Jedes Unternehmen sollte Vorkehrungen für unerwartete Ereignisse treffen, welche eine Gefahr für den Geschäftsbetrieb und den Unternehmensbestand darstellen bzw. dieses handlungs­unfähig machen können. Dabei geht es nicht nur um den Schutz des Unternehmens; sondern auch um den Schutz von Mitarbeitern, Geschäftsführung und Kunden. Das Ziel eines Notfallplans für Unternehmen sollte eine schnelle Reaktion und Schadensbegrenzung sowie Verhinderung derartiger Vorfälle in der Zukunft sein.

Diese Notfallplanpflicht ergibt sich aus dem Art. 32 Abs.1 DSGVO:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (…)“

Nachfolgend möchten wir darauf eingehen, welche Punkte bei der Erstellung eines Notfallplans für Unternehmen berücksichtigt werden sollten.

Erste Schritte zum Notfallplan für Unternehmen

Die Vorbereitung eines Notfallplans sollte mit der Etablierung eines Notfallteams (Ansprechpersonen, Zuständigkeiten, Kommunikationskette, Stellvertreterregelungen) begonnen werden. Bei den Vorbereitungsarbeiten sollte auch überlegt werden, wie u. a. Kunden bei längeren Ausfällen zu informieren sind und wie die Dokumentation zu erfolgen hat. Es ist empfehlenswert, dass der Datenschutzbeauftragte bei der Erstellung des Notfallplans beteiligt wird, da manche Notfälle eine Datenpanne i. S. d. Art. 33 DSGVO darstellen können.

Beispiele von Notfallszenarien für Unternehmen

• Stromausfall
  In der zweiten Hälfte 2021 war in den Medien von der Stromausfallgefahr die Rede. Die niedrigen Erdgasreserven, die Abschaltung von immer mehr Atomkraft- und Kohlekraftwerken sowie der schwankende Wind haben das Risiko eines größeren Stromausfalls verstärkt.
  
  Als mögliche Gegenmaßnahmen kommen z. B. in Betracht: die Überprüfung der USV, Sicherstellung der Erreichbarkeit für Kunden (Umleitung auf Mobilgeräte bzw. Festnetztelefone), Kommunikation mit dem Stromanbieter (Festlegung des Kommunikationsweges). Es ist auch empfehlenswert, entsprechende Bargeldreserven im Unternehmen zu haben.
  
  
• Unruhen
  Beim G-20-Gipfel 2017 in Hamburg oder bei den George-Floyd-Protesten 2021 in den USA konnte man sehen, wie schnell friedliche Demonstrationen zu Massenunruhen werden und ganze Städte und Regionen lahmlegen können. Angesichts der Tatsache, dass es bei den derzeitigen COVID-Demos zunehmend zu Ausschreitungen kommt, kann die künftige Gefahr von Massenunruhen nicht ausgeschlossen werden. In solchen Fällen ist mit dem Anstieg von Einbrüchen/ Vandalismus sowie den damit verbundenen unberechtigten Zugriffen auf die personenbezogenen Daten (bspw. Akten, Datenträger) zu rechnen. So wurden bspw. während des Sturms aufs Kapitol am 06.01.2021 Laptops mancher Abgeordneten gestohlen und die Demonstranten hatten auch Zugriff auf die sich in den Arbeitszimmern befindlichen Unterlagen.
  
  Aus diesen Gründen ist es wichtig, das Unternehmen nach Außen abzusichern; um den Zutritt unberechtigter Personen zu verhindern. Als mögliche Sicherheitsmaßnahmen kommen beispielsweise in Betracht: Sicherheitsverglasung, Sicherheitsfenster, Sicherheitstüren, Alarmanlage, Bewegungsmelder, Absicherung der Gebäudeschächte, der Einsatz einer Videoüberwachung oder vom Sicherheitspersonal usw.
  
  
  
• Internetausfall
  Heutzutage ist das Leben ohne Internet und Handy kaum vorstellbar. In den sozialen Medien sind die Fotos zu sehen, auf welchen Jugendliche neben Festnetztelefonzellen stehen. Die junge Generation scheint die Festnetztelefonie als Relikt der Vergangenheit zu betrachten. Das ist aber ein Fehler. Was ist, wenn es zum Internetausfall kommt? Ein Indiz dafür, dass man mit dieser Gefahr rechnet, sind die immer noch vorhandenen Telefonzellen in den Stadtzentren.
  
  Als Präventivmaßnahme sollte man den Einsatz der alternativen Kommunikationswege (Festnetztelefon, Fax, Post) in Betracht ziehen, um die Erreichbarkeit für Kunden und Geschäftspartner sicherzustellen.
  
  
  
• Geschäftspartnerausfall
  In manchen Bereichen kann der Ausfall eines Geschäftspartners (Dienstleister, Lieferant) für ein Unternehmen u. U. geschäftsschädigend werden (beispielsweise ein Totalausfall des IT- oder Cloud Dienstleisters, der Passwörter und Backups verwaltet oder der Ausfall eines Lieferanten wegen der Beeinträchtigung der Lieferketten).
  
