Eine Datenpanne melden

Stefan-Marc Rehm
Fachanwalt für Strafrecht / Rechtsanwalt

Datenpanne melden — Bild: mauritius images / Denis Putilov / Alamy Datenpannen erfordern ein schnelles und korrektes Vorgehen, um hohe Schäden zu vermeiden.

Eine Datenpanne passiert schneller, als man denkt und kann schwerwiegende Konsequenzen mit sich bringen. Deshalb ist es für Unternehmen wichtig zu wissen, wie sie sich bei einer Datenpanne zu verhalten haben.

Was ist als Datenpanne einzuordnen und wie muss darauf reagiert werden? Seit Inkrafttreten der DSGVO ist es noch wichtiger, diese Fragen richtig zu beantworten und danach zu handeln.

Definition Datenpanne nach der DSGVO

Ereignet sich eine Datenpanne, ist es wichtig, dass darauf richtig reagiert wird. Doch dafür muss man wissen, was unter einer Datenpanne zu verstehen ist. Mit Einführung der Datenschutz-Grundverordnung 2018 wurde der Umgang mit personenbezogenen Daten konkretisiert und verschärft. Demnach stellt eine Datenpanne die Verletzung des Schutzes von personenbezogenen Daten dar. Nach Art. 4 Nr. 12 der DSGVO liegt eine Verletzung von personenbezogenen Daten vor, wenn diese Daten verlorengegangen sind bzw. vernichtet, verändert oder unbefugt offengelegt wurden.

Das sieht die DSGVO bei einer Datenpanne vor

Stellt ein Unternehmen fest, dass es zu einer Datenpanne gekommen ist, müssen die Verantwortlichen sofort handeln. Die Datenschutzgrundverordnung schreibt dem verantwortlichen Unternehmen grundsätzlich zwei verschiedene Handlungsmaßnahmen vor:

Als erstes muss eine Meldung der Verletzung personenbezogener Daten an die zuständige Datenschutzbehörde erfolgen. Diese Meldung muss immer dann erfolgen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führt.
Im nächsten Schritt müssen die Verantwortlichen die von der Datenpanne Betroffenen benachrichtigen. Diese Meldung muss aber nur dann erfolgen, wenn die Datenpanne voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person zur Folge hat. Wichtig ist, dass die Meldepflicht unabhängig davon besteht, ob bereits ein Schaden eingetreten ist oder nicht.

Genaue Verhaltensmaßnahmen bei einer Datenpanne

Im Falle einer Datenpanne muss das Unternehmen sofort handeln: Es muss zuerst eine Risikoanalyse erfolgen, damit festgestellt werden kann, ob eine Meldepflicht vorliegt und wer alles benachrichtigt werden muss. Der Begriff „Risiko“ wurde von den Datenschutzbehörden der Länder wie folgt definiert: „Ein Risiko ist die Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden darstellt oder zu einem weiteren Schaden führen kann“. Die Verantwortlichen müssen sich an dieser Stelle also verschiedene Fragen stellen:

In welcher Form ist die Datenpanne aufgetreten und was genau ist passiert?
Welche Schäden können durch die Datenpanne für die Betroffenen entstehen oder sind schon Schäden entstanden?

Stellt sich anhand der Risikoanalyse heraus, dass ein hohes Risiko für einen Schadenseintritt besteht, müssen die Aufsichtsbehörde und die Betroffenen der Datenpanne informiert werden. Die Meldung an die zuständige Aufsichtsbehörde muss innerhalb von 72 Stunden erfolgen. Welche Datenschutzbehörde konkret zuständig ist, richtet sich danach, in welchem Bundesland das Unternehmen seine Hauptniederlassung hat. Die Benachrichtigung an die betroffene Person muss unverzüglich und in einfacher Sprache erfolgen. Unverzüglich bedeutet, dass die Meldung so schnell wie möglich durchgeführt wird – in jedem Fall ohne schuldhaftes Verzögern.

Beispiele für eine Datenpanne

Ein klassisches Beispiel einer Datenpanne ist das Versenden einer E-Mail an den falschen Empfänger. Dieses Szenario wird in den meisten Unternehmen schon mal vorgekommen sein und stellt nunmehr eine Datenpanne dar. Das Entsorgen eines Computers, ohne die Festplatte vorher zu formatieren, stellt ebenfalls eine Datenpanne dar. Eine Datenpanne liegt auch dann vor, wenn ein Laptop oder Mobiltelefon mit personenbezogenen Daten verloren geht. Aber auch ein Hacker-Angriff, bei dem personenbezogene Daten gestohlen werden, stellt eine meldepflichtige Datenpanne dar.

