Fünf Tipps für die erfolgreiche Datenkrisen-Kommunikation

von Julia Ströhle, Laika Communications und Ingrid Yeboah, YW I Yeboah & Wiedemann

Dienstag, 25. Juni 2019

"Datenleck", "Datenpanne" und "Datenkrise": Bei diesen Worten spielen sich sofort albtraumhafte Szenarien im Kopf ab. Fakt ist, die DSGVO hat die Anforderungen an Unternehmen in Bezug auf Datensicherheit stark verändert. Was passiert im Ernstfall und wie reagiert man DSGVO-konform auch im Sinne der Unternehmenskommunikation? Die Kommunikationsagentur Laika Berlin berät hauptsächlich Kunden im Bereich Technologie und Digitales. Zusammen mit der Kanzlei YW Yeboah & Wiedemann Rechtsanwältinnen haben die Laika-Experten für HORIZONT Online die wichtigsten Verhaltensregeln vor, während und nach einer Krise zusammengestellt.

Die rechtlichen Regeln und Pflichten

Ein Verstoß gegen die DSGVO liegt vor, wenn eine Verletzung des Schutzes personenbezogener Daten gegeben ist. Eine Datenpanne liegt vor, wenn personenbezogene Daten – egal, ob beabsichtigt oder unbeabsichtigt – vernichtet, verloren oder verändert werden. Gleiches gilt, wenn es zur unbefugten Offenlegung beziehungsweise zu unbefugtem Zugang zu personenbezogenen Daten kommt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Was ist im Falle eine Datenpanne zu tun?

Der wichtigste Schritt zuerst: Es muss eine unverzügliche Meldung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde erfolgen. Können diese 72 Stunden nicht eingehalten werden, so muss die Verzögerung mit der verspäteten Meldung begründet werden. Sinn und Zweck dieser Regelung ist es, einen potentiellen Schaden durch eine angemessene und schnelle Reaktion zu minimieren bzw. ganz zu vermeiden.

Es besteht dagegen keine Meldepflicht, wenn die Datenpanne oder die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht beziehungsweise nur zu einem geringen Risiko für die Rechte und Freiheiten natürlicher Personen führt. Insbesondere bedeutet das keine Meldepflicht, wenn Unbefugte nur Zugang zu sicher verschlüsselten Daten hatten – beispielsweise auf einem USB-Stick oder Smartphone. Sind die Daten dagegen sicher verschlüsselt und trotzdem durch Verlust nicht mehr verfügbar, stellt dies auch eine Verletzung der Rechte und Freiheiten für natürliche Personen dar und muss gemeldet werden. Briefe, die versehentlich an einen falschen Empfänger versendet wurden und ungeöffnet zurück kommen, machen keine Meldung an die Aufsichtsbehörde notwendig. Prinzipiell ist es empfehlenswert, die Datenpanne im Zweifel immer zu melden, da die Schwere des Schadens oftmals nicht eindeutig einzuschätzen ist.

Doch wann müssen betroffene Personen – also die Kunden oder Nutzer – benachrichtigt werden? Hier muss man abwägen, ob es sich um eine schwerwiegende Beeinträchtigung handelt. Wenn die betroffene Person selbst zu einer Schadensminimierung beitragen kann (beispielsweise durch die Sperrung der Kreditkarte oder die Änderung eines Passwortes etc.) ist diese Frage klar zu bejahen. Wenn Zugangsdaten der betroffenen Person an unbefugte Dritte gelangt sind, aber glaubhaft versichert werden kann, dass die Daten für niemanden mehr zugänglich, dann müssen die Betroffenen nicht kontaktiert werden.

Für schnelle Handlungsfähigkeit unerlässlich: das Krisenteam

Wenn eine Krise auftritt, muss klar sein, wer die Verantwortlichen für weitere Handlungsschritte sind. Hierzu ist es notwendig bereits im Vorfeld einen Krisenstab mit stets aktualisierten Kontaktmöglichkeiten anzulegen. Denn handelt niemand, ist das ein großes Problem, aber zu viele Köche können auch schnell den Brei verderben. Ein Krisendokument sollte daher folgende Punkte eindeutig regeln:

1. Skizzieren der Worst-case-Szenarien und Ordnen nach Schwere der Krise

2. Zusammenfassen der nächsten zu erledigenden Schritte

3. Verantwortlichkeit der Mitarbeiter im Krisenteam

4. Kontaktdaten der zuständigen Aufsichtsbehörde und Ansprechpartner

5. Textbausteine zur Information/ Ansprache der Kunden und Shareholder

Klar, professionell und transparent: Die Ansprache der Kunden

Um im Falle einer Datenkrise auch entsprechend kommunikativ vorbereitet zu sein, sollten Unternehmen bereits grobe Textbausteine vorformuliert haben, die den Kunden, der Presse und Shareholdern transparent Auskunft geben. Fragen, die darin geklärt werden müssen, sind:

1. Wann genau lag die Datenpanne für wie lange und in welchem Umfang vor?

2. Wurde der Grund für die Panne erkannt und bereits alle erforderlichen Maßnahmen zur Verhinderung weiterer Vorfälle getroffen?

