(25.05.2022)
Vielleicht ist Ihnen das auch schon mal passiert: Sie erhalten eine Nachricht, dass bei Ihrem Dienstleister etwas schiefgelaufen ist. Beispielsweise, weil es dort einen Cyberangriff gab und dabei personenbezogene Daten kompromittiert wurden. Das ist in der letzten Zeit bei verschiedenen unserer Kunden vorgekommen.
Was ist in so einem Fall zu tun? Müssen Sie selbst auch handeln, wenn Sie so eine Nachricht erhalten?
- Prüfen Sie, ob Daten über Ihre eigenen Beschäftigten betroffen sein können (etwa Zugangsdaten zu einem Online-Dienst). Falls ja, informieren Sie diese Kollegen, indem Sie die Nachricht an sie weiterleiten. So werden die Beschäftigten sensibilisiert (z.B. falls es zu Phishing-Angriffen kommt und um ggf. die eigene Passwort-Sicherheit zu erhöhen).
- Prüfen Sie, ob Daten über Ihre eigenen Kunden oder Geschäftspartner betroffen sein können: Hier besteht zumindest dann Handlungsbedarf, wenn der Dienstleister als Ihr Auftragsverarbeiter tätig war und wenn die Daten einem tatsächlichen Risiko ausgesetzt waren.
Achtung: Möglicherweise müssen Sie den Vorfall dann ebenfalls innerhalb von 72 Stunden melden.Tragen Sie kurzfristig die Fakten zusammen und binden Sie Ihren Datenschutzbeauftragten frühzeitig ein. Wir klären dann die Lage zügig gemeinsam.
Kein Handlungsbedarf besteht, wenn der Dienstleister nicht Ihr Auftragsverarbeiter war. Wenn Sie sich unsicher sind, fragen Sie am besten bei Ihrem Datenschutzbeauftragten nach.
Das Thema Datenpannen hat auch deshalb eine solche Brisanz, weil jeder Vorfall innerhalb von kürzester Zeit datenschutzrechtlich bewertet werden muss. Sofern durch den Vorfall ein Datenschutz-Risiko entstanden ist, muss dies bei der Datenschutz-Aufsichtsbehörde gemeldet werden. Im vergangenen Jahr war dies fast 30.000 Mal in Deutschland der Fall – Tendenz weiter steigend.
Zusammenfassung:
Wenn Sie die Nachricht erhalten, dass ein Geschäftspartner eine Datenpanne hatte, prüfen Sie den Vorgang schnell. Falls er als Auftragsverarbeiter tätig war und auch Ihre Daten betroffen sind, müssen Sie eventuell selbst ebenfalls eine Meldung bei der Aufsichtsbehörde einreichen.