Meldung von Datenschutzvorfällen

Hintergrund

Zu den wesentlichen Neuerungen, die sich durch die Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 ergeben haben, gehört auch die Pflicht der verantwortlichen Person, Datenschutzverstöße innerhalb von 72 Stunden zu melden. Da diese Pflicht auch heute, fast vier Jahre nach Einführung der DSGVO, teilweise unklar erscheint, möchten wir Ihnen noch einmal aufzeigen, wann und wie eine Datenpanne zu melden ist. 

Datenpanne erkennen

Definition

Zunächst ist es wichtig, dass eine Datenpanne auch als solche erkannt wird. In Art. 4 Satz 12 DSGVO ist die „Verletzung des Schutzes personenbezogener Daten“ definiert als

„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Damit ist nicht jeder Verstoß gegen die DSGVO meldepflichtig, sondern nur solche Verletzungen der Datensicherheit, durch die unbefugte Dritte Kenntnis von den personenbezogenen Daten erhalten haben oder die Daten gelöscht, verloren oder verändert wurden. Unerheblich ist dabei, ob dies von dem Verantwortlichen beabsichtigt war oder nicht.

Typische Datenpannen

Zu den wohl häufigsten Datenpannen zählen Briefe oder E-Mails, die an den falschen Adressaten übermittelt werden. Diese Fehler sind schnell passiert, weil beispielsweise beim Eintüten von Briefen zwei Anschreiben in einen Umschlag gepackt werden oder die vorgeschlagene E-Mail-Adresse bei der Erstellung einer E-Mail nicht näher kontrolliert wird.

Auch der Versand von Newslettern oder anderen Rundschreiben in einem offenen Verteiler, sodass alle Empfänger:innen die E-Mail-Adressen der anderen Empfänger:innen erhalten, zählt ebenso zu den klassischen Datenpannen im Arbeitsalltag wie verlorene Arbeitsgeräte (z.B. Laptops, Mobiltelefone), Akten/Dokumente oder Speichermedien (z.B. Festplatten, USB-Sticks).

Neben diesen Versehen, die den eigenen Mitarbeiter:innen passieren, gehören zu den Datenpannen aber auch Angriffe von Dritten mit Schädigungsabsicht, also etwa die Verschlüsselung oder Löschung von Daten mit Schadsoftware oder das Eindringen in die IT-Systeme mittels Hacking- oder Phishing-Attacken.

Schulung

Da diese Datenpannen in der Regel Ihren Mitarbeiter:innen unterlaufen oder zuerst auffallen, sollten diese regelmäßig (mindestens jährlich) im Datenschutz geschult und dabei auch für die Erkennung von Datenpannen und natürlich deren Vermeidung sensibilisiert werden.

Datenpannen bei Auftragsverarbeitern

Da Sie für die Datenschutzvorfälle Ihrer Auftragsverarbeiter die Verantwortung tragen, müssen Sie auch die Benachrichtigungen Ihrer Auftragsverarbeiter als Datenpanne erkennen und Ihre eigene Meldepflicht prüfen. Auftragsverarbeiter sind gesetzlich dazu verpflichtet, eine Datenpanne unverzüglich der verantwortlichen Person zu melden. Eine Meldung bei der Aufsichtsbehörde ist durch sie nicht vorgesehen. Diese Pflicht trifft allein die verantwortliche Person. Die Hinweise der Auftragsverarbeiter auf einen Datenschutzvorfall, die in der Regel per E-Mail eingehen, sollten daher nicht unbeachtet bleiben. Ab dem Zeitpunkt der Benachrichtigung durch den Auftragsverarbeiter beginnt für die verantwortliche Person die 72-stündige Meldefrist.

Datenschutzvorfall dokumentieren und bewerten

Dokumentation der Datenpanne

Zunächst einmal müssen alle wesentlichen Aspekte der Verletzung des Schutzes personenbezogener Daten eingeholt werden. Dazu gehört insbesondere eine Beschreibung der Art der Verletzung, Angaben zu den Kategorien und der ungefähren Anzahl der betroffenen Personen sowie Angaben zu den Kategorien und der ungefähren Anzahl der betroffenen Datensätze. Daneben fordert die DSGVO weitere Pflichtangaben für eine Meldung, sodass Verantwortliche bereits bei der Sammlung von Informationen zu der Datenpanne das Meldeformular der für sie zuständigen Datenschutzbehörde nutzen sollten (siehe Auflistung weiter unten), um die erforderlichen Informationen zusammenzutragen. Dies spart nicht nur Zeit, sondern sorgt auch dafür, dass das ausgefüllte Formular auch für die eigene Dokumentation der Datenpanne genutzt werden kann, sofern ausnahmsweise keine Meldepflicht bestehen sollte.

