| FOTO | AUTO | EDV | AUDIO |

Meldung einer Datenschutzverletzung

1. Bekanntwerden des Vorfalls

Meldung am 03.05.2022, 12:00 ab jetzt laufen die 72 Stunden
Vorfall ereignete sich 02.04.2022 gegen 18:00 Kommt in die Meldung, ist aber für die Meldefrist nicht relevant
Privater USB-Stick mit 20 Bewerbungen verloren Da der Stick nicht verschlüsselt war, handelt es sich um ein meldepflichtiges Ereignis
Lassen sich die verlorenen Daten wiederherstellen ja
Wem ist der Vorfall passiert Frau Schmittlein
Verschulden/Täter Selbstverschulden, Frau Schmittlein wurde geschult und mehrfach unterrichtet (Unterschrift vorhanden)

2. Kenntniserlangung des Ausmaß der Datenpanne

Die Daten können wiederhergestellt werden (Der Stick war eine nicht autorisierte Kopie). Daher ist bekannt um welche Daten es sich handelt:

  • Personaldaten von 20 Bewerbern
    • Lebenslauf mit Zertifikaten, Führerscheinklasse, Ausbildung, Beschäftigungen bisher
    • aktueller Status der Beschäftigung
    • Persönliches Anschreiben
    • Name, Anschrift, Telefon, Mail
    • Foto, Geburtsdatum und Ort, Familienstand
    • Gesundheitsdaten
    • Hobbys

3. Risikoabschätzung und Bewertung

  • Schutzeinstufung personenbezogene Daten: D
  • Schutzeinstufung betriebswirtschaftliche Daten: C
  • Schutzzieleinstufung: 2 (Definierte Ver­fügbarkeit, Geschützte Integrität, Kontrollierbare Authentizität)

4. Maßnahmen zur Abwendung/Eindämmung

Anweisung an Frau Schmittlein: Jetzt intensiv nach dem Datenträger suchen

5. Entscheidung ob eine Meldung erfolgen soll

Teilweise wurden Gesundheitsdaten verloren = Stufe D → damit ist es ein meldepflichtiger Vorgang

6. Melden an Verantwortliche

Jetzt ist es Zeit die Information an den Verantwortlichen zu leiten. In diesem Fall wären das:

  • Die Geschäftsleitung (außer in großen Konzernen)
  • Der Abteilungsleiter Personalabteilung
  • Der Sicherheitsbeauftragte
  • Gegebenenfalls der Leiter der IT, wenn technische Maßnahmen umgesetzt werden müssen
  • Der Sicherheits-Verantwortliche (also der Chef vom DSB oder die Geschäftsleitung oder jemand mit Procura)
  • Die Vertretung vom DSB

Zur Meldung gehört die Verfahrensempfehlung:

  • Meldung an die Behörde
  • Information der Beteiligten
  • Einleitung von Verbesserungsmaßnahmen der internen Datensicherheit

Sind für diesen Fall Vorlagen vorhanden, ist es sinnvoll diese gleich mitzuliefern und nach Rücksprache mit dem Verantwortlichen gleich auszufüllen.

Meldungen

an die Behörde

Das Unternehmen hat seinen Sitz in Berlin. Der Vorfall ereignete sich aber in Rheinland-Pfalz (Wohnort der Mitarbeiterin). Daher ist die Datenschutzbehörde RLP möglicherweise auch zuständig. Berlin und RLP ermöglichen die Meldung über ein Onlineformular. Als Beispiel wähle ich RLP. Es werden benötigt:

an die Betroffenen

Alle 20 Betroffene bekommen eine personalisierte Email mit gleichem Inhalt
Zur Formulierung des Schreibens arbeite ich mit der Personalabteilung und einer Rechtsberatung zusammen. Je nach Größe des Unternehmens empfehle ich auch eine Person der Geschäftsführung zu involvieren.

Trick: wenn es möglich ist ein kleines Geschenk (unter 30€) als Wiedergutmachung der Mail anzuhängen, wird das Einlösen des Gutscheins als Akzeptanz der Wiedergutmachung angesehen. Dies verhindert mögliche Rechtsstreitigkeiten.