Daten­pan­ne gemel­det: So ver­mei­den Sie hohe Buß­gel­der und schüt­zen Ihr Unter­neh­men vor data breaches

Daten­pan­nen – auch bekannt als „data brea­ches“ – stel­len für Unter­neh­men jeder Grö­ße ein erheb­li­ches Risi­ko dar. Neben den finan­zi­el­len Fol­gen durch Buß­gel­der kön­nen sie auch zu Image­schä­den und Ver­trau­ens­ver­lust bei Kun­den füh­ren. Ins­be­son­de­re klei­ne Unter­neh­men, die häu­fig mit begrenz­ten Res­sour­cen arbei­ten, soll­ten sowohl in prä­ven­ti­ve Maß­nah­men inves­tie­ren als auch im Ernst­fall über einen gut struk­tu­rier­ten Not­fall­plan verfügen.

In die­sem Bei­trag erfah­ren Sie:

• Wel­che Buß­gel­der im Fal­le einer Daten­pan­ne drohen,
• Wel­che Sofort­maß­nah­men im Ernst­fall zu ergrei­fen sind,
• Wie Sie sich mit einem struk­tu­rier­ten Kri­sen­plan schüt­zen können,
• Und erhal­ten zusätz­lich eine Über­sicht der Online-Mel­de­for­mu­la­re der zustän­di­gen Datenschutzaufsichtsbehörden.

Risi­ken und Buß­gel­der bei einer Datenpanne

Die Daten­schutz-Grund­ver­ord­nung (DSGVO) sieht bei Ver­stö­ßen gegen den Schutz per­so­nen­be­zo­ge­ner Daten emp­find­li­che Sank­tio­nen vor. Ver­ant­wort­li­che kön­nen je nach Schwe­re des Vor­falls mit Buß­gel­dern von bis zu 10 Mil­lio­nen Euro oder bis zu 2 % des welt­wei­ten Jah­res­um­sat­zes belegt wer­den – je nach­dem, wel­cher Betrag höher ist. Bereits klei­ne­re Ver­stö­ße kön­nen gera­de für KMU exis­tenz­be­dro­hend sein, wenn sie neben den Buß­gel­dern auch wei­te­re Kos­ten, wie etwa für Rechts­be­ra­tung und Image­wie­der­her­stel­lung, nach sich ziehen.

Erle­di­gen Sie die­se 4 Sofort­maß­nah­men im Fall einer Datenpanne

Im Fal­le einer Daten­pan­ne zählt jede Minu­te. Ver­ant­wort­li­che soll­ten daher unver­züg­lich fol­gen­de Schrit­te einleiten:

• Mel­dung an die Aufsichtsbehörde:
  Die DSGVO schreibt vor, dass eine Daten­pan­ne inner­halb von 72 Stun­den gemel­det wer­den muss. Eine ver­spä­te­te Mel­dung bedarf einer nach­voll­zieh­ba­ren Begründung.
• Trans­pa­ren­te Infor­ma­ti­on der Betroffenen:
  Infor­mie­ren Sie Kun­den, Mit­ar­bei­ter oder ande­re betrof­fe­ne Per­so­nen früh­zei­tig über den Vor­fall – ins­be­son­de­re dann, wenn ein hohes Risi­ko für ihre Rech­te und Frei­hei­ten besteht.
• Inter­ne Ana­ly­se und Dokumentation:
  Ermit­teln Sie die Ursa­che der Pan­ne, doku­men­tie­ren Sie alle Schrit­te und ergrei­fen Sie Maß­nah­men zur Schadensbegrenzung.
• Recht­li­che Beratung:
  Zie­hen Sie früh­zei­tig einen spe­zia­li­sier­ten Rechts­an­walt hin­zu, um recht­li­che Risi­ken zu mini­mie­ren und gege­be­nen­falls wei­te­re Schrit­te ein­zu­lei­ten. Ach­te Sie dabei auf die knapp bemes­se­ne Zeit von 72 Stun­den! Der Anwalt kann prü­fen, ob eine mel­de­pflich­ti­ge Situa­ti­on vor­liegt und — anders als Daten­schutz­be­auf­trag­te ohne anwalt­li­che Zulas­sung, denen eine indi­vi­du­el­le Rechts­be­ra­tung nicht erlaubt ist — Sie bei der Mel­dung und ggf. wei­te­ren Ver­fah­ren (Buß- oder Straf­ver­fah­ren, behörd­li­ches Ver­fah­ren) opti­mal unterstützen.

Pra­xis­taug­li­che Vor­la­gen für den Notfall

Um im Ernst­fall schnell reagie­ren zu kön­nen, stel­len wir Ihnen drei Mus­ter-Vor­la­gen zur Verfügung:

• Mit­tei­lung an die Landesdatenschutzbehörde:
  Nut­zen Sie die­se Vor­la­ge, um den Vor­fall gemäß Art. 33 DSGVO frist­ge­recht zu melden.
• Mit­tei­lung an betrof­fe­ne Personen:
  Die­ses Mus­ter infor­miert Ihre Kun­den oder Mit­ar­bei­ter trans­pa­rent und nach­voll­zieh­bar über den Vorfall.
• Not­fall­kar­te (DIN A4):
  Eine kom­pak­te Über­sicht der wich­tigs­ten Kon­takt­in­for­ma­tio­nen und Maß­nah­men, die im Kri­sen­fall schnell zur Hand sein sollte.