Was tun bei einer Datenpanne? Die zunehmende Vernetzung und Digitalisierung wirft auch für K+L Betriebe neue Fragen auf. Dabei geht es sowohl um Kundenfreundlichkeit als auch um gesetzliche Vorgaben.
Wichtig wird der richtige Umgang mit Datenpannen vor allem angesichts der neuen Datenschutzgrundverordnung (DSGVO). Diese tritt am 25. Mai 2018 in Kraft und könnte dafür sorgen, dass jede Menge Abmahnungen verschickt werden, sofern Unternehmen nicht gesetzeskonform handeln.
Zu den Vorgaben durch das Gesetz zählt beispielsweise, dass eine Datenpanne oder das Eindringen in die IT-Systeme spätestens 72 Stunden nach deren Bekanntwerden gemeldet werden. Zuständige Meldestelle sind die jeweiligen Aufsichtsbehörden. Die Regelung macht durchaus Sinn und bewirkt den Schutz vor groß angelegten Hackerangriffen, deren Muster auf diese Weise schneller und sicherer erkannt werden kann. Empfohlen wird dabei, die Meldung zur „Chefsache“ zu erheben und diese direkt von Seiten der Geschäftsführung durchzuführen.
Eine minutiöse Dokumentation versteht sich von selbst, wird jedoch auch in Art. 33 Abs. 5 DSGVO vorgeschrieben. Aufgezeichnet werden müssen sowohl die Art und Weise der Datenpanne als auch die eingeleiteten Maßnahmen sowie die Nennung der Personen, die für diese Maßnahmen verantwortlich zeichnen. Entsprechend empfiehlt sich bereits vor Inkrafttreten des neuen Gesetzes entsprechende Routinen zu entwickeln und Zuständigkeiten zu benennen.
Keine Meldung ist dann erforderlich, wenn lediglich anonyme Daten verloren gegangen sind und keine Verletzung personenbezogener Interessen vorliegt. Ebenfalls sieht der Gesetzestext vor, dass für eine unbedingte Meldung von einem „ physischen, materiellen oder immateriellen Schaden für natürliche Personen“ auszugehen sein muss.
Als K+L Unternehmen sollte man jedoch immer dann die betroffenen Personen mit ins Boot holen, wenn ein unmittelbarer Schaden droht. Die Bewertung liegt natürlich im Ermessen des geschädigten Unternehmens, doch sollte auch diese Entscheidung genau dokumentiert werden.