Worum geht's?
Hackerangriff, versehentliche Veröffentlichung von personenbezogenen Daten und Diebstahl von Laptops auf der Arbeit - Sicherheitsverstöße sind nicht selten und der Albtraum eines jeden Datenschutzbeauftragten. Wenn Sie betroffen sind, sollten Sie schnell handeln. Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, Datenpannen umgehend zu melden. Doch wann besteht eine Meldepflicht? Wer ist alles zu benachrichtigen? Wie ist diese Meldung auszugestalten? In unserem Artikel erfahren Sie mehr dazu.
1. Was ist eine Datenpanne nach der DSGVO?
Bei einer Verletzung des Schutzes personenbezogener Daten, handelt es sich um eine Datenschutzverletzung – auch Datenschutzverstoß oder Datenpanne genannt. Sie sind allerdings nicht bei jedem Datenleck dazu verpflichtet, die zuständigen Aufsichtsbehörden über einen Verstoß zu unterrichten. Eine Meldepflicht für den Datenschutzverstoß besteht nur, wenn die Datenpanne mit Risiken für den Betroffenen verbunden ist.
Es gibt zwei verschiedene Arten von Datenschutzverstößen:
- personenbezogene Daten wurden verändert, vernichtet oder sind verloren gegangen
- personenbezogene Daten wurden unbefugt offengelegt oder es bestand Zugang zu ihnen
In diesen Fällen handelt es sich um einen Datenschutzverstoß, den Sie melden müssen. Folgende Beispiele zählen zu einem Datenschutzverstoß:
- Sie verlieren einen Laptop oder ein Mobiltelefon mit personenbezogenen Daten.
- Hacker greifen die Datenbank an und stehlen personenbezogene Daten.
- Unbekannte brechen ein und stehlen Dokumente oder ziehen Daten auf einen USB-Stick.
Als Datenverarbeiter unterliegen Sie einer Dokumentationspflicht. Dokumentieren Sie den Vorfall und bewerten Sie in einem nachgelagerten Verfahren, ob Sie die Datenpannen melden müssen oder nicht.
2. Wann muss man einen Datenschutzverstoß melden?
Sie haben einen Laptop entsorgt, löschten die Daten aber nicht von der Festplatte? Bei verschlüsselten Daten ist es unwahrscheinlich, dass etwas passiert. In einer solchen Situation löst Ihr Verhalten vermutlich keine Meldepflicht nach der DSGVO aus. Denken Sie daran, dass Sie bei einer meldepflichtigen Datenpanne sowohl die Behörde als auch die Betroffenen informieren müssen. Bei einer Datenpanne ist die Meldepflicht dann aber an verschiedene Voraussetzungen geknüpft.
Aufsichtsbehörde: Die Meldepflicht besteht schon bei einem „normalen Risiko“.
Betroffene: Betroffene sind erst dann zu benachrichtigen, wenn die Schutzverletzung ein „gesteigertes Risiko“ für ihre Rechte und Freiheiten auslöst.
Nehmen Sie für eine Datenpanne nach der DSGVO das Beispiel mit der Festplatte. Entsorgen Sie eine funktionierende Festplatte, ist es möglich, dass sie jemand aus dem Müllbehälter nimmt. Dabei kann es sich um Betriebsspionage handeln. Bei einer verschlüsselten Festplatte sind die Daten aber nur unter einem erheblichen Aufwand oder gar nicht entschlüsselbar.
Das Risiko, dass Spione die Sicherheitslücke ausnutzen, ist also sehr gering. Sie sind in einer solchen Situation eventuell dazu verpflichtet, den Vorfall der Aufsichtsbehörde zu melden. Da das Risiko aber nicht „gesteigert“ ist, entfällt die Meldepflicht gegenüber den Betroffenen – also gegenüber denjenigen Personen oder Unternehmen, deren personenbezogene Daten auf der Festplatte gespeichert sind.
In den folgenden Situationen besteht nach Art. 34 III DSGVO (§ 42a BDSG alte Fassung) keine Meldepflicht:
- Sie trafen technische und organisatorische Sicherheitsvorkehrungen (z.B. Verschlüsselung).
- Sie stellen durch nachgelagerte Maßnahmen sicher, dass höchstwahrscheinlich kein Risiko mehr besteht.
- Die Meldung betrifft einen großen Personenkreis, der nur schwer zu ermitteln ist. Dann müssen Sie jedoch auf andere Maßnahmen ausweichen, beispielsweise auf eine öffentliche Bekanntmachung.
Ob eine Meldepflicht besteht oder nicht, hängt also immer von den konkreten Umständen der jeweiligen Situation ab.
3. Datenschutzverstöße melden: Welche Frist gilt?
Im Falle eines Datenschutzverstoßes muss die zuständige Datenschutzbehörde unverzüglich und möglichst innerhalb von 72 Stunden informiert werden. Den betroffenen Personen muss der Vorfall ebenfalls unverzüglich gemeldet werden - ohne schuldhaftes Zögern. Es gibt seltene Ausnahmen von dieser Meldepflicht, die jedoch streng reguliert sind. „Unverzüglich“ bedeutet, dass Sie die Meldung so schnell wie nur möglich durchführen – jedenfalls ohne schuldhaft zu zögern.
PRAXIS-TIPP
Faustregel: Je risikobehafteter die Datenschutzverletzung ist, desto schneller sollten Sie den Datenschutzverstoß melden.
In dem Beispiel mit der Festplatte reicht eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden aus. Das Datenleck ist den Betroffenen nicht zu melden, da es unwahrscheinlich ist, dass jemand die Daten entschlüsselt. Sollten Sie dennoch einer Meldepflicht unterliegen, können Sie sich ausreichend Zeit lassen. Denn es ist unwahrscheinlich, dass ein Spion die Festplatte aus dem Müll heraussucht. Sollte dies dennoch geschehen, müsste er zunächst die Verschlüsselung umgehen, was viel Zeit beansprucht.
Ob eine Datenschutzpanne zu melden ist, hängt davon ab, ob ein Risiko für die Rechte und Freiheiten der betroffenen Person vorliegt und wie dieses zu bewerten ist. Deshalb sollten Sie Datenschutzverstöße immer dokumentieren. In einem anschließenden Meeting ist dann zu klären, ob tatsächlich ein Risiko vorliegt und ob das Datenleck nur der Aufsichtsbehörde oder auch den Betroffenen zu melden ist.
4. Datenpanne melden: Was müssen Sie in einer Meldung angeben?
Was müssen Sie tun, wenn Sie einen DSGVO-Verstoß melden wollen? Zunächst sollten Sie eine Meldung erstellen. Der Umfang dieser Meldung hängt davon ab, ob sie nur an die Aufsichtsbehörde oder auch an einen Betroffenen erfolgt.
a) Meldung gegenüber der Aufsichtsbehörde gemäß Art. 33 DSGVO
Die Meldung gegenüber der Aufsichtsbehörde richtet sich nach Art. 33 DSGVO. Meldungen müssen die folgenden Punkte enthalten:
- Welche Art von Verletzung liegt vor? (Datenverlust, Diebstahl usw.)
- In welche Kategorie fallen die Betroffenen? (Kunden, Mitarbeiter)
- Wie viele Betroffene gibt es?
- Welche Kategorien von Datensätzen sind betroffen?
- Name und Anschrift des Datenschutzbeauftragten.
- Welche Folgen zieht die Schutzverletzung nach sich? (z.B. finanzielle Nachteile)
- Welche Schutzmaßnahmen haben Sie ergriffen oder möchten Sie ergreifen?
- Welche Gegenmaßnahmen sind noch denkbar?
Das Gesetz schreibt nicht vor, dass Sie die Meldung per Fax oder Brief einreichen müssen. Wir empfehlen Ihnen dies aber schon aus Beweisgründen. Sie sollten die zuständige Aufsichtsbehörde zuvor telefonisch kontaktieren. Einige Aufsichtsbehörden ermöglichen sogar, dass Sie den Datenschutzverstoß online melden können.
AUFGEPASST
Denken Sie daran, dass Sie der Datenschutzbehörde den Verstoß innerhalb von 72 Stunden melden müssen. Wenn Sie den telefonischen Anruf nicht durchführen, riskieren Sie ein Bußgeld.