3. Welche Maßnahmen sollten Kunden ggf. treffen, um weitere Daten zu schützen (z.B.Passwort ändern)

4. Wann ist mit weiteren Informationen zu rechnen?

Es empfiehlt sich, in diesen Textbausteinen auch eine Entschuldigung an die Kunden zu formulieren, um deutlich zu machen, dass man diesen Vorfall sehr ernst nimmt und alles daran setzt, derartige Vorkommnisse in der Zukunft zu verhindern. Je nach Umfang der Datenkrise ist es sinnvoll, eine Landingpage mit den wichtigsten Antworten zu den meistgestellten Fragen oder eine Hotline für Betroffene einzurichten.

Ist die gesamte Krise bewältigt, sollten die Nutzer ebenfalls über deren Abschluss informiert werden. Dies ist eine gute Möglichkeit, das Vertrauen der Nutzer und Investoren wieder zu stärken und ihnen zu zeigen, dass mit der Situation verantwortungsbewusst umgegangen wurde. Gleichzeitig kann hier ein positiver Blick auf die Zukunft geworfen werden.

Vorbeugen ist besser als Nachsorge: Prävention von Datenkrisen

Einer der wichtigsten Präventionsschritte einer Datenpanne ist das Führen eines Verzeichnisses personenbezogener Daten. Dies bietet einen Überblick aller Geschäftsabläufe, bei denen personenbezogene Daten verarbeitet werden. Es hilft auch dabei, um im Vorfeld eine Datenschutz-Folgenabschätzung durchzuführen, die die mit der Datenverarbeitung verbundenen Risiken aufzeigt und darauf aufbauend die nötigen Schutzvorkehrungen zu planen. Gleichzeitig ermöglicht solch ein gut gepflegtes Verzeichnis im Krisenfall schnell eine Analyse der Situation durchzuführen und festzustellen, welche und wieviele Daten betroffen sind.

Für viele Unternehmen ist der Krisenfall Datenpanne ein rotes Tuch. Doch wer auf Prävention und gute Vorbereitung setzt, kann hier schon die Weichen stellen, um die Situation im Fall der Fälle schnell in den Griff zu bekommen und zu lösen.

Ingrid Yeboah, Mitgründerin und Anwältin bei YW Yeboah & Wiedemann Rechtsawältinnen

Besteht nach einer Folgenabschätzung im Vorfeld ein hohes Risiko in Zusammenhang mit der Datenverarbeitung, müssen technische und organisatorische Maßnahmen ergriffen werden, die ein dem Risiko angemessenes Schutzniveau bei der Verarbeitung gewährleisten. Ein Ziel der sogenannten TOMs ist es auch, dass Unbefugte sowohl keinerlei Zugang zu den Daten haben als auch nicht die Geräte benutzen können, mit denen diese verarbeitet werden. Verpflichtet sind dazu sowohl Verantwortliche als auch sogenannte Auftragsverarbeiter – also Dienstleister, die im Auftrag des Unternehmens Daten verarbeiten. Technische Maßnahmen können etwa Zutrittskontrollen, eingebaute Schlösser oder Verschlüsselungstechniken sein. Organisatorische Maßnahmen umfassen alle nicht technischen Sicherungsschritte wie Richtlinien, Dokumentations- und Berichtspflichten und/oder Arbeitsanweisungen. Welche Maßnahmen im Einzelnen getroffen werden müssen, unterscheidet sich von Unternehmen zu Unternehmen.

Wenn das Kind in den Brunnen gefallen ist: Evaluation, Implementierung und Information

Im Falle einer Datenpanne ist es nicht nur wichtig zeitnah und entsprechend auf die Situation zu reagieren, sondern auch im Nachgang genau zu analysieren, welche Schutzmaßnahmen zusätzlich getroffen werden müssen, um weitere Vorfälle zu verhindern. Diese Lehren sollten genau dokumentiert werden und ggf. als Handlungsanweisungen innerhalb des Unternehmens geteilt werden. Wie bereits erwähnt, empfiehlt es sich an dieser Stelle ebenfalls, noch einmal eine Mitteilung an Kunden und Shareholder herauszugeben, um den Vorfall abschließen zu können.

Fünf Expertentipps für die erfolgreiche Datenkrisen-Kommunikation

1. Führen Sie das gesetzlich verpflichtende Datenverarbeitungsverzeichnis gewissenhaft, um im Krisenfall schnell den Überblick zu haben.

2. Bewerten Sie im Vorfeld die Risiken einer Datenpanne und leiten Sie entsprechende technische und organisatorische Schutzmaßnahmen ein.

3. Ernennen Sie einen Datenpannen-Krisenstab und regeln Sie die einzelnen Verantwortlichkeiten

Planen Sie dabei die notwendigen Handlungsschritte innerhalb des 72 Stunden Fensters, um rechtzeitig die zuständige Aufsichtsbehörde zu informieren.

4. Formulieren Sie ein Statement an Ihre Kunden, die Presse und Shareholder vor, um die wichtigsten Informationen im Krisenfall zu teilen.

5. Kümmern Sie sich um nachhaltige Nachsorge

Sammeln Sie die Learnings und implementieren Sie diese unternehmensweit. Und: Informieren Sie Kunden und Shareholder abschließend nach der Datenkrise.

Fazit: Eine im Vorfeld gut organisierte Krise wird im Ernstfall besser bewältigt

Obwohl die Aussichten einer Datenkrise beängstigend sind, ist es ratsam, sich den lauernden Fallstricken im Vorfeld bewusst zu sein und vermeintlichen Fehlern vorzubeugen.