Verfahren zum Umgang mit Datenpannen – das wollen die Aufsichten wissen

In der vergangenen Woche kündigten die katholischen Datenschutzaufsichten der Nord- und Südwest-Bistümer an, 100 Einrichtungen aus dem Sozialbereich und Pfarreien zum Umgang mit Datenpannen zu befragen.

Warnleuchte auf einem Kasten an einer Hecke
Wenn die Alarmleuchte angeht, sollte klar sein, was man tut, wer es tut und warum. (Foto von Lucas Law auf Unsplash)

Der Fragebogen ist nicht öffentlich, mir wurde er jetzt aber aus Kreisen von befragten Einrichtungen zugespielt. Es handelt sich um ein online auszufüllendes Formular, das grundsätzlich recht kompakt ist. Aus den Fragen lässt sich einiges darüber ablesen, wie ein gutes Verfahren zum Umgang mit Datenschutzverletzungen nach der Vorstellung der Aufsichten aussieht.

Der Fragebogen der Aufsichten

Zunächst wird gefragt, ob es ein »festgelegtes Verfahren zum Umgang mit Datenschutzverletzungen« in der Einrichtung gibt. (Als Hinweis heißt es dazu: »Unter Datenschutzverletzungen im Sinne dieser Frage sind sämtliche ›Datenpannen‹ , z. B. Versand von Unterlagen an den falschen Empfänger, Veröffentlichung vertrauenswürdiger Informationen, Schadsoftwarebefall mit nachfolgendem Verlust personenbezogener Daten, Einbruchdiebstahl etc. zu verstehen – unabhängig von einer Meldepflicht an die Datenschutzaufsicht.«)

Antwortet man mit nein, muss man zwei Fragen beantworten:

  • »Wie sind Sie in der Vergangenheit mit Datenschutzverletzungen umgegangen?«
  • »Bitte erläutern Sie, was geschieht, wenn eine Datenschutzverletzung auftritt oder bemerkt wird? Gibt es beispielsweise einen Ansprechpartner (wie z. B. einen betrieblichen Datenschutzbeauftragten) und werden die Datenschutzverletzungen – sofern dies erforderlich sein sollte – an die Datenschutzaufsicht gemeldet?«

Antwortet man mit ja, soll das Verfahren und die Erfahrungen damit dargelegt werden:

  • kurze Verfahrensbeschreibung mit einzelnen Schritten und Zuständigkeiten (nach Funktion, nicht namentlich)
  • Ist es schriftlich festgelegt?
  • Umgang mit Vertretungssituationen der für die Verfahrensschritte Zuständigen
  • »Wird dieses Verfahren ›gelebt‹ und ist es allen Mitarbeitenden bekannt? Beschreiben Sie bitte, in welcher Form die Bekanntmachung erfolg und in welcher Form und Häufigkeit hierzu Sensibilisierungsmaßnahmen stattfinden.«
  • Anzahl der Datenschutzverletzungen in der Einrichtung in den vergangenen fünf Jahren (aufgeschlüsselt nach meldepflichtig und nicht meldepflichtig), Anzahl der Fälle, in denen eine Benachrichtigung der Betroffenen erforderlich war und wie sie benachrichtigt wurden
  • Fragen zur Dokumentation: enthält sie personenbezogene Daten, wo und wie ist sie aufbewahrt oder gespeichert, wie lange wird sie aufbewahrt?

Die Rechtslage zu Datenschutzverletzungen nach KDG und DSG-EKD

Beide kirchlichen Datenschutzgesetze definieren die Datenschutzverletzung bis auf kleinere Formulierungsunterschiede identisch. Das KDG übernimmt in § 4 Nr. 14 die Definition aus Art. 4 Nr. 12 DSGVO zeichengenau identisch, inklusive des falschen Oxford-Kommas: »›Verletzung des Schutzes personenbezogener Daten‹ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden«. In § 4 Nr. 14 DSG-EKD wird lediglich das Komma korrigiert und »beziehungsweise« durch »oder« ersetzt.

Das von den Aufsichten abgefragte Verfahren zum Umgang mit Datenschutzverletzungen wird in den Gesetzen nicht im Detail festgelegt. Dass es besser ein definiertes Verfahren geben sollte, ergibt sich aber schon aus dem Prinzip, dass Verantwortliche eine Rechenschaftspflicht über das Einhalten der Grundsätze für die Verarbeitung personenbezogener Daten hat (Art. 5 Abs. 2 DSGVO, § 7 Abs. 2 KDG, § 5 Abs. 2 DSG-EKD).

Außerdem ist in der jeweiligen Norm zur Meldung von Datenpannen (Art. 33 Abs. 5 DSGVO, § 33 Abs. 4 KDG, § 32 Abs. 5 DSG-EKD, wieder im Detail unterschiedlich, aber bedeutungsgleich formuliert) geregelt, dass »Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen« zu dokumentieren sind und dass diese Dokumentation der Aufsichtsbehörde »die Überprüfung der Einhaltung der Bestimmungen« der jeweiligen Norm ermöglichen muss (hier in der Formulierung der DSGVO zitiert). Das geht auch besser, wenn man klar hat, was man tut.

Die genannten Normen regeln die Meldepflicht an die Aufsicht grundsätzlich innerhalb von 72 Stunden und was es mindestens zu melden gilt (wieder nach DSGVO zitiert):

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die Mitteilung an Betroffene von Datenpannen (Art. 34 DSGVO, § 34 KDG, § 33 DSG-EKD, wieder jeweils abweichend, aber im Ergebnis bedeutungsgleich formuliert) ist dann nötig, wenn die Panne »voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen« birgt. Davon kann abgesehen werden, wenn der Aufwand unverhältnismäßig hoch ist (dann braucht es aber eine ersatzweise öffentliche Mitteilung) oder durch geeignete technische und organisatorische Maßnahmen doch keine Gefahr besteht. Es braucht also ein Verfahren zur Risikobestimmung und zur Bewertung, ob doch keine Benachrichtigung nötig ist, sowie ein Verfahren für die Benachrichtigung selbst.

Fazit

Zusammen mit den rechtlichen Grundlagen lässt sich mit dem Fragebogen ein tragfähiges Konzept zum Umgang mit Datenpannen entwickeln. Aus dem Fragebogen sollte man folgende Punkte mitnehmen:

  • Das Verfahren muss schriftlich festgehalten werden
  • Ablauf und Zuständigkeiten müssen benannt sein
  • Bei den Zuständigkeiten sind Vertretungsregeln mitzudenken
  • Das Verfahren muss Teil der regelmäßigen Schulung aller Beschäftigten sein
  • Datenpannen und der Umgang damit müssen nachvollziehbar dokumentiert werden

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert