Datenschutzpannen melden

Gehackt, beklaut oder verloren ... Es kann (fast) jeden treffen! Die DS-GVO regelt, wie mit Datenschutzpannen umzugehen ist. Hierbei werden insbesondere Meldungen über die Datenschutzpannen umschrieben. Diese ergeben sich aus Art. 33 DS-GVO (Aufsichtsbehörde) und Art. 34 DS-GVO (Betroffener).

Meldepflicht ggü. Aufsichtsbehörden (Art. 33 DS-GVO)

Der Grundsatz lautet: Eine Meldung gegenüber der Aufsichtsbehörde hat immer zu erfolgen, es sei denn, dass die Datenpanne voraussichtlich nicht zu einem Risiko führt. Das bedeutet für den Verantwortlichen, dass grundsätzlich jede Verletzung des Schutzes personenbezogener Daten zu melden ist. Eine „Verletzung“ liegt demnach vor, wenn ein Sicherheitsdefizit zur Vernichtung, zum Verlust, zur Veränderung von personenbezogenen Daten führt.

Die Ausnahme, wonach eine Meldung nicht zu erfolgen hat, ist zu bejahen, sofern „die Datenpanne voraussichtlich nicht zu einem Risiko führt“. Dies ist sehr schwammig formuliert. Eine gefestigte Rechtsprechung gibt es hierzu noch nicht. Mehrere Aufsichtsbehörden regen jedoch an, eine enge Auslegung der Ausnahme vorzunehmen. Es solle der Aufsichtsbehörde vorbehalten sein zu beurteilen, ob eine Meldung erforderlich ist/war oder nicht.

Auch wir können Ihnen nur empfehlen, nur in absoluten Einzelfällen von der Ausnahmeregelung Gebrauch zu machen. Hintergrund ist nämlich der, dass ein Verstoß bußgeldbewehrt ist (vgl. Art. 83 Abs. 4a DS-GVO).

Die Meldung muss binnen 72 Stunden erfolgen. Wochenenden und Feiertage zählen hierbei mit!

Sollte die Datenschutzpanne Sie als Auftragsverarbeiter treffen, so müssen sie sich unverzüglich an den Verantwortlichen wenden.
Meldepflicht ggü. Betroffenen (Art. 343 DS-GVO)

Eine Meldepflicht gegenüber der betroffenen Person besteht hingegen nur, wenn „die Datenschutzverletzung zu einem hohen Risiko für die Rechte und Freiheiten der/des Betroffenen führt“! Der Wortlaut setzt klar ein hohes Risiko für immense Schutzgüter voraus. Fehlt es an einer der Voraussetzung, ist keine Mitteilung erforderlich.
Zudem ist eine Information der betroffenen Person entbehrlich, wenn geeignete technische und organisatorische Maßnahmen (TOMs) vorhanden sind, die den unbefugten Zugang auf die personenbezogenen Daten praktisch nicht ermöglichen. Als Beispiel kann hier die Verschlüsselung genannt werden.

Darüber hinaus ist eine Benachrichtigung der betroffenen Person entbehrlich, wenn wirksame Maßnahmen zur Schadensbegrenzung ergriffen wurden und diese das hohe Risiko, dass zum Zeitpunkt der Datenpanne bestand, eliminiert haben.
Aus juristischer Sicht möchten wir Sie noch auf Folgendes hinweisen: Bestehen vertragliche Beziehungen zwischen Ihnen und der betroffenen Person, so könnten sie gleichwohl gesetzlich zur Benachrichtigung verpflichtet sein. Es gehört nämlich zu den vertraglichen Nebenpflichten zur Information des Vertragspartners, den anderen Partner über eine Datenschutzverletzung zu informieren (vgl. § 241 Abs. 2 BGB).

Selbst wenn keine Mitteilungspflicht bestehen sollte, gleich ob aus datenschutzrechtlichen oder allgemeinrechtlichen Gründen, sind in jedem Falle die Datenschutz Panne und der Abwägungsvorgang, ob ein hohes Risiko für die betroffene Person besteht, zu dokumentieren! Denn es besteht eine Dokumentationspflicht bei Datenpannen. Diese ist in Art. 33 Abs. 5 und in Art. 34 Abs. 2 geregelt. Sie besagt im Wesentlichen, dass - selbst wenn nicht gemeldet werden muss - gleichwohl eine umfassende Dokumentationspflicht besteht.

