Vermeidungsstrategien gegen Datenpannen entwickeln


Eine Datenpanne in Ihrem Unternehmen kann jederzeit passieren. Beispielsweise eine unrechtmäßige oder unbeabsichtigte Vernichtung personenbezogener Daten, die zum Verlust solcher Daten führt oder eine unbefugte Offenlegung von personenbezogenen Daten, etwa durch den unbefugten Zugang durch einen Mitarbeiter zu gespeicherten und verarbeiteten Daten. Vermeidungsstrategien helfen bereits im Vorfeld, (Daten-)Pannen möglichst erst gar nicht entstehen zu lassen.


Datenpannen sind i.d.R. ein Verstoß gegen die Sicherheit der Datenverarbeitung. Der Gesetzgeber spricht hierbei von einer Verletzung des Schutzes personenbezogener Daten, was auf dasselbe herauskommt. Beispiele zur Entstehung von Datenpannen:


  • Löschung personenbezogener Daten von nicht autorisierten Mitarbeitern

  • Unmöglichkeit der Wiederherstellung eines Backups

  • Datendiebstahl (Hacking, physisches Eindringen in eine geschützte IT-Umgebung)

  • Unerwarteter Befall durch sogenannte Ransomware

  • Verlust eines mobilen, nicht verschlüsselten Datenträgers (Firmenhandy, Laptop usw.)


Die Datenschutzgrundverordnung kennt den Begriff "Datenpanne" nicht. Sie spricht in Art. 4 lit. 2 jedoch von der Verarbeitung und versteht darunter


jeden mit oder ohne Hilfe automatisierte Verfahren und ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisatiob, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.

Ganz schön viele Einfallstore für Datenpannen. Und in jedem Fall schreibt der Erwägungsgrund 87 dem Verantwortlichen vor, dass er feststellen kann, ob und wann eine Datenpanne aufgetreten ist, ob und in welchen Fristen eine solche Panne der Aufsichtsbehörde zu melden wäre.

Die Meldepflichten sind in Art. 33 und 34 DSGVO festgehalten. Danach müssen Meldungen unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden einer Datenpanne erfolgen. Kann der Termin nicht eingehalten werden, ist diese detailliert zu begründen und zu dokumentieren.

Keine Regel ohne Ausnahme, nämlich nur dann, wenn eine Datenpanne nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Oder wenn Sie


  • technische und organisatorische Maßnahmen und Sicherheitsvorkehrungen getroffen haben, die eine Zugänglichkeit zu personenbezogenen Daten ausschließen

  • oder wenn die Benachtigung einer betroffenen Person einen unverhältnismäßigen Aufwand bedeuten würde.


So organisieren Sie Ihre Vermeidungsstrategien


Sofern noch nicht geschehen, sollten Sie sich mit Ihrem Datenschutzschutzbeauftragten einen detaillierten Fahrplan erarbeiten:


  • Legen Sie fest, wie Sie möglichst zeitnah über eine Datenpanne Kenntnis erhalten. Vermeiden Sie unbedingt längere Wartezeiten und sensibilisieren Sie Ihre Mitarbeiten, mit der Meldung nicht zu warten, sich unbedingt an Sie oder den Datenschutzbeauftragten zu wenden

  • Organisieren Sie, wer sich umgehend mit der Bewertung und der genauen Dokumentation der Datenpanne(n) beschäftigen soll. Erstellen Sie Leitlinien oder Kriterienkataloge für eine zügige Bearbeitung. Treffen Sie notwendige Gegenmaßnahmen

  • Legen Sie fest, welche Maßnahmen zu ergreifen sind, die zur Abwendung oder mindestens zur Eindämmung des Vorfalls führen

  • Skizzieren Sie die Entscheidungswege, ob tatsächlich eine Meldepflicht besteht

  • Legen Sie fest, wer für die Meldung an die Aufsichtsbehörde bzw. an die Betroffenen verantwortlich ist

  • Überprüfen Sie Ihre Pläne durch regelmäßige Probeläufe mit Stärken- und Schwächeanalysen, deren Ergebnisse Sie ebenfalls dokumentieren sollten.

HANDELN SIE UMSICHTIG UND MIT EINSATZ IHRES GESUNDEN MENSCHENVERSTANDS. SCHALTEN SIE UNBEDINGT IHREN DATENSCHUTZBEAUFTRAGTEN UND/ODER EINEN VERSIERTEN RECHTSANWALT EIN!






4 Ansichten

Fuggerstraße 6

89250 Senden

Montag - Freitag:

09.00 - 13.00 Uhr

14.00 - 18.00 Uhr

0 73 07 . 93 60 40 7

0 73 07 . 93 60 40 8

Notfall: 0176 . 71 14 84 36

Copyright 2020 Contana Datenschutzservice e. K.

Diese Website stellt keine Rechtsberatung gemäß Rechtsdienstleistungsgesetz (RDG) dar, die ausnahmslos Rechtsanwätinnen bzw. Rechtsanwälten vorbehalten ist und ausgeübt werden dürfen. Die Inhalte der Website dienen vielmehr der unverbindlichen Information.

Wir übernehmen deshalb keine Gewähr auf Richtigkeit und Vollständigkeit.