vorbereitet ist, wie eine Erhebung der Ludwig-Maximilians-Universität München und des TÜV Süd aufzeigt. Ein Drittel der befragten Unternehmen gaben an, keine Handlungsanweisungen für den Fall einer Datenschutzpanne vorzuhalten. Über die Hälfte der Unternehmen haben sich mit dem Thema kaum oder überhaupt nicht auseinandergesetzt. Häufig fehlt den es den Mitarbeitern schlicht am nötigen Wissen über den Datenschutz.
Datenschutzmanagement aufbauen
Um Datenschutzpannen zu vermeiden, müssen zunächst einige Grundvoraussetzungen erfüllt sein. Dazu gehört neben der Organisation bedarfsgerechter Datensicherheitsmaßnahmen die Sensibilisierung der Mitarbeiter. Die IT hat als Hauptschnittstelle den Menschen. Sie kann sich somit nicht vollständig selber schützen und bedarf deshalb bewussten Umgangs durch den Benutzer. Mit scheinbar banalen Maßnahmen können große Risiken abgewendet werden. Die Bestellung eines Datenschutzbeauftragten kann für zusätzliche Sicherheit sorgen.
Sofern die Verarbeitung sensibler Daten an externe Dienstleister übertragen wird (Outsourcing), ist in der Regel deren Sicherheitsniveau zu prüfen und sind die sicherheitsrelevanten Rahmenbedingungen der Datenverarbeitung vertraglich zu regeln (Auftragsdatenverarbeitung).
Im Fall der Fälle: richtig handeln
Eine Datenschutzpanne kommt in Betracht, wenn Daten abhandengekommen sind oder jemand unrechtmäßig Kenntnis erlangt hat. Bereits der Verdacht einer Datenschutzpanne verpflichtet zu Nachforschungen, ob tatsächlich eine unrechtmäßige Kenntniserlangung vorliegt.
Wenn sich der Verdacht bestätigt, ist zu prüfen, ob eine der folgenden Datenkategorien betroffen ist (vgl. § 42a Satz 1 BDSG):
- Besondere Arten personenbezogener Daten gemäß § 3 Absatz 9 BDSG. Das sind: Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Besonders relevant wird die Informationspflicht im Bereich der Verarbeitung von medizinischen Daten (durch Ärzte, Krankenhäuser, Versicherungen und so weiter). Auch die Tatsache, dass sich jemand in Behandlung befindet, stellt eine Angabe über die Gesundheit dar, so dass auch Kontaktdaten von Patienten unter § 42a Satz 1 Nr. 1 BDSG fallen können.
- Personenbezogene Daten, die einem Berufsgeheimnis unterliegen. Berufsgruppen, deren Angehörige einem Berufsgeheimnis unterliegen sind zum Beispiel Anwälte, Notare, Steuerberater, Ärzte.
- Personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen.
- Personenbezogene Daten zu Bank- oder Kreditkartenkonten. Das sind sämtliche Informationen, die mit solchen Konten im Zusammenhang stehen. Auch die Tatsache, dass eine Kontobeziehung besteht, gehört dazu. Kreditkarten- und Kontonummern mit oder ohne Namen des Kreditkarten- und Bankkontoinhabers sind ebenfalls personenbezogene Daten zu Bank- oder Kreditkartenkonten.
Liegt eine dieser Kategorien vor, so muss das Unternehmen unverzüglich, also ohne schuldhaftes Zögern, die zuständige Datenschutz-Aufsichtsbehörde informieren. Wird dies versäumt, können Bußgelder bis zu 300.000 Euro verhängt werden. Bußgeld gibt es also nicht für die Datenschutzpanne an sich, sondern für schlechtes Krisenmanagement. Sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden, sind zudem die Betroffenen zu benachrichtigen. Die Benachrichtigungspflicht kann so weit gehen, dass halbseitige Anzeigen in überregionalen Tageszeitungen geschaltet werden müssen, wie ein Fall von zwei Kliniken zeigt, in denen 2012 zehntausende digitale Krankenakten verschwunden sind. Es empfiehlt sich, frühzeitig den Datenschutzbeauftragten hinzuzuziehen. Er gibt Ratschläge zum weiteren Vorgehen und unterstützt bei der Kommunikation mit den verschiedenen Stellen.
Richtlinie für Datenschutzpannen
Aufgrund der hohen Risiken sollten sich Unternehmen auf Datenschutzpannen hinreichend vorbereiten. Durch klare Handlungsanweisungen an die Mitarbeiter kann häufig Schlimmeres verhindert werden. Die Verantwortlichkeiten müssen geregelt sein: Datenschutzpannen sind Chefsache und sollten als solche kommuniziert werden.
Folgende Informationen sollten für die Mitarbeiter klar sein:
- Zunächst sollte klargestellt werden, dass durch Anzeige eines Datenverlustes keine direkten arbeitsrechtlichen Konsequenzen zu befürchten sind. Denn nichts ist schlimmer, als wenn ein Mitarbeiter aus Angst um seinen Arbeitsplatz den Verlust eines USB-Sticks mit wertvollen Kundendaten verschweigt.
- Es sollte ein interner Meldeweg definiert werden. An wen sollen sich die Mitarbeiter im Verdachtsfall wenden? Wer ist wann zu informieren? Mögliche Stellen sind die Geschäftsführung, der Datenschutzbeauftragte, der IT-Verantwortliche und so weiter. Zeit spielt hierbei eine große Rolle.
- Neben der Weitergabe der Information innerhalb des Unternehmens ist es wichtig, dass die Beschäftigten wissen, was sie gegenüber einem Betroffenen kommunizieren dürfen. Denn nicht selten kommt es vor, dass der Verlust erst durch einen betroffenen Kunden ans Tageslicht gerät. Im Zweifel sollten hier keine Details genannt werden. Ein Verweis auf den Datenschutzbeauftragten und eine rasche interne Klärung ist zunächst ausreichend.
- Jeder Vorfall sollte dokumentiert werden, idealerweise bereits durch den meldenden Mitarbeiter. Die Dokumentation hilft bei der Prüfung, ob eine Meldepflicht gemäß § 42a BDSG besteht.
Unterstützung anfordern
Datenschutzrecht ist komplex. Unternehmen sind daher gut beraten, frühzeitig einem erfahrenen Datenschutzbeauftragten oder einen spezialisierten Rechtsanwalt hinzuzuziehen.