Der Reaktionsplan des Unternehmens enthält folgende Schritte
- Schnelle Kenntniserlangung von Datenpannen
- Bewertung
- Maßnahmen zur Abwendung/Eindämmung
- Entscheidung ob eine Meldung erfolgen soll
- Meldung an die Aufsichtsbehörde und/oder den Betroffenen
1. Schnelle Kenntniserlangung
Der erste Schritt, die zügige Kenntniserlangung von Datenpannen und deren anschließende Weiterleitung an den Datenschutzbeauftragten erfolgt unverzüglich. Das Zeitfenster bis zur Meldung an die Aufsichtsbehörde beträgt 72 Stunden, unabhängig von Wochenenden oder Feiertagen.
2. Bewertung von Datenpannen
Nach Meldung an den Datenschutzbeauftragten wird dieser anschließend gemeinsam mit dem Verantwortlichen eine Bewertung der Datenpanne durchführen. Mögliche Kriterien zur Ermittlung des Risikos einer Datenschutzpanne sind u.a. die Kategorien der betroffenen Daten oder die Art der Verletzung.
3. Durchführung von Gegenmaßnahmen
Gemeinsam mit dem Verantwortlichen entwickelt der Datenschutzbeauftragte unverzüglich einen Plan mit effektiven Gegenmaßnahmen, diese werden dann sofort umgesetzt. Diese Maßnahmen reduzieren möglichst den möglichen Schaden, verhindern auf alle Fälle eine Ausweitung des Schadens.
4. Entscheidung über die Meldung des Vorfalls
An die Bewertung der Datenpanne schließt sich die Entscheidung an, ob eine Meldung an die Aufsichtsbehörde und/oder an den Betroffenen erfolgen soll. Bei der Entscheidung ist in Unternehmen die Geschäftsführung einbezogen. Bei positiver Entscheidung erfolgt dann die Meldung an die Aufsichtsbehörde und/oder den Betroffenen
5. Meldung an die Aufsichtsbehörde und/oder den Betroffenen
Auf den Seiten der Landes-Aufsichtsbehörden wird Verantwortlichen die Möglichkeit gegeben, die Meldung einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 DS-GVO, umgangssprachlich „Datenpanne“ genannt, online vorzunehmen.
Die Meldung muss vom Verantwortlichen gemacht, es empfiehlt sich aber immer vorher Ihren Datenschutzbeauftragten zu kontaktieren.
FAQ’s - Fragen bei einer Datenpanne
Beispielhaft sind nachfolgend die Fragen aufgelistet, die in der Regel bei Meldung einer Datenpanne zu beantworten sind:
Wo ist die Datenpanne passiert?
Name der betroffenen Stelle (z.B. Unternehmen, Verein, Praxis)
Name des Verantwortlichen
Straße und Hausnummer
PLZ und Ort
Name der meldenden Person
Funktion der meldenden Person beim Verantwortlichen
E-Mail-Adresse der meldenden Person
Telefon-Nr. der meldenden Person
Was ist passiert?
An dieser Stelle genügt eine kurze Zusammenfassung des Vorfalls. Mögliche 'Datenpannen' sind z.B.:Fehlversendung/Sendung an falschen Adressaten, Unberechtigte Weitergabe/unberechtigter Zugriff Dritter, Datenverlust durch verloren gegangenes Medium, Datenverlust durch Hacking, Datenverlust durch Ausspähen (z. B. Skimming) , Datenverlust durch Diebstahl, Datenverlust durch sonstige Umstände (bitte erläutern).
Beschreibung der Datenpanne
Zeitpunkt des Vorfalls
Zeitpunkt der Kenntnisnahme des Vorfalls
Welche Datenarten sind betroffen?
Nennung der Datenkategorien wie z.B. Beschäftigtendaten, Kundendaten, Bankverbindungsdaten, Gesundheitsdaten etc.
Die Daten wie vieler Personen sind betroffen?
Falls die Zahl der Betroffenen nicht genau ermittelt werden kann oder konnte, geben Sie bitte eine geschätzte Obergrenze an.
Risikoeinschätzung
Welche Folgen der Verletzung des Schutzes personenbezogener Daten halten Sie für wahrscheinlich?
Die wahrscheinlichen oder bereits eingetretenen nachteiligen Folgen für die Betroffenen (z.B. unberechtigte Kontoabbuchungen, Identitätsdiebstahl, Ruf-/Imageschädigung, Existzenzgefährdung, Lebensgefährdung, Bloßstellung, Identitätsdiebstahl, Geheimnisoffenbarung) sind aufzuführen.
- Welche Gegenmaßnahmen wurden vom Verantwortlichen ergriffen oder werden vorgeschlagen?
- Welche Gegenmaßnahmen haben Sie bereits eingeleitet, welche weiteren Gegenmaßnahmen sind geplant?
- Besteht nach Ihrer Einschätzung für Sie die Pflicht, die Betroffenen zu benachrichtigen (Art. 34 DS-GVO)?
Falls nein: Bitte begründen Sie Ihre Entscheidung.
Geben Sie bitte hier an: Wann wurden oder werden die Betroffenen über den Vorfall informiert? Auf welche Weise wurden oder werden die Betroffenen informiert? Welche konkreten Gegenmaßnahmen haben Sie den Betroffenen empfohlen?
Falls ja: Wie und wann wurden (werden) die Betroffenen benachrichtigt und welche Gegenmaßnahmen haben Sie ihnen empfohlen?
Sonstige Mitteilungen
Wurde Strafanzeige erstattet? Falls ja, teilen Sie uns bitte die betreffende Dienststelle und das Aktenzeichen mit. Sonstige Mitteilung an die Datenschutzaufsichtsbehörde.
