Datenschutz-Notfall! Was tun?

Im Fokus

Sie haben ein Anschreiben zum Datenschutz von einem wichtigen Kunden erhalten und müssen schnell Informationen liefern? Ihr Online Shop ist gehackt worden und es wurden Kontodaten gestohlen? Ihr Mitarbeiter hat aus Versehen sensible personenbezogene Daten per E-Mail an einen falschen Empfänger verschickt?

Ungewollter Datentransfer und Datendiebstahl – was ist zu tun?

Die Pressemitteilungen über Cybercrime und digitale Einbrüche häufen sich und nahezu jedes Unternehmen kann von solchen Gefahren getroffen werden. Allerdings ist es wichtig, bei Eintritt einer solchen Situation besonnen, diskret, schnell und gesetzeskonform zu reagieren. Wichtig ist es, Ihre Kunden und Geschäftspartner aber auch Ihre Mitarbeiter nicht zu verunsichern und das Vertrauen in Ihr Unternehmen sicherzustellen.

Für solche Fälle haben wir Prozesse eingeführt und Kontakt zu den notwendigen Stellen um Sie professionell zu unterstützen und ggfs. aus einer bedrohlichen Krise zu führen. Dies konnten wir bereits erfolgreich bei mehreren Unternehmen unter Beweis stellen.

Unsere Experten erläutern Ihnen die notwendigen Schritte, bereiten die erforderlichen Schritte vor und begleiteten Sie bei allen notwendigen Aktivitäten – und das vertraulich, proaktiv und schnell.

Datenpanne – was schreibt das Gesetz vor?

Bundesdatenschutzgesetz bis 24.5.2018

Hier greifen die Regelungen des Bundesdatenschutzgesetze bis 24.5.2018 – danach die verschärften Bedingungen der Datenschutzgrundverordnung. Geregelt sind diese im § 42a des BDSG https://www.gesetze-im-internet.de/bdsg_1990/__42a.html

Bislang sind Unternehmen gemäß § 42a BDSG zur Meldung von Datenschutzverstößen an die Betroffenen und an die zuständige Aufsichtbehörde nur dann verpflichtet, wenn die Datenpanne besondere Arten personenbezogener Daten betrifft (z.B. besonders sensible Daten, Bank- oder Kontodaten usw.). Die Meldepflicht gilt zudem nur, wenn Daten unrechtmäßig übermittelt oder Dritten auf sonstige Weise unrechtmäßig zur Kenntnis gelangt sind und wenn schwerwiegende Beeinträchtigungen für  die Rechte oder schutzwürdigen Interessen der Betroffenen drohen.

Datenschutz Grundverordnung (DS-GVO) ab 25.5.2018

Die Datenschutz Grundverordnung ändert hier wesentliches! Laut Art. 33 DS-GVO gelten folgende Anforderungen

  • Bei jeder „Verletzung des Schutzes personenbezogenen Daten“ muss gemeldet werden
  • Die Meldung muss unverzüglich (innerhalb von 72 Std) erfolgen
  • Der Vorfall muss umfassend dokumentiert werden damit die Aufsichtsbehörde überprüfen kann
  • Der Vorfall muss dem Betroffenen gemeldet werden
  • Bei einem Verstoß gegen die Meldepflicht droht ein empfindliches Bußgeld von bis zu 10 Mio. Euro oder 2 % des weltweit erzielten Jahresumsatzes (Art. 83 Abs. 4 Ziffer. a DSGVO)

Hier ergibt sich häufig die Situation, dass Unternehmen diese Aufgaben in die Hände unserer Spezialisten legen und wir gemeinsam die Situation meistern. Wir verfügen über das notwendige Knowhow und könne kurzfristig unterstützen.

Datenschutz-Notfall – Wie wir unterstützen

Unsere Experten leisten umfassende Unterstützung im Bereich der mitteilungspflichtigen Sachverhalte gemäß § 42 a BDSG und Art. 33 DS-GVO. Hierfür haben wir ein 4 Stufen Konzept eingeführt.

 Stufe 1 : Zusammenstellung des „Incident Response Teams“ und Erhebung des Sachverhaltes

  • Wer hat für die Meldung die Federführung
  • Wer sind die Ansprechpartner der beteiligten internen Stellen
  • Wer sind ggfs. die Ansprechpartner der externen Stellen und Aufsichtsbehörden

Stufe 2 : Identifizierung des mitteilungspflichtigen Sachverhaltes

  • Wer ist zur Mitteilung verpflichtet?
  • Steht auch ein der Auftragsverarbeiter (Art. 28 Ds-GVO / § 11 BDSG) in der Informationspflicht?
  • Welche Arten von Daten sind betroffen?
  • In welcher Form konnten Unberechtigte Kenntnis über die Daten erlangt haben?

Stufe 3 : Gesetzlich geforderte Handlungspflichten erkennen und umsetzen

  • Wann ist der Vorfall eingetreten und bis wann muss informiert werden?
  • Was konkret muss der Aufsichtsbehörde gemeldet werden?
  • Worüber müssen die Betroffenen unterrichtet werden?
  • Welche Form müssen die Meldung an den Betroffenen haben?
  • Welche Konsequenzen drohen, wenn die Benachrichtigung nicht oder nicht richtig erfolgt?
  • Welche Folgen leiten wir für die interne Organisation ab?
  • Wie und mit welchem Inhalt fertigen wir einen Dokumentation des Vorfalles an

Stufe 4: Weitere Maßnahmen einleiten (wenn gewünscht)

  • Auswertung des Datenschutzvorfalles und Korrektur an internen Prozessen
  • Ausarbeitung eine Notfallstrategie
  • Abstimmung mit Juristen, öffentlichen Stellen und Versicherungen
  • Ermittlung von Kosten und Zuordnung zu Verantwortlichen

Jetzt Kontakt aufnehmen!

Abonnieren Sie unseren Newsletter

Wir halten Sie stets auf dem Laufenden!

© Copyright – EuroExpertise GmbH