Mit der Einführung der Datenschutzgrundverordnung (DSGVO) hat der europäische Gesetzgeber die Anforderungen an den betrieblichen Datenschutz erheblich gesteigert. Nach Art. 33 Abs. 2 DSGVO sind Betriebe nunmehr verpflichtet, die Verletzung von personenbezogenen Daten innerhalb einer Meldepflicht von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde zu melden. Bei Verstoß gegen die Meldepflicht kann ein Ordnungsgeld festgesetzt werden.
Die Pflicht zur Meldung tritt immer ein, wenn es aufgrund des Vorfalls voraussichtlich zu einem Risiko für die Rechte und Freiheiten des Betroffenen kommt.
Im Rahmen des betrieblichen Datenschutzes sind insoweit technische und organisatorische Maßnahmen einzurichten, mit denen gewährleistet werden kann, dass Datenschutzvorfälle entdeckt, bewertet und ggf. an die Datenschutzaufsichtsbehörde gemeldet werden.
Praxis der Aufsichtsbehörden
Die Aufsichtsbehörden überprüfen im Rahmen ihrer behördlichen Kontroll- und Aufsichtspraxis insbesondere auch die Existenz von technisch-organisatorischen Maßnahmen, mit denen Betriebe die Erfüllung der Meldepflichten nach Art. 33 Abs. 1 DSGVO nachkommen.
Da die Meldepflicht zunächst nur bei solchen Fällen eintritt, bei denen es voraussichtlich zu einem Risiko für die Rechte und Freiheiten des Betroffenen kommt, bezieht sich die Behördenpraxis auch auf die Dokumentation solcher Fälle, in denen eine Meldepflicht zwar nicht besteht, diese für interne Revisionszwecke aber dokumentiert werden müssen.
Die Datenschutzaufsichtsbehörden gehen dabei grundsätzlich davon aus, dass Datenschutzvorfälle einfacherer Art, die noch nicht meldepflichtig sind, in jedem Betrieb vorkommen.
Für den Fall, dass eine Dokumentation von „unterschwelligen“ Vorfällen nicht nachgewiesen werden kann, ergeben sich aus Sicht der Datenschutzaufsichtsbehörden deshalb objektive Zweifel an der Wirksamkeit des Datenschutzkonzepts, was zu einer verschärften Prüfungstätigkeit führen kann.
Zielsetzung, Datenschutzvorfälle erkennen und bewerten
Um Anlass für Zweifel an der Wirksamkeit des Datenschutzkonzepts zu vermeiden, sollten Datenschutzvorfälle grundsätzlich dokumentiert werden, auch dann, wenn eine Bewertung der Vorfälle dazu führt, dass kein Risiko für einen Betroffenen bestand, eine Meldung an die Datenschutzaufsichtsbehörde deshalb auch nicht erforderlich war.
Hierfür erforderlich ist, dass Mitarbeiter, die mit personenbezogenen Daten Umgang haben, in die Lage versetzt werden, Datenschutzvorkommnisse als solches zu erkennen. Die Fähigkeit, Datenschutzvorkommnisse erkennen zu können, sollte im Rahmen der betriebsinternen Mitarbeiterschulung möglichst praxisnah anhand von Beispielen erfolgen.
Fazit
Besprechen Sie intern, welche Fallkonstellationen aus der Sicht des einzelnen Mitarbeiters, der jeweiligen Abteilungsleitung und der Geschäftsführung denkbar sind, bei denen personenbezogene Daten „falsch“ verarbeitet werden, unabhängig davon, ob es in der Vergangenheit bereits zu einem entsprechenden Vorfall gekommen ist.
Erstellen Sie anhand dieser Befragung eine Liste mit Beispielen für mögliche Datenschutzvorfäll und bewerten Sie die jeweilige Eintrittswahrscheinlichkeit und das jeweilige Schadenspotentials.
Stellen Sie fest, ob in der Vergangenheit u. U. bereits (unbemerkt) entsprechende Vorkommnisse aufgetreten sind.
Informieren Sie den Beauftragten für den Datenschutz über Ihre Erkenntnisse.