DSGVO: Meldung von Datenpannen

Was sind Datenschutzverletzungen?

Eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Da­ten ist ein Si­cher­heits­vor­fall, der dazu führt, dass Da­ten ver­lo­ren ge­hen, Un­be­fug­ten be­kannt wer­den oder diese dar­auf zu­grei­fen können. Mit an­de­ren Worten: Eine Da­ten­schutz­ver­let­zung ist eine Da­ten­panne oder neu­deut­sch ein Data Bre­ach.

Bei­spiele:

• Wei­ter­gabe von Da­ten an den fal­schen Empfänger
• Ver­sand von Werbe-E-Mails mit vie­len Empfängern im An- oder CC-Feld
• Ver­lust ei­nes USB-Sticks oder Smart­pho­nes mit Da­ten
• Dieb­stahl von Da­ten nach einem Ein­bruch oder Ha­cker­an­griff
• Ver­se­hent­li­che Zugäng­lich­ma­chung von Kun­den­da­ten im In­ter­net  
• Ver­se­hent­li­che Löschung von Da­ten

Notfallkonzept entwickeln und Beschäftigte schulen

Im Rah­men ei­nes Data-Bre­ach-Pro­zes­ses be­darf es ein­deu­ti­ger Zuständig­kei­ten, Mel­de­ket­ten und Ar­beits­an­wei­sun­gen an Be­schäftigte. Mit­ar­bei­ter/in­nen soll­ten so ge­schult wer­den, dass sie einen Da­ten­schutz­vor­fall auch als po­ten­ti­ell mel­de­pflich­ti­gen Um­stand er­ken­nen. Merkblätter mit Bei­spie­len für Da­ten­schutz­pan­nen können da­bei hel­fen. Es sollte al­len Be­schäftig­ten be­kannt sein, wem im Un­ter­neh­men ein Da­ten­schutz­vor­fall zu mel­den ist, da­mit dort geprüft wer­den kann, ob eine mel­de­pflich­tige Da­ten­panne vor­liegt. Am Ende der Mel­de­kette steht die Ge­schäftsführung. Sie ent­schei­det, ob eine Mel­dung bei der Da­ten­schutz­behörde er­fol­gen muss oder nicht.

Prüfung, ob Meldepflicht besteht

Das Un­ter­neh­men hat die schwie­rige Ent­schei­dung zu tref­fen, ob es eine Da­ten­panne mel­det und da­mit mögli­cher­weise erst die Auf­merk­sam­keit der Da­ten­schutz­behörde auf sich zieht oder auf eine Mel­dung ver­zich­tet und da­durch ein Bußgeld ris­kiert. Im­mer­hin: Al­lein auf­grund ei­ner Mel­dung, zu der das Un­ter­neh­men ver­pflich­tet ist, darf die Da­ten­schutz­behörde we­gen § 43 Ab­satz 4 Bun­des­da­ten­schutz­ge­setz (BDSG) kein Bußgeld verhängen. Al­ler­dings darf die Da­ten­schutz­behörde den­noch ein Bußgeld fest­set­zen, so­fern sie auf­grund ei­ge­ner Er­mitt­lun­gen von der Da­ten­panne er­fah­ren hat oder die Mel­dung un­vollständig oder verspätet war. Des­halb ist in Zwei­felfällen den­noch zu ei­ner Mel­dung ei­ner Da­ten­panne zu ra­ten.

Eine Mel­de­pflicht be­steht nicht, wenn trotz der Da­ten­panne vor­aus­sicht­lich kein Ri­siko für die Per­so­nen, de­ren Da­ten be­trof­fen sind, be­steht.

Bei­spiele:

• Ver­lust ei­nes ver­schlüssel­ten USB-Sticks
• Da­tenlöschung, falls Si­che­rungs­ko­pie vor­han­den

Wann und wie ist zu melden?

Die Mel­dung muss in­ner­halb von 72 Stun­den nach Kennt­nis von der Da­ten­panne er­fol­gen. Um diese kurze Frist ein­hal­ten zu können, sind ein­ge­spielte und er­probte in­terne Ab­laufpläne wich­tig.

Pflicht zur Benachrichtigung gegenüber Betroffenen

Be­steht für die von der Da­ten­panne be­trof­fe­nen Per­so­nen (z. B. An­sprech­part­ner, Be­schäftigte) ein ho­hes Ri­siko auf­grund der Da­ten­schutz­panne, muss dies auch die­sen Per­so­nen mit­ge­teilt wer­den. Ein ho­hes Ri­siko liegt z.B. vor, wenn aus Ver­se­hen Ge­sund­heits­da­ten von Pa­ti­en­ten im In­ter­net zugäng­lich ge­macht wer­den oder Ha­cker Kre­dit­kar­ten­da­ten und Passwörter ge­stoh­len ha­ben.

Sonderfall Auftragsverarbeiter

Zum Teil ab­wei­chende Mel­de­pflich­ten be­ste­hen für Auf­trags­ver­ar­bei­ter. Das sind Un­ter­neh­men, die Da­ten für an­dere Un­ter­neh­men nur nach Wei­sung und nicht zu ei­ge­nen Zwecken nut­zen (z. B. Hos­ting-Un­ter­neh­men). Auf­trags­ver­ar­bei­ter müssen bei ei­ner Da­ten­panne in Be­zug auf die nach Wei­sung ver­ar­bei­te­ten Da­ten ih­ren Auf­trag­ge­ber über die Da­ten­panne un­verzüglich in­for­mie­ren.

Hinweis

72 Stun­den sind schnell vor­bei. Des­halb ist der Data-Bre­ach-Pro­zess ei­ner der wich­tigs­ten or­ga­ni­sa­to­ri­schen Da­ten­schutz-Maßnah­men in Un­ter­neh­men.