Datenpannen bewältigen: So gehen Sie bei Schutzverletzun ... / 8 Ablauf- und Kommunikationsplan bei Schutzverletzungen

Sollte es sich bei einem entsprechender Vorfall um eine Schutzverletzung darstellen, so ist – auch gerade aufgrund der engen 72h-Frist – ein innerbetrieblicher Ablauf- und Kommunikationsplan unerlässlich. Ein solcher ist nachfolgend exemplarisch aufgelistet, der je nach Unternehmensorganisation entsprechend anzupassen ist. Hierbei ist wie folgt vorzugehen:

• Der Mitarbeiter, der die Schutzverletzung bemerkt/begangen hat, meldet diese, einschließlich aller Informationen, dem Vorgesetzten (Abteilungs- oder Teamleiter).

• Der (Fach-)Vorgesetzte meldet den Vorfall unverzüglich dem zuständigen Datenschutzbeauftragten des Unternehmens.

• Der Datenschutzbeauftragte sammelt alle Informationen über den Vorfall beim Erstmelder (Mitarbeiter), (Fach-)Vorgesetzten sowie bei der IT-/EDV-Abteilung zur Prüfung und Bewertung des Vorfalls.

• Ist die Schutzverletzung beim Auftragsverarbeiter eingetreten, kontaktiert der Datenschutzbeauftragte diesen, fordert alle vorhandenen Informationen über den Vorfall an und macht die vertraglich vereinbarte Unterstützungspflicht geltend.

• Der Datenschutzbeauftragte meldet den Vorfall an den Verantwortlichen (z. B. an den Geschäftsführer) und trifft mit diesem eine gemeinsame Entscheidung darüber, ob eine Meldung an die Aufsichtsbehörde gemäß Art. 33 DSGVO abzusetzen ist oder nicht. Zusätzlich wird im Anschluss geprüft, ob eine Benachrichtigung an die betroffenen Personen^[1] erfolgen muss.

• Gleichzeitig berät der Datenschutzbeauftragte zusammen mit dem Verantwortlichen, ggf. auch unter Einbindung der jeweiligen Fachabteilungen, welche Maßnahmen zur Reduzierung des bestehenden Risikos getroffen werden können.

• Ist eine Meldung/Benachrichtigung erforderlich, so nimmt der Datenschutzbeauftragte diese vor.

• Kann die Meldung an die Aufsichtsbehörde nicht innerhalb von 72 Stunden nach Bekanntwerden erfolgen, begründet der Datenschutzbeauftragte die Verspätung.

• Bei einer erforderlichen Benachrichtigung der Betroffenen entscheidet der Datenschutzbeauftragte zusammen mit dem Verantwortlichen auch über die Form der Benachrichtigung, wenn die konkret betroffenen Personen nicht sicher bestimmt werden können.

Dieser Ablauf- und Kommunikationsplan sollte an alle Mitarbeiter – auch über eine Darstellung im Intranet – kommuniziert und bei der nächsten Schulung ebenfalls besprochen und berücksichtigt werden. Eine zentrale Rolle nimmt hierbei der Datenschutzbeauftragte – sofern benannt – ein.

[1] Art. 34 DSGVO.