KIProf. Dr. SchanbacherKI für den Mittelstand
Datenschutz (DSB)

Modul 4 von 4

Mitarbeitende & Vorfallmanagement

Im Ernstfall zählt jede Stunde. Dieses Modul zeigt, wie der DSB das Zusammenspiel mit den Mitarbeitenden organisiert und Datenpannen fristgerecht bearbeitet.

Betroffenenanfragen steuern

Anfragen (Auskunft, Löschung, Widerspruch) können bei jeder Stelle eingehen. Wichtig ist ein klarer Prozess: Mitarbeitende erkennen die Anfrage, leiten sie sofort an den DSB bzw. die zuständige Stelle weiter, die Identität wird geprüft, und die Antwort erfolgt fristgerecht innerhalb eines Monats.

Datenpannen: der 72-Stunden-Lauf

Bei einer Verletzung des Schutzes personenbezogener Daten bewertet der DSB die Meldepflicht: Ist ein Risiko für Betroffene wahrscheinlich, muss die Aufsichtsbehörde binnen 72 Stunden informiert werden (Art. 33). Bei hohem Risiko werden auch die Betroffenen benachrichtigt (Art. 34). Damit das gelingt, müssen Mitarbeitende Vorfälle sofort intern melden.

Beispiel: Verlorenes Notebook

Ein Außendienstmitarbeiter verliert ein unverschlüsseltes Notebook mit Kundendaten. Richtig: sofort den DSB informieren – die 72-Stunden-Uhr läuft ab Kenntnis. Der DSB bewertet das Risiko, dokumentiert den Vorfall und meldet ggf. an die Aufsichtsbehörde. Wäre das Gerät verschlüsselt gewesen, wäre das Risiko – und damit oft die Meldepflicht – deutlich geringer.

Jede Panne dokumentieren – auch ohne Meldung

Ein häufiges Missverständnis: Nur meldepflichtige Vorfälle müssten festgehalten werden. Tatsächlich verlangt Art. 33 Abs. 5 DSGVO, dass jede Verletzung des Datenschutzes intern dokumentiert wird – auch dann, wenn keine Meldung an die Aufsichtsbehörde erfolgt. Diese Dokumentation ermöglicht der Behörde die Überprüfung und dient dem Unternehmen als Nachweis seiner Rechenschaftspflicht.

  • Was ist passiert, wann wurde es bekannt, wer war betroffen?
  • Wie wurde das Risiko bewertet – und warum (nicht) gemeldet?
  • Welche Sofort- und Folgemaßnahmen wurden ergriffen?
  • Ein einfaches, einheitliches Vorfall-Register senkt im Ernstfall den Zeitdruck erheblich.

Kultur der Offenheit

Der wichtigste Erfolgsfaktor im Vorfallmanagement ist eine Kultur, in der Fehler gemeldet werden, ohne dass Mitarbeitende Sanktionen fürchten. „Lieber melden statt vertuschen“ – nur so kann der DSB Fristen wahren und Schäden begrenzen.

Das Wichtigste in Kürze

  • Klarer Prozess für Betroffenenanfragen: erkennen, weiterleiten, Identität prüfen, in 1 Monat antworten.
  • Datenpannen: 72-Stunden-Meldung an die Aufsicht (Art. 33), ggf. Betroffene informieren (Art. 34).
  • Jede Panne intern dokumentieren – auch ohne Meldung (Art. 33 Abs. 5).
  • Verschlüsselung senkt das Risiko – und oft die Meldepflicht.
  • Offene Fehlerkultur: „lieber melden statt vertuschen“.

?Wissens-Check

Beantworten Sie die Fragen, um Ihr Verständnis zu prüfen. Sie erhalten sofort eine Rückmeldung.

Frage 1.Was soll ein Mitarbeitender bei einem Datenschutzvorfall tun?

Frage 2.Innerhalb welcher Frist sind meldepflichtige Datenpannen der Aufsichtsbehörde zu melden?

Frage 3.Wodurch sinkt bei einem verlorenen Gerät das Risiko (und oft die Meldepflicht)?

← Vorheriges Modul