Für Ihr Unternehmen ist die Aufsichtsbehörde des Bundeslandes zuständig, in dem Ihr Unternehmen seinen Sitz hat. Es kommt ausschließlich darauf an, wo der Sitz des Unternehmens ist; wo sich die handelnde Zweigstelle, Filiale oder Geschäftsstelle befindet, ist irrelevant.
b) Meldung gegenüber den Betroffenen gemäß Art. 34 DSGVO
Sie möchten den betroffenen Personen oder dem betroffenen Unternehmen den Datenschutzverstoß melden? Diese Meldung ist speziell zu gestalten. Sie müssen den Betroffenen keine umfassenden Informationen über die Datenschutzverletzung bereitstellen. Die folgenden Informationen müssen Sie den Betroffenen aber auf jeden Fall übermitteln:
- Name und Anschrift des Datenschutzbeauftragten
- Art der Schutzverletzung
- wahrscheinliche Folgen der Datenschutzverletzung
- ergriffene und empfehlenswerte Gegenmaßnahmen
Achten Sie darauf, die Meldung in einer klaren und verständlichen Sprache zu verfassen. Sie dürfen den Empfänger keinesfalls in einem verklausulierten „Juristendeutsch“ ansprechen. Die Meldung ist so auszugestalten, dass ihr Inhalt mit einem beiläufigen Blick erkennbar ist. Sie darf keine sachfremden Bezüge und werbenden Maßnahmen enthalten. Letztlich müssen Sie zwei Formulare anfertigen – eines für die Aufsichtsbehörde und eines für die Betroffenen.
KANZLEI SIEBERT LEXOW
Sie sind von einer Datenpanne betroffen? Unsere Kanzlei Siebert Lexow kümmert sich gern um Ihr Anliegen und arbeitet mit Ihnen gemeinsam Maßnahmen heraus, um dies in Zukunft zu verhindern.
5. Was passiert, wenn ich bei einem Datenschutzvorfall der Meldepflicht nicht nachkomme?
Die Datenschutzbehörden sind häufig recht kulant. Sie haben ein Ermessen, dürfen also unter mehreren Optionen wie einer Verwarnung und einer Geldbuße auswählen. Welche Option sie auswählen, hängt immer von der individuellen Situation und dem Verhalten der Gegenseite ab.
Die DSGVO stellt die Nichterfüllung von Meldepflichten unter Strafe, Art. 83 IVa DSGVO. Es sind Bußgelder in Höhe von bis zu zehn Millionen Euro möglich, oder bis zu zwei Prozent des weltweiten Umsatzes des vorherigen Geschäftsjahrs.
LESE-EMPFEHLUNG
Welche Bußgelder in der Vergangenheit von Datenschutzbehörden verhängt wurden, lesen Sie in unserem Artikel „Achtung: Hohe DSGVO-Bußgelder verhängt“.
6. Datenpanne beim Auftragsverarbeiter: Das gilt
Es liegt eine Datenpanne bei einem Auftragsverarbeiter vor? Auftragsverarbeiter unterliegen keiner Meldepflicht. Sie sind aber dazu verpflichtet, denjenigen zu unterstützen, der meldepflichtig ist. Die DSGVO schreibt dem Auftragsverarbeiter nicht genau vor, was er zu machen hat.
Nehmen Sie deshalb schon beim Vertrag zur Auftragsverarbeitung entsprechende Regelungen auf. Diese können sich auf die folgenden Themen beziehen: Umfang der Unterstützungspflicht, bereitzustellende Informationen und damit verbundene Fristen.
Beachten Sie, dass Sie einer Dokumentationspflicht unterliegen. Wir empfehlen Ihnen, unabhängig von einer etwaigen Meldepflicht, eine „Historie der Datenpanne“ zu erstellen.
7. Checkliste: Datenschutzverstöße melden
- Erstellen Sie einen Ablaufplan.
- Erstellen Sie einen Tätigkeitsbericht für die interne Aufbereitung.
- Beurteilen Sie, ob Sie einer Meldepflicht unterliegen.
- Kontaktieren Sie die zuständige Datenschutzbehörde vorab telefonisch.
- Lassen Sie sich bei der Erstellung einer Meldung bei Datenpannen von Datenschutzexperten wie der Kanzlei Siebert Lexow beraten.
- Schulen Sie Ihre Mitarbeiter im Umgang mit einem Datenverlust.
8. FAQ zu Datenschutz & Verstoß melden