de en
Nexia Ebner Stolz

Rechtsberatung

DSGVO: Meldung von Datenpannen

Datenschutz-Verletzungen müssen in der Regel innerhalb von 72 Stunden der Datenschutzbehörde gemeldet werden. Um diese Meldepflicht erfüllen zu können, benötigen Unternehmen einen Data-Breach-Prozess, ein Schulungskonzept für Beschäftigte und definierte Zuständigkeiten.

Was sind Daten­schutz­ver­let­zun­gen?

Eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten ist ein Sicher­heits­vor­fall, der dazu führt, dass Daten ver­lo­ren gehen, Unbe­fug­ten bekannt wer­den oder diese dar­auf zug­rei­fen kön­nen. Mit ande­ren Wor­ten: Eine Daten­schutz­ver­let­zung ist eine Daten­panne oder neu­deutsch ein Data Bre­ach.

Bei­spiele:

  • Wei­ter­gabe von Daten an den fal­schen Emp­fän­ger
  • Ver­sand von Werbe-E-Mails mit vie­len Emp­fän­gern im An- oder CC-Feld
  • Ver­lust eines USB-Sticks oder Smart­pho­nes mit Daten
  • Dieb­stahl von Daten nach einem Ein­bruch oder Hacker­an­griff
  • Ver­se­hent­li­che Zugäng­lich­ma­chung von Kun­den­da­ten im Inter­net  
  • Ver­se­hent­li­che Löschung von Daten

Not­fall­kon­zept ent­wi­ckeln und Beschäf­tigte schu­len

Im Rah­men eines Data-Bre­ach-Pro­zes­ses bedarf es ein­deu­ti­ger Zustän­dig­kei­ten, Mel­de­ket­ten und Arbeits­an­wei­sun­gen an Beschäf­tigte. Mit­ar­bei­ter/innen soll­ten so geschult wer­den, dass sie einen Daten­schutz­vor­fall auch als poten­ti­ell mel­depf­lich­ti­gen Umstand erken­nen. Merk­blät­ter mit Bei­spie­len für Daten­schutz­pan­nen kön­nen dabei hel­fen. Es sollte allen Beschäf­tig­ten bekannt sein, wem im Unter­neh­men ein Daten­schutz­vor­fall zu mel­den ist, damit dort geprüft wer­den kann, ob eine mel­depf­lich­tige Daten­panne vor­liegt. Am Ende der Mel­de­kette steht die Geschäfts­füh­rung. Sie ent­schei­det, ob eine Mel­dung bei der Daten­schutz­be­hörde erfol­gen muss oder nicht.

Prü­fung, ob Mel­depf­licht besteht

Das Unter­neh­men hat die schwie­rige Ent­schei­dung zu tref­fen, ob es eine Daten­panne mel­det und damit mög­li­cher­weise erst die Auf­merk­sam­keit der Daten­schutz­be­hörde auf sich zieht oder auf eine Mel­dung ver­zich­tet und dadurch ein Buß­geld ris­kiert. Immer­hin: Allein auf­grund einer Mel­dung, zu der das Unter­neh­men verpf­lich­tet ist, darf die Daten­schutz­be­hörde wegen § 43 Absatz 4 Bun­des­da­ten­schutz­ge­setz (BDSG) kein Buß­geld ver­hän­gen. Aller­dings darf die Daten­schutz­be­hörde den­noch ein Buß­geld fest­set­zen, sofern sie auf­grund eige­ner Ermitt­lun­gen von der Daten­panne erfah­ren hat oder die Mel­dung unvoll­stän­dig oder ver­spä­tet war. Des­halb ist in Zwei­fel­fäl­len den­noch zu einer Mel­dung einer Daten­panne zu raten.

Eine Mel­depf­licht besteht nicht, wenn trotz der Daten­panne vor­aus­sicht­lich kein Risiko für die Per­so­nen, deren Daten betrof­fen sind, besteht.

Bei­spiele:

  • Ver­lust eines ver­schlüs­sel­ten USB-Sticks
  • Daten­lö­schung, falls Siche­rungs­ko­pie vor­han­den

Wann und wie ist zu mel­den?

Die Mel­dung muss inn­er­halb von 72 Stun­den nach Kennt­nis von der Daten­panne erfol­gen. Um diese kurze Frist ein­hal­ten zu kön­nen, sind ein­ge­spielte und erprobte interne Ablauf­pläne wich­tig.

Pflicht zur Benach­rich­ti­gung gegen­über Betrof­fe­nen

Besteht für die von der Daten­panne betrof­fe­nen Per­so­nen (z. B. Ansp­rech­part­ner, Beschäf­tigte) ein hohes Risiko auf­grund der Daten­schutz­panne, muss dies auch die­sen Per­so­nen mit­ge­teilt wer­den. Ein hohes Risiko liegt z.B. vor, wenn aus Ver­se­hen Gesund­heits­da­ten von Pati­en­ten im Inter­net zugäng­lich gemacht wer­den oder Hacker Kre­dit­kar­ten­da­ten und Pass­wör­ter gestoh­len haben.

Son­der­fall Auf­trags­ver­ar­bei­ter

Zum Teil abwei­chende Mel­depf­lich­ten beste­hen für Auf­trags­ver­ar­bei­ter. Das sind Unter­neh­men, die Daten für andere Unter­neh­men nur nach Wei­sung und nicht zu eige­nen Zwe­cken nut­zen (z. B. Hos­ting-Unter­neh­men). Auf­trags­ver­ar­bei­ter müs­sen bei einer Daten­panne in Bezug auf die nach Wei­sung ver­ar­bei­te­ten Daten ihren Auf­trag­ge­ber über die Daten­panne unver­züg­lich infor­mie­ren.

Hin­weis

72 Stun­den sind sch­nell vor­bei. Des­halb ist der Data-Bre­ach-Pro­zess einer der wich­tigs­ten orga­ni­sa­to­ri­schen Daten­schutz-Maß­nah­men in Unter­neh­men.

nach oben