Datenpanne melden

Eine Datenpanne passiert schneller, als man denkt und kann schwerwiegende Konsequenzen mit sich führen. Deshalb ist es für Unternehmen wichtig zu wissen, wie sie sich bei einer Datenpanne zu verhalten haben.

Was ist als Datenpanne einzuordnen und wie muss darauf reagiert werden? Seit Geltung der DSGVO ist es noch wichtiger, diese Fragen richtig zu beantworten und danach zu handeln.

Definition Datenpanne nach der DSGVO

Ereignet sich eine Datenpanne, ist es wichtig, dass darauf richtig reagiert wird. Doch dafür muss man wissen, was unter einer Datenpanne zu verstehen ist. Mit Einführung der Datenschutzgrund-verordnung 2018 wurde der Umgang mit personenbezogenen Daten konkretisiert und verschärft. Demnach stellt eine Datenpanne die Verletzung des Schutzes von personenbezogenen Daten dar. Nach Artikel 14 Nr. 12 der DSGVO liegt eine Verletzung von personenbezogenen Daten vor, wenn diese Daten verlorengegangen sind bzw. vernichtet, verändert oder unbefugt offengelegt wurden. 

Datenpanne melden

Stellt ein Unternehmen fest, dass es zu einer Datenpanne gekommen ist, müssen die Verantwortlichen sofort handeln. Die Datenschutzgrundverordnung schreibt dem verantwortlichen Unternehmen grundsätzlich zwei verschiedene Handlungsmaßnahmen vor: Als erstes muss eine Meldung der Verletzung personenbezogener Daten an die zuständige Datenschutzbehörde erfolgen. Diese Meldung muss immer dann erfolgen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führt. Im nächsten Schritt müssten die Verantwortlichen die von der Datenpanne Betroffenen benachrichtigen. Diese Meldung muss nur dann erfolgen, wenn die Datenpanne voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person zur Folge hat. Wichtig ist, dass die Meldepflicht unabhängig davon besteht, ob bereits ein Schaden eingetreten ist oder nicht.

Verhaltensmaßnahmen bei einer Datenpanne

Im Falle einer Datenpanne muss das Unternehmen sofort handeln: Es muss zuerst eine Risikoanalyse erfolgen, damit festgestellt werden kann, ob eine Meldepflicht vorliegt und wer alles benachrichtigt werden muss. Der Begriff „Risiko“ wurde von den Datenschutzbehörden der Länder wie folgt definiert: „Ein Risiko ist die Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden darstellt oder zu einem weiteren Schaden führen kann“. Die Verantwortlichen müssen sich an dieser Stelle also verschiedene Fragen stellen:

  • In welcher Form ist die Datenpanne aufgetreten und was genau ist passiert?
  • Welche Schäden können durch die Datenpanne für die Betroffenen entstehen oder sind schon Schäden entstanden?

Stellt sich anhand der Risikoanalyse heraus, dass ein hohes Risiko für einen Schadenseintritt besteht, müssen die Aufsichtsbehörde und die Betroffenen der Datenpanne informiert werden. Die Meldung an die zuständige Aufsichtsbehörde muss innerhalb von 72 Stunden erfolgen. Welche Datenschutzbehörde konkret zuständig ist, richtet sich danach, in welchem Bundesland das Unternehmen seine Hauptniederlassung hat. Die Benachrichtigung an die betroffene Person muss unverzüglich und in einfacher Sprache erfolgen. Unverzüglich bedeutet, dass die Meldung so schnell wie möglich durchgeführt wird – in jedem Fall ohne schuldhaftes Verzögern.

Beispiele für eine Datenpanne

Ein klassisches Beispiel einer Datenpanne ist das Rausschicken einer E-Mail an den falschen Empfänger. Dieses Szenario wird in den meisten Unternehmen schon mal vorgekommen sein und stellt nunmehr eine Datenpanne dar. Das Entsorgen eines Computers, ohne die Festplatte vorher zu formatieren, stellt ebenfalls eine Datenpanne dar. Eine Datenpanne liegt auch dann vor, wenn ein Laptop oder Mobiltelefon mit personenbezogenen Daten verloren geht. Aber auch ein Hacker-Angriff, bei dem personenbezogene Daten gestohlen werden, stellt eine meldepflichtige Datenpanne dar.