Die Aufsichtsbehörden der Länder für den Datenschutz
Baden-Württemberg
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Postfach 10 29 32, 70025 Stuttgart
Königstraße 10a, 70173 Stuttgart
Tel.: 0711/61 55 41 – 0
Fax: 0711/61 55 41 – 15
E-Mail:poststelle@lfdi.bwl.de
Internet: https://www.baden-wuerttemberg.datenschutz.de
Bayern
Nicht-öffentlicher Bereich:
Landesamt für Datenschutzaufsicht
Postfach 606, 91511 Ansbach
Promenade 27 (Schloss), 91522 Ansbach
Tel.: 0981/53 – 13 00
Fax 0981/53 – 53 00
E-Mail: poststelle@lda.bayern.de
Internet: http://www.lda.bayern.de
Öffentlicher Bereich:
Der Bayerische Landesbeauftragte für den Datenschutz
Postfach 22 12 19, 80502 München
Wagmüllerstraße 18, 80538 München
Tel.: 089 212672-0
Fax: 089 212672-50
E-Mail: poststelle@datenschutz-bayern.de
Internet: http://www.datenschutz-bayern.de
Berlin
Berliner Beauftragte für Datenschutz und Informationsfreiheit
Friedrichstr. 219, 10969 Berlin
Besuchereingang: Puttkamer Str. 16-18 (5. Etage)
Tel.: 030/138 89 – 0
Fax: 030/215 – 50 50
E-Mail: mailbox@datenschutz-berlin.de
Internet: http://www.datenschutz-berlin.de
Brandenburg
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht (LDA Bbg)
Stahnsdorfer Damm 77, 14532 Kleinmachnow
Tel.: 033203/356-0, Fax: 033203/356-49
E-Mail: Poststelle@LDA.Brandenburg.de
Internet: http://www.lda.brandenburg.de
Bremen
Der Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen
Arndtstr. 1, 27570 Bremerhaven
Tel.: 0421/361-2010
Fax: 0421/361-18495
E-Mail: office@datenschutz.bremen.de
Internet: www.datenschutz-bremen.de
Hamburg
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Kurt-Schumacher-Allee 4, 20097 Hamburg
Tel.: 040/428 54 – 40 40
Fax: 040/428 54 – 40 00
E-Mail: mailbox@datenschutz.hamburg.de
Internet: www.datenschutz-hamburg.de
Hessen
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1, 65189 Wiesbaden
Postfach 31 63, 65021 Wiesbaden
Telefon: 06 11/140 80, Telefax: 06 11/14 08-900
E-Mail: poststelle@datenschutz.hessen.de
Internet: http://www.datenschutz.hessen.de
Mecklenburg-Vorpommern
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Schloss Schwerin, Johannes Stelling-Straße 21, 19053 Schwerin
Tel.: 0385/594 94 – 0
Fax: 0385/594 94 – 58
E-Mail: info@datenschutz-mv.de
Internet: www.lfd.m-v.de
Niedersachsen
Die Landesbeauftragte für den Datenschutz Niedersachsen
Postfach 221, 30002 Hannover
Brühlstraße 9, 30169 Hannover
Tel.: 0511/120 – 45 00
Fax: 0511/120 – 45 99
E-Mail: poststelle@lfd.niedersachsen.de
Internet: www.lfd.niedersachsen.de
Nordrhein-Westfalen
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Postfach 20 04 44, 40102 Düsseldorf
Kavalleriestraße 2-4, 40213 Düsseldorf
Tel.: 0211/384 24 – 0
Fax: 0211/384 24 – 10
E-Mail: poststelle@ldi.nrw.de
Internet: www.ldi.nrw.de
Rheinland-Pfalz
Postanschrift
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Postfach 30 40
55020 Mainz
Besucheradresse
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34
55116 Mainz
Tel.: 061 31/208-24 49
Fax: 061 31/208-24 97
E-Mail: poststelle@datenschutz.rlp.de
Internet: www.datenschutz.rlp.de
Saarland
Unabhängiges Datenschutzzentrum Saarland
Landesbeauftragte für Datenschutz und Informationsfreiheit
Fritz-Dobisch-Straße 12, 66111 Saarbrücken
Postfach 10 26 31, 66026 Saarbrücken
Telefon: 06 81/947 81-0, Telefax: 06 81/947 81-29
E-Mail: poststelle@lfdi.saarland.de
Internet: http://www.datenschutz.saarland.de
Sachsen
Der Sächsische Datenschutzbeauftragte
Bernhard-von-Lindenau-Platz 1, 01067 Dresden
Postfach 12 09 05, 01008 Dresden
Tel.: 0351/493 – 54 01
Fax: 0351/493 – 54 90
E-Mail: saechsdsb@slt.sachsen.de
Internet: www.datenschutz.sachsen.de
Sachsen-Anhalt
Landesbeauftragter für den Datenschutz Sachsen Anhalt
Postfach 19 47, 39009 Magdeburg
Leiterstraße 9, 39104 Magdeburg
Tel.: 0391/81803 0 Fax: 0391/81803-33
E-Mail: poststelle@lfd.sachsen-anhalt.de
Internet: http://www.datenschutz.sachsen-anhalt.de
Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Postfach 71 16, 24171 Kiel
Holstenstraße 98, 24103 Kiel
Tel.: 0431/988 – 12 00
Fax: 0431/988 – 12 23
E-Mail: mail@datenschutzzentrum.de
Internet: www.datenschutzzentrum.de
Thüringen
Der Thüringer Landesbeauftragte für den Datenschutz (TLFD)
Postfach 90 04 55, 99107 Erfurt
Häßlerstraße 8, 99096 Erfurt
Tel.: 0361/37 71-900, Fax -904
E-Mail: poststelle@datenschutz.thueringen.de
Internet: www.thueringen.de/datenschutz