Ereignet sich in einem Unternehmen eine Datenpanne, treffen den Unternehmer als Verantwortlicher verschiedene Handlungspflichten. Die Datenschutzgrundverordnung (DS-GVO) Art. 4, Nr. 12 versteht unter einer Datenpanne „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder aus sonstige Weise verarbeitet wurden“.
Liegt eine solche Datenschutzverletzung vor, muss der Unternehmer als Verantwortlicher für die Datenverarbeitung unverzüglich handeln. Es kommen Meldepflichten gegenüber der Aufsichtsbehörde, polizeiliche Ermittlungsmaßnahmen, die Information der betroffenen Personen sowie des Datenschutzbeauftragten bzw. der Arbeitsnehmervertretung, in Frage.
Im Unternehmen selbst ist zu prüfen und zu dokumentieren, ob die bestehenden internen Prozesse ausreichend und nicht ggf. zu optimieren sind.
Insbesondere ist eine enge Zusammenarbeit mit der Aufsichtsbehörde empfehlenswert, die mit Blick auf deren erheblichen Sanktionsmöglichkeiten alternativlos erscheint.
Datenpannen bzw. nicht unerhebliche Datenlecks stellen für jedes Unternehmen einen äußerst kritischen Sachverhalt dar. In den danach erforderlichen Verfahren wegen Anzeigenerstattung gegenüber Polizeibehörden und zur Abstimmung mit der Aufsichtsbehörde sowie für die Veranlassung arbeitsrechtlicher Maßnahmen erhalten Sie von uns die erforderliche zeitnahe Unterstützung.
Dieser Beitrag wurde verfasst von Rechtsanwalt Thomas Morio.