Aufgrund eines technischen Problems kann derzeit das Meldesystem der Katholischen Datenschutzaufsicht Nord zur Meldung einer Datenschutzverletzung sowie zur Meldung des betrieblichen Datenschutzbeauftragten nicht genutzt werden. Näher Informationen finden Sie hier. Die Katholische Datenschutzaufsicht Nord bittet darum, entsprechende Meldungen entweder schriftlich oder telefonisch einzureichen, so lange das Problem fortbesteht. Bei der elektronischen Übermittlung besteht die Möglichkeit, einen entsprechenden Upload-Link anzufordern, über den man die notwendigen Informationen datenschutzrechtlich unbedenklich übermitteln kann. Da noch einmal ausdrücklich auf die fortbestehende Verpflichtung, eine Datenpanne unverzüglich zu melden, hingewiesen wird, möchten wir an dieser Stelle das Vorgehen rund um eine Datenpanne noch einmal kurz darzustellen:
1. Feststellung einer Datenpanne
Eine Datenpanne liegt vor, wenn personenbezogene Daten oder andere vertrauliche Informationen unrechtmäßig übermittelt werden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, wenn personenbezogene Daten versehentlich unwiederbringlich gelöscht wurden und eigentlich noch erforderlich wären oder wenn personenbezogene Daten versehentlich so verändert wurden, dass Ihre Richtigkeit nicht mehr sichergestellt werden kann. Typische Datenpannen sind daher Einbrüche mit Zugriff auf Akten bzw. vertrauliche Unterlagen oder der Verlust eines dienstlichen EDV-Gerätes mit sich darauf befindlichen personenbezogenen Daten.
2. Benachrichtigung der zuständigen Personen
Zunächst sollten unverzüglich der interne Koordinator für Datenschutz, der Verantwortliche für den Bereich IT und die Geschäftsführung informierte werden.
3. Prüfung, ob die Datenpanne noch akut oder beendet ist
Danach sollte von den Verantwortlichen geprüft werden, ob die Datenpanne noch akut ist. Ist die Datenpanne noch akut oder ist ihr Status unbekannt, sollten Notfallmaßnahmen abgestimmt werden, um die Datenpanne schnellstmöglich zu beenden oder einzudämmen.
4. Prüfung von Benachrichtigungspflichten
Die Aufsichtsbehörde ist nach § 33 KDG zu informieren, wenn im Rahmen einer Risikoprognose (dabei sind vor allem die Art und Menge der Daten, die drohenden Schäden und die technischen Umstände maßgeblich) hinsichtlich der Verletzung des Schutzes personenbezogener Daten voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Person besteht. Die betroffene Person (z.B. Mitarbeiter und Kunde) selbst ist zusätzlich nach § 34 KDG zu informieren, sofern die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person führt.
Bei der Feststellung einer meldepflichtigen Datenpanne muss die Aufsichtsbehörde unverzüglich – d.h. binnen 72 Stunden nach Bekanntwerden der Datenschutzverletzung – informiert werden. Wochenenden und gesetzliche Feiertage sind vom Fristlauf nicht ausgenommen.
5. Inhalt der Meldung, Ursachenforschung und Dokumentation
Die Verantwortlichen tragen alle für eine Meldung erforderlichen Informationen zusammen. Dies umfasst zumindest die Schilderung des Vorfalls und die Beschreibung der Folgen sowie der getroffenen Maßnahmen. Unabhängig, ob eine Meldung an die Aufsichtsbehörden oder die Betroffenen erfolgt, erforschen anschließend noch eine Erforschung der Ursachen der Datenpanne sowie eine entsprechende Dokumentation.