Datenschutzvorfälle aus der Praxis – Teil 1

Um das Thema mit der Praxis zu verknüpfen, stellen wir nachfolgend einen Datenschutzvorfall aus der Praxis dar.

Was war passiert?
Diebstahl eines dienstlichen Smartphones und eines USB-Sticks, welche zur kurzfristigen Aufbewahrung im Kofferraum eines privaten PKWs gelagert wurden. Als der / die Mitarbeitende nach kurzer Zeit zu seinem / ihrem PKW zurückkehrte, stellte diese : r fest, dass die Heckscheibe zerstört und der Kofferraum aufgebrochen wurde.

Welche Sofortmaßnahmen leitete der / die Mitarbeitende umgehend ein?
Sammlung aller wichtigen Eckdaten zum Vorfall (was ist passiert, wann ist es passiert, welche Abteilung ist involviert, sind personenbezogene Daten betroffen, welche Personengruppen sind betroffen, etc.)

1. Der / die Mitarbeitende meldete den Vorfall an seine / ihre direkte Führungskraft und die Geschäftsführung
2. Die Geschäftsführung informierte umgehend die IT-Abteilung und den / die bestellte : n Datenschutzbeauftrage : n des Unternehmens
3. Die IT-Abteilung leitete schnellstmöglich Sicherheitsvorkehrungen ein (u. a. Passwortzurücksetzung für Zugänge zum System / Netzwerk des Unternehmens)
4. Der / die Datenschutzbeauftragte nahm eine entsprechende Risikobewertung vor
5. Die Meldung erfolgte innerhalb von 29 Stunden an die zuständige Datenschutz-Aufsichtsbehörde

Unterlag der Datenschutzvorfall der Meldepflicht gegenüber der Datenschutzaufsicht?
Ja, nach Auswertung der Risikoanalyse durch den / die Datenschutzbeauftrage : n sowie unter Berücksichtigung der ergriffenen Sofortmaßnahmen, konnte ein hohes Risiko bezüglich der Persönlichkeitsrechte der vom Datenschutzvorfall betroffenen Personen, festgestellt werden.
Der Datenschutzvorfall wurde zum Zweck der Nachweisbarkeit dokumentiert.