Hat ein Unternehmen alles in seiner Macht stehende getan, um die Daten einer Person vor, während und nach einem Sicherheitsvorfall zu schützen? Das ist im Wesentlichen die Frage, die sich private und staatliche Unternehmen stellen müssen, wenn es darum geht, Verantwortlichkeiten und entsprechende Sanktionsmöglichkeiten für den Fall von Datenschutzverletzungen festzulegen.
Dieses Whitepaper beschreibt die formalen Anforderungen an die Behandlung von Datenschutzverletzungen nach DSGVO und bietet eine Anleitung für die Festlegung und Verankerung eines passenden Notfallmanagements.
Einleitung
Wenn ein privates oder staatliches Unternehmen vor der Aufgabe steht, die Anforderungen der Datenschutz-Grundverordnung (DSGVO) umzusetzen, ist es hilfreich, sich den Zweck dieser Verordnung vor Augen zu führen. Unternehmen haben seit vielen Jahren ein kommerzielles Interesse an der Erfassung und Speicherung von personenbezogenen Daten. Wurden dabei von ihnen Gesetze übertreten, hatte dies milde ausgedrückt nur in seltenen Fällen ernste Konsequenzen mit bleibender Wirkung. Seit der Implementierung der DSGVO ist mit dieser Praxis endgültig Schluss. Künftig müssen Unternehmen für die Erfassung von personenbezogenen Daten einen sinnvollen und sachlichen Zweck nachweisen. Für die Speicherung, den Schutz und die Löschung solcher Daten gelten hohe Sicherheitsstandards. Und die Unternehmen müssen alles, was sie tun, dokumentieren. Andernfalls riskieren sie empfindliche Geldbußen.
Verständlicherweise enthält die DSGVO formale Anforderungen an die Behandlung von Datenschutzverletzungen. Wenn ein Unternehmen von einer Person Daten erfasst, ist dies Teil einer Vertrauensübung. Geht etwas schief und wird dieses Vertrauen verletzt, haben die betroffene Person und die im Namen der Bürger handelnden Organe Anspruch darauf zu erfahren, was passiert ist und welche Maßnahmen zu einer künftigen Vermeidung ergriffen wurden.
In DSGVO – Die Behandlung von Datenschutzverletzungen in drei Phasen wird erläutert, welche Anforderungen durch die Datenschutz-Grundverordnung DSGVO gestellt werden. Dieses Whitepaper definiert zunächst, was unter personenbezogenen Daten zu verstehen ist, zwischen welchen Arten von Datenschutzverletzungen zu unterscheiden ist und welche Konsequenzen diese für die betroffene Person haben. Nachfolgend werden Empfehlungen für die Einrichtung und Verankerung eines geeigneten Notfallmanagements einschließlich fester Übungsroutinen und eines dreistufigen prozessgestützten Handlungsplans gegeben.
