Ihr Verein hat eine Datenpanne. Das heißt, dass personenbezogene Daten (pbD) ohne die notwendige Berechtigung offengelegt, verändert oder vernichtet worden sind. Grundsätzlich kann dementsprechend jeder Verstoß gegen die Datenschutzgrundverordnung (DSGVO) als Datenpanne klassifiziert werden. Hierbei ist es irrelevant, ob dieser Verstoß auf eine Absicht oder ein Versehen zurückzuführen ist.
Zu den Klassikern von Datenpannen gehören der Verlust einer Tasche mit unverschlüsselten Speichermedien (u.a. Laptops. Festblatten, USB-Sticks oder Smartphones). Darüber hinaus ist in diesem Kontext der Versand einer E-Mail an einen falschen und für den Zugang zu diesen Daten nicht autorisierten Empfänger zu nennen. Nicht zuletzt zählt aber auch der Einbruch in Büroräumlichkeiten oder der Diebstahl von beispielsweise Laptops zu jenen Klassikern.
Das Entscheidende ist die Reaktion Ihres Vereins auf eine derartige Datenpanne. Es ist sinnvoll sich im Falle einer Datenpanne an der im Folgenden skizzierten Schrittabfolge zu orientieren. Erstens sollten Sofortmaßnahmen ergriffen werden, die den entstanden Schaden begrenzen. Zweitens sollte die Person, die den Schaden feststellt oder verursacht hat, den Vorstand und den Datenschutzbeauftragten unmittelbar informieren. Drittens sollte eine Bewertung des potenziellen Schadens in Abhängigkeit von der Gefahr der Datenpanne für die Rechte der Betroffenen erfolgen. Viertens muss die Datenpanne, insofern diese ein Risiko (z.B. bei Gesundheitsdaten) für die betroffenen Personen darstellt, innerhalb von 72 Stunden an die entsprechende Aufsichtsbehörde gemeldet werden. Fünftens müssen in diesem Fall auch die Betroffenen informiert werden. Sechstens sollte die Datenpanne, unabhängig von ihrer Meldepflicht, intern dokumentiert werden.
_____________________________________
Quelle: Stiftung Datenschutz (2023). Umgang mit Datenpannen. Online verfügbar: https://stiftungdatenschutz.org/ehrenamt/datenschutz-im-verein-kompakt/pannenmeldung [Stand: 08.11.2023].
