Der korrekte Umgang mit Datenschutzvorfällen
Im Umgang mit Datenschutzvorfällen ist es wichtig, schnell zu handeln. Dafür ist ein strukturiertes Vorgehen – im Idealfall auf Basis eines Notfallplans – unerlässlich. Im Gastbeitrag unseres Datenschutzexperten Claus Wissing erklären wir Ihnen mögliche Handlungswege.
Umgang mit Datenschutzvorfällen
Im Umgang mit Datenschutzvorfällen ist es wichtig, schnell zu handeln. Dafür ist ein strukturiertes Vorgehen – im Idealfall auf Basis eines Notfallplans – unerlässlich. Legen Sie daher schon im Vorfeld fest, wer wofür zuständig ist, wie Ergebnisse erreicht werden können und welche Maßnahmen wann notwendig sind und halten Sie dies auch schriftlich fest. Es ist auch wichtig, dass geregelt ist, wer den Datenschutzvorfall melden darf bzw. den Inhalt der Meldung formuliert (z.B. das Datenschutzteam).
Kommt es zu einem Vorfall, muss das Datenschutzteam umgehend informiert werden. Das ist allein deshalb überaus wichtig, weil es möglicherweise enge Fristen zu beachten gilt.
Im ersten Schritt prüft das Datenschutzteam, ob es durch den Vorfall zu Schäden für Betroffene gekommen ist und wie hoch das Risiko für die Betroffenen ist. In jedem Fall muss der Vorfall bewertet und dokumentiert werden.
Je nach Ergebnis der Risikoabschätzung muss das Datenschutzteam den Vorfall – in der Regel innerhalb von 72 Stunden ab Kenntnisnahme – der zuständigen Aufsichtsbehörde melden. Bei einem hohen Risiko für die Betroffenen muss es zusätzlich die Betroffenen benachrichtigen. Auch hier gibt es Mindestinhalte für diese Benachrichtigung.
Um diese Fristen wahren zu können, müssen Ihre Mitarbeitenden und Ehrenamtlichen wissen, in welchen Situationen sie sich an wen wenden können. Führen Sie daher regelmäßig Sensibilisierungen und Schulungen durch und kommunizieren Sie die Verantwortlichkeiten auf Basis Ihres Notfallplans.

Betroffenenanfragen: Hintergrund und Vorgehensweisen
Im Folgenden gehen wir zunächst auf die Grundlagen von Betroffenenanfragen ein, um anschließend anhand des Auskunftsersuchens beispielhaft zu zeigen, wie die Beantwortung von Betroffenenanfragen aussehen kann.
Die DSGVO dient primär dem Schutz von Privatpersonen. Daher räumt das Datenschutzgesetz Personen auch bestimmte Rechte in Bezug auf ihre Daten ein. Dazu gehört auch die Möglichkeit, Betroffenenanfragen gemäß Art. 15-18 zu stellen:
Auskunftsrecht
Recht auf Berichtigung
Recht auf Löschung („Vergessenwerden“)
Recht auf Einschränkung der Verarbeitung.
Durch diese Rechte behalten Personen die Hoheit über ihre Daten und können aktiv entscheiden, was damit passieren soll. Für Organisationen bedeutet das allerdings, dass sie eigene Prozesse für die Bearbeitung der jeweiligen Betroffenenrechte benötigen – nicht zuletzt, um die vorgegebenen Fristen einzuhalten. Das ist für Organisationen auch deshalb wichtig, damit es nicht zu einem Datenschutzverstoß und möglicherweise zu einem Bußgeld kommt.
Beispiel Auskunftsersuchen
Für jede Art von Betroffenenanfrage bedarf es eines eigenen Prozesses. Im Folgenden zeigen wir, wie dieser für ein "Auskunftsersuchen" aussehen kann.
Bitte beachten Sie, dass bei den Anfragen von Betroffenen in manchen Fällen sowohl Auskunftsersuchen als auch Löschersuchen oder weitere Themen angefragt werden können. Somit kann es durchaus mehrere parallel laufende Themen geben, die dann bei den Antworten an die Person wieder zusammengeführt werden sollten.