Wie man mit einer Datenpanne richtig umgeht, ist den meisten leider völlig unklar. Und wenn das Glück es gut meint, ist dies für die meisten soweit auch erst mal nicht schlimm. Aber für den Fall der Fälle sollten Sie vorbereitet sein und Ihr Glück nicht zu sehr auf die Probe stellen. Ich habe Ihnen daher ein paar Tipps und Ratschläge zusammengestellt, die Ihnen bei den ersten Schritten nach einer möglichen Datenpanne helfen können:
Darum geht es: Nach der aktuellen BDSG-Novelle (seit 09/2009 gültig) und § 42a BDSG müssen nach einer Datenpanne unter Umständen bestimmte Informationspflichten zeitnah von Ihnen erfüllt werden, da sonst Bußgelder und andere Konsequenzen drohen.
Wann handeln?: Sind von einer Datenpanne spezielle Datenkategorien betroffen und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der betroffenen Dateninhaber, sind die zuständige Aufsichtsbehörde und natürlich auch die Betroffenen selber zu unterrichten.
Wie handeln?: Keine Panik, Sie müssen sich kein Bein ausreißen und sofort tausende Briefe tippen, sondern erst einmal Ruhe bewahren und alles genau analysieren. Die Mitteilung an die Betroffenen hat zwar unverzüglich zu erfolgen, aber erst nach der Datensicherung, sprich wenn eine Strafverfolgung nicht mehr akut ist. Weiterhin sieht § 42a das BDSG vor, dass die Betroffenen eine Schilderung der unrechtmäßigen Kenntniserlangung der Datenpanne erhalten sowie zusätzlich eine Empfehlung für Maßnahmen zur Minderung möglicher nachteiliger Folgen.
Die Aufsichtsbehörde hingegen muss zusätzlich und vor den Betroffenen eine Erläuterung möglicher nachteiliger Folgen der Datenpanne und der von Ihnen daraufhin ergriffenen Maßnahmen erhalten.
Zudem sollten die betroffenen IT-Systeme durch Ihr Unternehmen nicht einfach verändert werden (sofern keine direkte akute Gefahr mehr von ihnen ausgeht). Vielmehr müssen die Spuren des Vorfalls für die Staatsanwaltschaft bewahrt werden. Besteht der Verdacht, dass Passwörter missbraucht wurden, sind diese umgehend zu deaktivieren und in Absprache mit den ermittelnden Stellen die entsprechenden Zugänge zu löschen. Wichtig ist hier wirklich, dass Sie alles absprechen und nicht in Panik handeln und Sperren/Löschen/etc. …
Externe Datenpannen-Meldungen an Sie: Wenn nun ein Dritter an Ihr Unternehmen herantritt und eine Datenpanne bei Ihnen meldet, sollte ebenfalls keine Panik ausbrechen, sondern zuerst die meldende Stelle um genaue Angaben gebeten werden (wie z.B.: Kontaktdaten, genaue Beschreibung des vermuteten Datenlecks, Art der Daten, wie bemerkt, etc. ).
Dann erfolgt sofort eine Prüfung dieser Meldung durch die definierten Verantwortlichen, wobei Ihr interner oder externer Datenschutzbeauftragter die Prüfung begleiten sollte. Stellt sich die Datenpanne als echt heraus, greifen die Maßnahmen der Information aller relevanten Stellen (Aufsichtsbehörde, Betroffene, etc.).
Fazit: In jedem Fall Ruhe bewahren und Ihren Datenschutzbeauftragten in alle Prozesse aktiv und umfangreich mit einbeziehen. Optimaler Weise (je nach Kompetenz und Verfügbarkeit) sollten Sie ihm die Leitung des Vorfalls überlassen.
Wenn Sie Ihrer Sorgfaltspflicht nachkommen, ist das Meiste geschafft und die Gefahr erst mal gebannt. Dann gilt es so etwas zukünftig zu vermeiden.
Mit freundlichen Grüßen aus Essen,
Jan-Philip Ziebold
Direktmarketing Blog 
Ein Kommentar zu „Wie reagiert man richtig bei einer Datenpanne?“