Bewertung der Datenpanne

Nicht jede Datenpanne ist meldepflichtig. Bei der Aufsichtsbehörde müssen Vorfälle nicht gemeldet werden, sofern diese voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen.

Eine ausführliche Hilfe für die Risikobewertung haben die deutschen Datenschutzbehörden gemeinsam veröffentlicht. Dieses Papier sollte daher für die Bewertung Ihrer Datenpanne herangezogen werden.

Unterstützung durch den Datenschutzbeauftragten

Bei der Bewertung und Dokumentation einer Datenpanne unterstützt der Datenschutzbeauftragte.

Meldung bei der Datenschutzbehörde

Meldefrist

Die Meldung bei den Datenschutzbehörden hat unverzüglich, spätestens innerhalb von 72 Stunden, zu erfolgen. Die Zeit läuft, sobald die Mitarbeiter:innen von einer Datenschutzverletzung Kenntnis erlangen – gleichgültig, wie viel Zeit verstreicht, bis sie die verantwortliche Person darüber informieren. Wochenenden oder Feiertage verlängern diese Frist nicht. Versendet der Mitarbeiter also beispielsweise am Freitag um 10:32 Uhr den Newsletter in einem offenen Verteiler und erfährt er von diesem Versehen durch eine Beschwerde eines Empfängers um 10:41 Uhr, so endet die Meldefrist am Montag um 10:32 Uhr.

Können nicht alle Informationen zu dem Datenschutzvorfall innerhalb der Frist zusammengetragen werden, sollte die Meldung bei der Behörde dennoch innerhalb der Frist erfolgen. Die fehlenden Informationen sind dann in einer ergänzenden Meldung zeitnah nachzureichen.

Wird die Frist von 72 Stunden überschritten, ist der Behörde gegenüber zu begründen, warum Sie sie nicht einhalten konnten.

Meldung bei der zuständigen Aufsichtsbehörde

Die Meldung der Datenpanne muss bei der Aufsichtsbehörde erfolgen, die für Sie zuständig ist. Dies richtet sich in der Regel nach dem Hauptsitz Ihres Unternehmens. Der Bundesdatenschutzbeauftragte ist nur in bestimmten Fällen die zuständige Behörde (etwa für alle öffentlichen Stellen des Bundes oder Telekommunikations- und Postdienstunternehmen).

Die Aufsichtsbehörden stellen auf ihren Websites Formulare für die Meldung einer Datenpanne zur Verfügung. Je nach Behörde wird dieses Formular direkt online ausgefüllt und abgeschickt oder Sie laden das bereitgestellte Dokument herunter, füllen es aus und verschicken es.

Um die Einhaltung der 72-Stunden-Frist zu gewährleisten, sollten Sie auch die Formulare, die nicht direkt online ausgefüllt und versendet werden können (z.B. Berlin, Schleswig-Holstein, Thüringen), zumindest vorab per Fax oder E-Mail an die Behörde übermitteln. Per Klick auf das jeweilige Bundesland gelangen Sie direkt zum jewiligen Formular der zuständigen Datenschutzbehörde:

Betroffene Personen informieren

Neben der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Behörden sieht die DSGVO auch eine Meldepflicht an die betroffenen Personen vor. Diese Meldepflicht wird häufig übersehen. Sie ist für viele Verantwortliche auch unangenehmer, da diese die eigenen Kunden und Geschäftspartner nicht verunsichern wollen.

Die Benachrichtigung der betroffenen Personen hat unverzüglich zu erfolgen. Sie ist jedoch nur gefordert, wenn die Verletzung des Schutzes der personenbezogenen Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei einem „einfachen“ Risiko muss also nur die Meldung an die Behörde erfolgen; besteht kein Risiko, erfolgt keine Meldung. Für die Bewertung dieses Risikos helfen auch hier das oben verlinkte Dokument der deutschen Aufsichtsbehörden und der Datenschutzbeauftragte.

Gerne unterstützen wir Sie im Umgang mit Datenpannen und bieten Ihnen Hilfe durch unsere Expert:innen aus dem Bereich der IT-Sicherheit, um Datenschutzvorfälle in Zukunft zu verhindern.

Ähnliche Beiträge

Zurück

Dr. Christian Lenz

Rechtsanwalt, Fachanwalt für Steuerrecht

Zum Profil von Dr. Christian Lenz

Kirsten Garling

Rechtsanwältin

Zum Profil von Kirsten Garling

René Manz

IT-Prüfer und Berater

Zum Profil von René Manz

Alexandra Hecht

Rechtsanwältin, Fachanwältin für Arbeitsrecht

Zum Profil von Alexandra Hecht

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
YouTube Video laden
Permalink