Hierbei geht es nicht darum, dass sie den gesamten Vorgang analysieren und weitreichende Maßnahmen treffen. Sondern dass Sie Maßnahmen ergreifen, die sich in kurzer Zeit umsetzen lassen, um weitere Schäden zu verhindern. Dies sollten nicht länger als 5 bis 10 Minuten dauern. Beispielsweise

• E-Mailrückruf durchführen, sollten Sie eine Mail intern falsch versendet haben. Oder rufen sie die Person an, bevor sie die Datei öffnet, und lassen sie diese löschen.
• Bei ungewöhnlichem Verhalten Ihres PCs sollten Sie einen Hard-Shutdown durchführen, indem Sie lange auf den Einschaltknopf drücken bis der PC ausgeht.
• Führen Sie einen Passwortwechsel durch, insbesondere wenn es sich um Online-Anwendungen handelt.

Idealerweise haben Unternehmen definierte Personen oder Teams, die sich um Datenschutzvorfälle kümmern. Im Normalfall gehört der Datenschutzbeauftragte immer dazu. Sollten Sie einmal nicht wissen, wen oder wie Sie die Notfall-Teams kontaktieren können, melden Sie sich beim zuständigen Datenschutzbeauftragten Ihres Unternehmens.

In der Information sollten Sie insbesondere aufnehmen:

• Was ist passiert?
• Wann ist das passiert?
• Wo ist das passiert?
• Wann ist Ihnen das aufgefallen (Tag und Uhrzeit)?
• Was haben Sie bisher unternommen?
• Wer sind Sie?
• Wie kann man Sie erreichen?

Ab hier sollte dann das Notfallteam die weiteren Maßnahmen übernehmen. Bitte halten Sie sich aber für Rückfragen oder notwendige weitere Tätigkeiten bereit.

Wichtig: Die Meldungen sollten so schnell wie möglich erfolgen. Idealerweise innerhalb 1 Stunde nach dem Sie den Vorfall erkannt haben. Warten Sie nicht bis zum nächsten Arbeitstag!

Das Notfallteam besteht normalerweise aus Experten des Unternehmens, welche sich mit den Vorgängen genau auskennen und die rechtlichen Anforderungen kennen. Sie können entscheiden, welche nächsten Schritte einzuleiten sind, wie bspw.:

• Sperren von Zugängen
• Sperren des Internetverkehrs
• Herunterfahren von Servern und Systemen
• Zwangsverpflichtung zum Passwortwechsel
• Durchführen von Updates
• Durchführen von Malware-Scans
• Fernlöschen von verlorenen Geräten
• Administratives Eingreifen in die Datenverarbeitung (Berichtigen, Löschen etc.)
• Wiederherstellen von Daten

Mit der Analyse sollen unterschiedlichste Fragen geklärt werden:

1. Wie ist der Vorfall zustande gekommen?
   Dies soll dazu dienen, aufzuklären, woher der Vorfall kommt und unter Berücksichtigung von Punkt 4, ob ausreichend Maßnahmen getroffen wurden. Insbesondere bei Hackerangriffen oder Malware empfiehlt es sich, auch eine IT-Forensik durchzuführen.
2. Was für Auswirkungen hatte der Vorfall?
   Auch hier wird das Ziel verfolgt, die Vollständigkeit der getroffenen Maßnahmen und die Sicht auf alle möglichen Schäden zu berücksichtigen.
3. Was und wieviel Personen sind durch den Vorfall betroffen?
4. Was für Daten sind durch den Vorfall betroffen?
5. Wie kann der Vorfall zukünftig verhindert werden?

Wichtig hierbei ist, dass nicht die Risiken des Unternehmens zu bewerten sind, bei dem der Vorfall entstanden ist, sondern die Risiken für die betroffenen Personen. Zudem ist zu berücksichtigen, dass es hier um die Verletzung eines individuellen Persönlichkeitsrechtes geht. Bei der Wahrscheinlichkeit ist nicht zu bewerten, ob es einen aus 100 Betroffenen trifft, sondern die Wahrscheinlichkeit, dass es bei irgendeinem der Betroffenen zu einem Schaden kommt.

Insbesondere sollten Schäden berücksichtigt werden wie:

• Identitätsdiebstahl
• Finanzielle Risiken
• Mobbing, Belästigung oder Diskriminierung
• Existenzbedrohungen
• Imageschäden
• Verlust des Arbeitsplatzes oder der Wohnung
• …

Die Erkenntnisse aus der Analyse und der Risikobewertung sollte das Notfallteam zum Erfüllen der Nachweispflichten dokumentieren.

Nach Art. 33 DSGVO hat der Verantwortliche einer Datenverarbeitung die Risiken einzuschätzen und ggf. Meldungen an die Aufsichtsbehörden oder die Betroffenen vorzunehmen. Dies obliegt nicht einem Auftragnehmer. Der Auftragnehmer hat hierbei jedoch mitzuwirken und alle erforderlichen Informationen bereitzustellen.

In der DSGVO ist nicht definiert, bis wann eine Information durch den Auftragnehmer erfolgen muss, nur das es unverzüglich zu erfolgen hat. Daher ist es vielen Auftraggebern wichtig, genaue Fristen in den Verträgen zu definieren. Erfahrungsgemäß reichen diese von 72 Stunden bis 24 Stunden. Das bedeutet, die Punkte 2 bis 7 müssen innerhalb dieser Fristen umgesetzt werden. Ein Grund, warum bei einem Datenschutzvorfall ein erheblicher Ressourcenaufwand erforderlich wird, um in den Zeiten alle Aufgaben erledigen zu können.

Eine Information kann nur entfallen, wenn der Vorfall „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Können Sie also nicht ausschließen, dass es für die Betroffenen zu einem Schaden kommt, müssen sie die Aufsichtsbehörden über den Vorfall informieren. Hierfür stellen die zuständigen Behörden gesicherte Webformulare bereit, damit die Information auch innerhalb der Frist erfolgen kann.

Auch hier (Art. 34 DSGVO) gibt es keine genauen Vorgaben, bis wann die Information zu erfolgen hat. Auch hier wird nur unverzügliches Handeln verlangt. Da die 72 Stunden zur Information der Aufsichtsbehörden schon knapp bemessen sind, ist man sich weitgehend einig, dass eine Information der Betroffenen nach der Information der Aufsichtsbehörde erfolgen kann.

Vorausgesetzt wird hierfür jedoch, dass eine Verzögerung der Information zu keinen weiteren Schäden der Betroffenen führt. Wird bspw. Betroffenen ein Passwortwechsel nach einem erfolgreichen Hackerangriff empfohlen, um auszuschließen, dass Hacker die Zugängen weiter missbrauchen, sollte die Information der Betroffenen vorher erfolgen.

Die Information der Betroffenen hat zu enthalten

• Eine Beschreibung des Vorfalls
• Name und Kontaktdaten des Datenschutzbeauftragten
• Eine Beschreibung der wahrscheinlichen Folgen des Vorfalls
• Eine Beschreibung der ergriffenen Maßnahmen und Empfehlungen für Betroffene, wie sie sich schützen können.