Ein Datenschutzvorfall entsteht häufig nicht durch Technik, sondern durch menschliche Fehler. Falsch versendete E-Mails, offene Verteiler, verlorene Unterlagen oder ein unberechtigter Zugriff gehören zu den typischen Fällen. Entscheidend ist nicht, wer den Fehler verursacht hat, sondern wie das Unternehmen oder die öffentliche Stelle darauf reagiert.

Schritt 1: Vorfall ernst nehmen und sichern

Sobald ein möglicher Datenschutzvorfall bekannt wird, sollten betroffene Systeme, Dokumente oder Zugänge gesichert werden. Ziel ist es, weiteren Schaden zu verhindern und den Vorfall nachvollziehbar zu erfassen. Schuldzuweisungen helfen in diesem Moment nicht weiter.

Schritt 2: Sachverhalt klären

Es muss geklärt werden, welche personenbezogenen Daten betroffen sind, wie viele Personen betroffen sein könnten und ob Daten unbefugt offengelegt, verändert oder gelöscht wurden. Auch scheinbar „kleine“ Vorfälle können datenschutzrechtlich relevant sein.

Schritt 3: Risiko bewerten

Nicht jeder Datenschutzvorfall ist meldepflichtig. Maßgeblich ist, ob ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Diese Bewertung muss sachlich erfolgen und darf nicht aus

Zeitdruck oder Unsicherheit unterbleiben.

Schritt 4: Entscheidung dokumentieren

Unabhängig davon, ob eine Meldung an die Aufsichtsbehörde erfolgt oder nicht, besteht immer eine Dokumentationspflicht. Es muss festgehalten werden, was passiert ist, wie das Risiko eingeschätzt wurde und warum eine Meldung erfolgt oder unterbleibt. Fehlende Dokumentation kann selbst einen Datenschutzverstoß darstellen.

Schritt 5: Ggf. melden und Betroffene informieren

Besteht ein meldepflichtiges Risiko, muss die Aufsichtsbehörde fristgerecht informiert werden. In bestimmten Fällen sind auch die betroffenen Personen zu benachrichtigen. Dabei kommt es auf eine sachliche, transparente Information an, nicht auf juristische Formulierungen.

Schritt 6: Maßnahmen ableiten

Nach Abschluss des Vorfalls sollten organisatorische oder technische Maßnahmen sowie Nachsorgemaßnahmen geprüft werden.

Häufig zeigen Datenschutzvorfälle, wo Prozesse unklar sind oder Schulungsbedarf besteht. Ziel ist es, ähnliche Fehler künftig zu vermeiden.

 

Häufiger Irrtum

Ein Datenschutzvorfall durch Mitarbeitende ist kein Ausnahmefall, sondern Teil der betrieblichen Realität.

Entscheidend ist nicht, ob Fehler passieren, sonder ob eine Organisation vorbereitet ist und strukturiert reagiert.