  Es ist empfehlenswert, die Ausfallgefahr bereits bei der Lieferanten- bzw. Dienstleisterauswahl sowie im Laufe der Vertragsverhandlungen zu berücksichtigen. Im Zusammenhang mit den gelieferten Waren ist es sinnvoll, den Aufbau von Reserven vorzunehmen.
  
  
  
• Mitarbeiterausfall
  Das Thema ist in den letzten zwei Jahre sehr aktuell geworden. Im Falle einer ungeplanten oder vor allem länger andauernden Abwesenheit eines Mitarbeiters (inkl. leitende Angestellten, Geschäftsleiter), gilt es zu prüfen, inwiefern hierdurch der Geschäftsbetrieb beeinflusst wird und geregelt werden sollte.
  Hier wäre als Präventivmaßnahme eine klare innenbetriebliche Stellvertreterregelung zu empfehlen.
  
  
  
• Hackerangriff
  Sicherheitslücken werden oftmals erst beim Verlust von Daten oder Angriffen auf das Unter­nehmen aufgedeckt und sollten umgehend geschlossen werden. Hackerangriffe können sowohl von intern (durch Mitarbeiter) als auch von extern erfolgen.
  

  Eine diesbezügliche Prävention ist beispielsweise möglich über: Einsatz von geeigneten technisch-organisatorischen Maßnahmen (z. B. Verwendung aktueller Software, Implementierung einer Firewall, Zugriffskontrollen, usw.), Schulung der Mitarbeiter im Bereich des Datenschutzes und der IT-Sicherheit sowie deren Verpflichtung auf Datengeheimnis usw.

  Im Falle von Sicherheitslücken oder Hackerangriffen sollten hierfür die Abläufe für das Unternehmen festgelegt werden (bspw. sofortige Meldung an die IT-Abteilung im Fall von „seltsamen“ IT-Abläufen; beim Angriff in böswilliger Absicht durch einen Mitarbeiter sind diesem jegliche Zugriffsmöglichkeiten auf Daten sofort zu entziehen und strafrechtliche/ arbeitsrechtliche Konsequenzen zu ziehen).

  Sobald Unbefugte in irgendeiner Form Zugriff auf personenbezogene Daten erlangt haben, liegt eine Datenpanne i. S. d. Art. 33 DSGVO vor und es sollten die diesbezüglich erforderlichen Schritte (u. a. Benachrichtigung vom Datenschutzbeauftragten) eingeleitet werden.

Neben den beispielhaft aufgeführten Szenarien gibt es weitere Vorfälle (bspw. Brand, Wasserschaden Datenpanne usw.), welche zum Bestandteil eines Notfallplans für Ihr Unternehmen werden sollten. Bei allen Vorfällen muss immer geprüft werden, ob ein Verlust oder externer Zugriff auf personenbezogene Daten vorliegt. Denn in so einem Fall liegt automatisch eine Datenpanne i. S. d. Art. 33 DSGVO vor, bei welcher umgehend zu handeln ist.

Umsetzung des Notfallplans für Unternehmen

Die Mitarbeiter sollen im Notfall auf den Notfallplan für Unternehmen zugreifen können. Aus diesem Grund ist es sinnvoll, ihn im Intranet bzw. als Hardcopy-Version zur Verfügung zu stellen. Weiter ist es empfehlenswert, die ausgedruckten Kopien des Notfallplans außerhalb des Unternehmens aufzubewahren. Überlegenswert sind auch Notfall-Simulationen. Der Notfallplan ist regelmäßig zu aktualisieren, weshalb diesbezüglich festgelegte Zeiträume im Unternehmen implementiert werden sollten. Da manche Notfälle gleichzeitig eine Datenpanne i. S. d. Art. 33 DSGVO darstellen, muss der Datenschutzbeauftragte an den notfallplanbezogenen Arbeiten beteiligt sein.

dacuro GmbH

Der Datenschutzbeauftragte muss an den notfallplanbezogenen Arbeiten beteiligt sein. Benötigen Sie Unterstützung bei ihrem Notfallplan? Dann nehmen Sie gerne Kontakt zu uns auf.

Unser Team besteht aus einem Gesamtpaket: wir verfügen über qualifizierte Datenschutzbeauftragte, Expertenwissen durch eigene Juristen und kompetente Kollegen mit jahrelanger technischer Erfahrung, sodass wir das Thema „Datenschutz“ komplett für unsere Kunden abbilden können. Wir betreuen unsere Kunden nicht nur im Rhein-Neckar-Kreis, sondern deutschlandweit in den verschiedensten Branchen. Einen kleinen Einblick finden Sie in unseren Referenzen. Wir freuen uns auf Sie.