Folgender Vorfall: In einem Handwerksbetrieb öffnete eine Mitarbeiterin eine Phishing Mail und löste damit einen Datenschutzvorfall aus. Betroffen waren E-Mail-Adressen von Lieferanten, keine weiteren Daten. Anzahl der Adressen war übersichtlich. Der Vorfall wurde innerhalb einer Stunde behoben, die entsprechenden Lieferanten sofort informiert, um die weitere Verbreitung zu vermeiden. Intern wurden direkt Gegenmaßnahmen ergriffen. Also soweit nicht dramatisch.
Der DSB wurde erst nach einer Woche informiert. Eine Online-Meldung des Vorfalls an die Behörde wurde von der IT-Abteilung nach 4 Tagen verschickt. Diese Meldung hätte einerseits nicht gemacht werden müssen und wurde andererseits falsch ausgefüllt. Hier wurde u. a. “Gefährdung des Berufsgeheimnisses”, “erhebliche wirtschaftliche Nachteile” angekreuzt!
Sollte man jetzt abwarten, ob sich jemand von der Behörde meldet? Oder Kontakt aufnehmen und die Meldung zurückziehen? Ist die Begleitung eines Juristen zu empfehlen?
Hat jemand Erfahrung mit so einem oder ähnlichen Fall?
Ob und wie stark die Behörde schwingen wird hängt sicher auch davon ab ob und welche Maßnahmen zur Gegensteuerung der Eintrittswahrscheinlichkeit und Minderung des Schweregrades eines Risikos ergriffen wurden. Da könnte ich mir allenfalls vorstellen, dass die wissen wollen wie es möglich ist, dass ein Handwerksbetrieb “Berufsgeheimnisträger “ und sich ggf. die erforderliche Risikobewertung einfordern.
Ich würde in jedem Fall noch “Nachbesserungen” einreichen.
Kann Euer DSB nicht die Kommunikation mit der DS-Aufsicht übernehmen? Der sollte “datenschutz-deutsch” sprechen. Ich denke, er sollte versuchen, die Meldung zurückzuziehen. Angaben zur Vermeidung eines ähnlichen Vorfalls in der Zukuft sollten allerdings getroffen und der DS-Aufsicht angegeben werden. Ebenso Maßnahmen, die sicherstellen, dass der DSB zukünftig sehr viel schneller hinzugezogen wird.
Viel Erfolg und viele Grüße,
Michael - ein DSB der auch schon die glühenden Kohlen bei der Behörde löschen konnte….