<img height="1" width="1" src="https://www.facebook.com/tr?id=228279331375773&amp;ev=PageView &amp;noscript=1">
Newsletter

» EQS Industry Newsletter «

Subscribe to our newsletters to get a monthly update on industry related web articles straight to your inbox.
    Back to overview

    DSGVO: Hinweise auf Datenschutzverletzungen effizient managen

    Im Rahmen der DSGVO wird es für Unternehmen verpflichtend, Datenschutzverletzungen binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Digitale Hinweisgebersysteme können dabei helfen DSGVO-Verletzungen zentral zu dokumentieren und das weitere Case Management abzustimmen.

    t
    l
    X

    Das Installieren von Hinweisgebersystemen steht aktuell bei vielen Unternehmen und auch Regulatoren auf der Agenda. Treiber dafür ist vor allem der Schutz von Whistleblowern, die dadurch Verstöße innerhalb eines Unternehmens anonym melden können. Diesem Thema haben auch wir uns hier im Blog schon oft gewidmet und die Installation digitaler Hinweisgebersysteme empfohlen.

    Meldepflicht von Datenschutzverletzungen

    Im Zuge der am 25. Mai in Kraft tretenden DSGVO der EU kommt auf Unternehmen eine weitere Verpflichtung zu, bei der es ebenfalls klarer Hinweisprozesse bedarf: Wird im Unternehmen der Schutz personenbezogener Daten verletzt, muss ein solcher Vorfall künftig binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.

    Datenleck durch Hacker

    Datenschutzverletzungen können auf vielfältige Art und Weise entstehen. Sei es durch Datendiebstahl von außen…

    Eine solche Verletzung personenbezogener Daten kann vielfältig ausgelöst werden: Intuitiv fallen einem dort gezielte Angriffe von außen ein, bei denen Daten entwendet werden. Aber auch Unachtsamkeiten, wie die verlorene Aktentasche mit der Kundenliste oder eine falsch versendete Email mit entsprechenden Informationen, können eine Verletzung personenbezogener Daten darstellen.

    Zur verordnungsmäßigen Meldung einer Verletzung sind diverse Angaben notwendig. So muss beispielsweise der Verletzung eine Kategorie zugeordnet werden und eine Abschätzung über den betroffenen Personenkreis abgegeben werden. Weiter ist es verpflichtend, mögliche Folgen bzw. Folgeschäden der Verletzung abzuschätzen. Kommt es zu einer Verurteilung, mildern bereits durchgeführte Maßnahmen, die zum Schutz der personenbezogenen Daten durchgeführt wurden, das Strafmaß ab. Mögliche Maßnahmen sind zum Beispiel die Überwachung von Rechenzentren zum Schutz vor unbefugtem Zutritt oder die systematische Beschreibung von Datenverarbeitungsvorgängen. Zusätzlich zur Meldung bei der Aufsichtsbehörde müssen Unternehmen laut Art. 34 DSGVO die betroffenen Personen zeitnah über das Datenleck informieren.

    Datenleck durch verlorene Aktentasche

    …oder durch Unachtsamkeiten von Mitarbeitern, wie zum Beispiel dem Verlust einer Aktentasche mit Kundenlisten.

    Der Umgang mit Datenpannen ist also auch klares Risikomanagement. Werden Beobachtungen über mögliche Datenverletzungen frühzeitig erkannt und gemeldet, können schwerwiegende Folgeschäden, wie Reputationsschäden oder Strafen, abgewendet oder zumindest gemildert werden. Negatives Beispiel ist hier der jüngste Facebook-Skandal um missbräuchlich weitergegebene Nutzerdaten. Hier hat das Unternehmen diese Datenverletzung nicht aktiv gemeldet und betroffene Nutzer gar nicht oder erst auf Drängen informiert. Facebook erlebt nun einen Reputationsverlust mit erheblichen Auswirkungen auf den Unternehmenswert.

    Effizientes Management von Hinweisen auf Datenschutzverletzungen

    Um Datenschutzverletzungen fristgerecht und effizient zu melden, bedarf es im Unternehmen klarer Strukturen und Prozesse. Gerade digitale Tools bieten hier eine gute Möglichkeit, um die Meldung von DSGVO-Verletzungen zentral zu steuern. Das System ist nicht nur erste Anlaufstelle für die Mitteilung von Verletzungen, sondern dokumentiert auch alle Details der Datenpanne. Weitere Schritte können so von der zuständigen und geschulten Sammelstelle aus geleitet und überprüft werden.

    DSGVO

    Datenschutzverletzungen müssen ab dem 25. Mai 2018 gemeldet werden. Hinweisgebersysteme helfen, diese Meldungen effizient zu dokumentieren und zu koordinieren.

    Gemeinsam mit einigen Kunden haben wir nun erkannt, dass Hinweisgebersysteme, die bislang vor allem Whistleblower adressierten, auch sehr gut geeignet sind, um für Hinweise zu Datenschutzverletzungen einen Meldekanal zu bieten. Datenschutzverletzungen können über diese Systeme zunächst unternehmensintern an die für Datenschutz zuständigen Stellen gemeldet werden (ggf. auch anonym). Über das im System integrierte Case Management bieten sich dem Unternehmen dann übersichtliche Möglichkeiten, solche internen Hinweise zu koordinieren und nachzuverfolgen.

    Am Ende können mit einem digitalen Hinweisgebersystem zwei Fliegen mit einer Klappe geschlagen werden, wenn sowohl Anforderungen im Whistleblower-Schutz als auch der DSGVO-konforme Umgang mit Datenschutzverletzungen erfüllt werden. Das ist effizientes Risikomanagement!


    Sie möchten gerne wissen, wie eine solche Lösung aussehen kann? Kontaktieren Sie mich, um mehr über unsere Hinweisgebersysteme zu erfahren.

    t
    X
    Released:
    April 17, 2018
    |
    Updated:
    April 17, 2018