Meldung einer Datenschutzverletzung
1. Bekanntwerden des Vorfalls
| Meldung am 03.05.2022, 12:00 | ab jetzt laufen die 72 Stunden |
| Vorfall ereignete sich 02.04.2022 gegen 18:00 | Kommt in die Meldung, ist aber für die Meldefrist nicht relevant |
| Privater USB-Stick mit 20 Bewerbungen verloren | Da der Stick nicht verschlüsselt war, handelt es sich um ein meldepflichtiges Ereignis |
| Lassen sich die verlorenen Daten wiederherstellen | ja |
| Wem ist der Vorfall passiert | Frau Schmittlein |
| Verschulden/Täter | Selbstverschulden, Frau Schmittlein wurde geschult und mehrfach unterrichtet (Unterschrift vorhanden) |
2. Kenntniserlangung des Ausmaß der Datenpanne
Die Daten können wiederhergestellt werden (Der Stick war eine nicht autorisierte Kopie). Daher ist bekannt um welche Daten es sich handelt:
- Personaldaten von 20 Bewerbern
- Lebenslauf mit Zertifikaten, Führerscheinklasse, Ausbildung, Beschäftigungen bisher
- aktueller Status der Beschäftigung
- Persönliches Anschreiben
- Name, Anschrift, Telefon, Mail
- Foto, Geburtsdatum und Ort, Familienstand
- Gesundheitsdaten
- Hobbys
3. Risikoabschätzung und Bewertung
- Schutzeinstufung personenbezogene Daten: D
- Schutzeinstufung betriebswirtschaftliche Daten: C
- Schutzzieleinstufung: 2 (Definierte Verfügbarkeit, Geschützte Integrität, Kontrollierbare Authentizität)
4. Maßnahmen zur Abwendung/Eindämmung
Anweisung an Frau Schmittlein: Jetzt intensiv nach dem Datenträger suchen
5. Entscheidung ob eine Meldung erfolgen soll
Teilweise wurden Gesundheitsdaten verloren = Stufe D → damit ist es ein meldepflichtiger Vorgang
6. Melden an Verantwortliche
Jetzt ist es Zeit die Information an den Verantwortlichen zu leiten. In diesem Fall wären das:
- Die Geschäftsleitung (außer in großen Konzernen)
- Der Abteilungsleiter Personalabteilung
- Der Sicherheitsbeauftragte
- Gegebenenfalls der Leiter der IT, wenn technische Maßnahmen umgesetzt werden müssen
- Der Sicherheits-Verantwortliche (also der Chef vom DSB oder die Geschäftsleitung oder jemand mit Procura)
- Die Vertretung vom DSB
Zur Meldung gehört die Verfahrensempfehlung:
- Meldung an die Behörde
- Information der Beteiligten
- Einleitung von Verbesserungsmaßnahmen der internen Datensicherheit
Sind für diesen Fall Vorlagen vorhanden, ist es sinnvoll diese gleich mitzuliefern und nach Rücksprache mit dem Verantwortlichen gleich auszufüllen.
Meldungen
an die Behörde
Das Unternehmen hat seinen Sitz in Berlin. Der Vorfall ereignete sich aber in Rheinland-Pfalz (Wohnort der Mitarbeiterin). Daher ist die Datenschutzbehörde RLP möglicherweise auch zuständig. Berlin und RLP ermöglichen die Meldung über ein Onlineformular. Als Beispiel wähle ich RLP. Es werden benötigt:
an die Betroffenen
Alle 20 Betroffene bekommen eine personalisierte Email mit gleichem Inhalt
Zur Formulierung des Schreibens arbeite ich mit der Personalabteilung und einer Rechtsberatung zusammen. Je nach Größe des Unternehmens empfehle ich auch eine Person der Geschäftsführung zu involvieren.
Trick: wenn es möglich ist ein kleines Geschenk (unter 30€) als Wiedergutmachung der Mail anzuhängen, wird das Einlösen des Gutscheins als Akzeptanz der Wiedergutmachung angesehen. Dies verhindert mögliche Rechtsstreitigkeiten.