Mit Inkrafttreten der EU-Datenschutz-Grundverordnung muss ein Unternehmen alle Datenpannen dokumentieren (Art. 33 Abs. 5 EU-DSGVO). Kommt es zu einer Datenpanne, bei der ein Risiko für die Rechte und Freiheiten betroffener Personen besteht, muss diese innerhalb von 72 Stunden – nach Bekanntwerden der Datenpanne – an die zuständige Datenschutzaufsichtsbehörde gemeldet werden. Betroffene Personen müssen hingegen nur informiert werden, wenn voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht.
Was ist eine Datenpanne?
In Art. 4 Nr. 12 EU-DSGVO wird eine Datenpanne wie folgt definiert:
„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
Beispiele einer Datenpanne:
- Vernichtung von Daten, z.B. Daten wurden gelöscht/zerstört, können nicht wiederhergestellt werden
- Verlieren von Daten, z.B. gestohlenes Laptop, verschlüsselte Daten durch Ransomware
- Unbefugtes Offenlegen von Daten, z.B. unbeabsichtigte Veröffentlichung im Internet, unbeabsichtigter Zugriff von außen auf eine interne Datenbank, Fehlversendungen per Post oder eMail
- Unbefugter Zugriff auf Daten, z.B. Zugriff durch Hacker, Zugriff durch nicht befugte Mitarbeiter
Was ist nach einer Datenpanne zu tun?
Die EU-DSGVO gibt zwei Handlungsmaßnahmen vor:
- Meldung an die zuständige Datenschutzbehörde (diese Meldepflicht ist unabhängig davon, ob bereits ein Schaden eingetreten ist).
- Benachrichtigung der von der Datenpanne betroffenen Personen (allerdings nur, sofern ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht).
Bei einer Datenpanne muss also zunächst eine Risikoeinschätzung erfolgen hinsichtlich einer möglichen Verletzung von Grundrechten und Grundfreiheiten.
Meldung an die Aufsichtsbehörde:
Ein Unternehmen ist dazu verpflichtet, eine Datenpanne unverzüglich (innerhalb von 72 Stunden nach Bekanntwerden der Datenpanne) der zuständigen Aufsichtsbehörde zu melden. Sofern die Datenverarbeitung innerhalb Deutschlands erfolgt, sind die Landesdatenschutzbehörden zuständig (Übersicht nach Bundesländern sowie Übersicht der europäischen Datenschutzbeauftragten).
Die Meldung an die Aufsichtsbehörde sollte im Wesentlichen folgende Punkte beinhalten:
- Art der Datenpanne und der vermuteten Folgen
- Angabe der Kategorien
- Ungefähre Anzahl der betroffenen Personen
- Erfolgte/geplante Maßnahmen zur Behebung der Datenpanne
- Name und Kontaktdaten des Datenschutzbeauftragten
Meldung an betroffene Personen:
Sofern ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen besteht, müssen die betroffenen Personen in klarer und verständlicher Sprache benachrichtigt werden. Allerdings müssen sie nicht über die Art der Datenpanne informiert werden.
Die Meldung an die betroffenen Personen sollte im Wesentlichen folgende Punkte beinhalten:
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
- Beschreibung der vermutlichen Folgen
- Erfolgte/geplante Maßnahmen zur Behebung der Datenpanne
Was passiert bei Nichtbeachtung der Dokumentations- und/oder Meldepflicht?
Sollten die Pflichten zur Dokumentation und/oder der Meldung einer Datenpanne nicht wahrgenommen werden, stellt dies einen Verstoß dar und kann mit einem Bußgeld von bis zu 10.000.000 Euro oder 2% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem welche Zahl höher ist) geahndet werden.
Damit Sie kein Risiko eingehen, beraten und unterstützen wir Sie gerne bei allen Fragen rund um den Datenschutz.
Telefon: +49 9431 71 73 130