Meldeformular bei einer Datenpanne

Die Meldung der Datenpanne sollte in jedem Fall schriftlich erfolgen. Die Meldung an die Aufsichtsbehörde sollte folgende Informationen enthalten:

Beschreibung der Verletzung mit Angabe der Kategorie, der Anzahl der betroffenen Personen und die ungefähre Anzahl der betroffenen Datensätze,
Name und Kontaktdaten des Datenschutzbeauftragten,
Ergebnisse der Risikoanalyse.

Bei der Meldung an die betroffenen Personen sollten folgende Informationen enthalten sein:

Name und Kontaktdaten des Datenschutzbeauftragten,
Daten einer Anlaufstelle für weitere Informationen,
Beschreibung der wahrscheinlichen Folgen durch die Verletzung.

Wann genau sind neben den Behörden auch Betroffene zu informieren?

Der Leitfaden des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit beschreibt außerdem Situationen und gibt Fallbeispiele, bei denen die Betroffenen gem. Art. 34 Abs. 1 DSGVO zu informieren sind, weil voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht.Für Praktiker besonders hilfreich dürfte die Auflistung von Fallbeispielen zur Melde- und Informationspflicht von Datenpannen sein. Insgesamt zehn solcher Praxisfälle sind dazu in einer Tabelle zusammengestellt.

Kein Meldefall:

So kann man diesen Beispielen etwa entnehmen, dass der Diebstahl eines USB-Sticks mit wirksam verschlüsselten Daten weder eine Meldepflicht an die Behörden noch eine Mitteilungspflicht an die Betroffenen auslöst.

Meldefall:

Erbeuten Hacker dagegen Nutzernamen, Passwörter oder auch weitere Daten von Kunden eines Online-Shops, muss dies sowohl den Behörden gemeldet, als auch den Betroffenen mitgeteilt werden.

Meldefall:

Auch schon beim Versenden von Werbe-Mails mit offen einsehbarem Mailverteiler (z.B. durch Versenden mit cc statt bcc) kann unter Umständen eine Melde- und Informationspflicht bestehen, wenn es etwa eine große Zahl Betroffener gibt und sensible Inhalte übermittelt wurden.

Schon bei diesen Beispielen wird allerdings deutlich, dass eine Entscheidung in den meisten Fällen nur von den jeweiligen Details des konkreten Einzelfalls abhängig ist, und auch die aufgeführten Beispiele nur Anhaltspunkte für die Beurteilung liefern können.

Bußgeld bei einer Datenpanne

Nach der Datenschutzgrundverordnung wird ein Verstoß gegen die Meldepflicht mit schweren Sanktionen geahndet: So kann bei einem Verstoß dem verantwortlichen Unternehmen ein Bußgeld in Höhe von bis zu zwei Millionen Euro auferlegt werden. Aber auch bei der Einhaltung der Meldepflicht stehen den Verantwortlichen finanzielle Konsequenzen bevor: Eine umfangreiche Haftung für materielle und immaterielle Schäden, die dem Betroffenen aus Verstößen entstehen.

Notfallplan für Datenpanne: Eine Kurz-Checkliste

Feststellung der Datenpanne,
Risikoanalyse durchführen,
Meldepflichten erfüllen,
Aufsichtsbehörde vorab telefonisch kontaktieren,
Mitarbeiter schulen.

Meistgelesene beiträge

Neueste beiträge

Dynamische Entwicklungen in Compliance und Corporate Governance

25.04.2024
Mit dem richtigen Tool zum Erfolg: Wie Unternehmen Compliance mit KI optimieren

24.04.2024
Krisenpräventionsumfrage 2023 zeigt die Herausforderungen des Krisenmanagements

17.04.2024
Compliance als Grundstein der Unternehmenskultur

10.04.2024
DIHK-Umfrage sieht Datenschutzgrundverordnung als Bürokratietreiber

03.04.2024
Europaweite Datenschutzaktion zum Auskunftsrecht der Datenschutzgrundverordnung

27.03.2024
Datenschutzbehörden führen automatisierte Prüfungen von Cookie-Bannern durch

26.03.2024
Mitarbeiterkontrollen durch den Arbeitgeber – Was ist unter welchen Voraussetzungen erlaubt?

12.03.2024
Wann muss eine öffentliche Ausschreibung erfolgen?

05.03.2024
Wie Unternehmen mit dem richtigen Tool ihr Potenzial maximieren

21.02.2024