Meldeformular bei einer Datenpanne

Die Meldung der Datenpanne sollte in jedem Fall schriftlich erfolgen. Die Meldung an die Aufsichtsbehörde sollte folgende Informationen enthalten:

  • Beschreibung der Verletzung mit Angabe der Kategorie, der Anzahl der betroffenen Personen und die ungefähre Anzahl der betroffenen Datensätze,
  • Name und Kontaktdaten des Datenschutzbeauftragten
  • Ergebnisse der Risikoanalyse

Bei der Meldung an die betroffenen Personen sollten folgende Informationen enthalten sein:

  • Name und Kontaktdaten des Datenschutzbeauftragten
  • Daten einer Anlaufstelle für weitere Informationen
  • Beschreibung der wahrscheinlichen Folgen durch die Verletzung

Wann sind neben den Behörden auch Betroffene zu informieren?

Der Leitfaden beschreibt außerdem Situationen und gibt Fallbeispiele, bei denen die Betroffenen gem. Art. 34 Abs. 1 DSGVO zu informieren sind, weil voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht.Für Praktiker besonders hilfreich dürfte die Auflistung von Fallbeispielen zur Melde- und Informationspflicht von Datenpannen sein. Insgesamt zehn solcher Praxisfälle sind dazu in einer Tabelle zusammengestellt.

Kein Meldefall:

So kann man diesen Beispielen etwa entnehmen, dass der Diebstahl eines USB-Sticks mit wirksam verschlüsselten Daten weder eine Meldepflicht an die Behörden noch eine Mitteilungspflicht an die Betroffenen auslöst.

Meldefall:

Erbeuten Hacker dagegen Nutzernamen, Passwörter oder auch weitere Daten von Kunden eines Online-Shops, muss dies sowohl den Behörden gemeldet, als auch den Betroffenen mitgeteilt werden.

Meldefall:

Auch schon beim Versenden von Werbe-Mails mit offen einsehbarem Mailverteiler (z.B. durch Versenden mit cc statt bcc) kann unter Umständen eine Melde- und Informationspflicht bestehen, wenn es etwa eine große Zahl Betroffener gibt und sensible Inhalte übermittelt wurden.

Schon bei diesen Beispielen wird allerdings deutlich, dass eine Entscheidung in den meisten Fällen nur von den jeweiligen Details des konkreten Einzelfalls abhängig ist, und auch die aufgeführten Beispiele nur Anhaltspunkte für die Beurteilung liefern können.

Bußgeld bei einer Datenpanne

Nach der Datenschutzgrundverordnung wird ein Verstoß gegen die Meldepflicht mit schweren Konsequenzen geahndet: So kann bei einem Verstoß dem verantwortlichen Unternehmen ein Bußgeld in Höhe von bis zu zwei Millionen Euro auferlegt werden. Aber auch bei der Einhaltung der Meldepflicht stehen den Verantwortlichen finanzielle Konsequenzen bevor: Eine umfangreiche Haftung für materielle und immaterielle Schäden, die dem Betroffenen aus Verstößen entstehen.

Notfallplan für Datenpanne: Eine Checkliste

  • Feststellung der Datenpanne
  • Risikoanalyse durchführen
  • Meldepflichten erfüllen
  • Aufsichtsbehörde vorab telefonisch kontaktieren
  • Mitarbeiter schulen

Weitere Artikel zum Thema: 

Google+ stellt ein und muss noch eine Datenpanne gestehen

Erstes Bußgeld nach DSGVO

Zahl der gemeldeten Datenpannen steigt

Schlagworte zum Thema:  Datenschutz, Datenschutz-Grundverordnung