Es wurden folgende Fragen dokumentiert beantwortet:

Wer entscheidet, ob ein Verstoß vorliegt, der zu dokumentieren ist?

  • Der DSB gemeinsam mit dem Verantwortlichen

Wer ist zuständig für die Führung der Dokumentation?

  • Der DSB

Wer überwacht die Richtigkeit der Berichte?

  • Der DSB

Wichtige FAQ’s für Verantwortliche

Wie wird eine Datenpanne gemeldet?

Auf den Seiten der Landes-Aufsichtsbehörden wird Verantwortlichen die Möglichkeit gegeben, die Meldung einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 DS-GVO, umgangssprachlich „Datenpanne“ genannt, online vorzunehmen.

Die Meldung muss vom Verantwortlichen gemacht, es empfiehlt sich aber immer vorher Ihren Datenschutzbeauftragten zu kontaktieren.

Beispielhaft sind nachfolgend die Fragen aufgelistet, welche in der Regel bei Meldung einer Datenpanne zu beantworten sind:

Wo ist die Datenpanne passiert?

Name der betroffenen Stelle (z.B. Unternehmen, Verein, Praxis) 
Name des Verantwortlichen
Straße und Hausnummer
PLZ und Ort

Name der meldenden Person
Funktion der meldenden Person beim Verantwortlichen E-Mail-Adresse der meldenden Person
Telefon-Nr. der meldenden Person

Was ist passiert?

An dieser Stelle genügt eine kurze Zusammenfassung des Vorfalls. Mögliche 'Datenpannen' sind z.B.:Fehlversendung/Sendung an falschen Adressaten, Unberechtigte Weitergabe/unberechtigter Zugriff Dritter, Datenverlust durch verloren gegangenes Medium, Datenverlust durch Hacking, Datenverlust durch Ausspähen (z. B. Skimming) , Datenverlust durch Diebstahl, Datenverlust durch sonstige Umstände (bitte erläutern).

Beschreibung der Datenpanne

  • Zeitpunkt des Vorfalls
  • Zeitpunkt der Kenntnisnahme des Vorfalls

Welche Datenarten sind betroffen?

  • Nennung der Datenkategorien wie z.B. Beschäftigtendaten, Kundendaten, Bankverbindungsdaten, Gesundheitsdaten etc.

Die Daten wie vieler Personen sind betroffen?

  • Falls die Zahl der Betroffenen nicht genau ermittelt werden kann oder konnte, geben Sie bitte eine geschätzte Obergrenze an.

Risikoeinschätzung

Welche Folgen der Verletzung des Schutzes personenbezogener Daten halten Sie für wahrscheinlich? Die wahrscheinlichen oder bereits eingetretenen nachteiligen Folgen für die Betroffenen (z.B. unberechtigte Kontoabbuchungen, Identitätsdiebstahl, Ruf-/Imageschädigung, Existzenzgefährdung, Lebensgefährdung, Bloßstellung, Identitätsdiebstahl, Geheimnisoffenbarung) sind aufzuführen.
● Welche Gegenmaßnahmen wurden vom Verantwortlichen ergriffen oder werden vorgeschlagen?
● Welche Gegenmaßnahmen haben Sie bereits eingeleitet, welche weiteren Gegenmaßnahmen sind geplant?
● Besteht nach Ihrer Einschätzung für Sie die Pflicht, die Betroffenen zu benachrichtigen (Art. 34 DS-GVO)?

Falls nein: Bitte begründen Sie Ihre Entscheidung.

Geben Sie bitte hier an:  Wann wurden oder werden die Betroffenen über den Vorfall informiert? Auf welche Weise wurden oder werden die Betroffenen informiert? Welche konkreten Gegenmaßnahmen haben Sie den Betroffenen empfohlen?

Falls ja: Wie und wann wurden (werden) die Betroffenen benachrichtigt und welche Gegenmaßnahmen haben Sie ihnen empfohlen?

Sonstige Mitteilungen

Wurde Strafanzeige erstattet? Falls ja, teilen Sie uns bitte die betreffende Dienststelle und das Aktenzeichen mit.
Sonstige Mitteilung an die Datenschutzaufsichtsbehörde.

Zur einer Übersicht der Aufsichtsbehörden der Länder für den Datenschutz geht es hier.

Stay in the loop

Verpasse keine Einladung zu Events und weiteren Aktivitäten in der Community.