Kein Unternehmen ist gänzlich gegen Datenpannen, Hackerangriffe oder andere IT-Sicherheitslücken gefeit. Immer wieder kommt es vor, dass Passwörter in falsche Hände geraten oder Laptops mit wichtigen Informationen verloren gehen oder gar gestohlen werden. 

Wenn ein solcher Fall eintritt, muss das betroffene Unternehmen schnell reagieren.

Welche Verpflichtungen sieht die DSGVO hier vor? Wer muss über die Datenpanne informiert werden? Wie Sie richtig reagieren und worauf Sie achten müssen erfahren Sie in diesem Beitrag.

Bestandsaufnahme: Was ist genau vorgefallen?

Wenn Sie davon Kenntnis erlangen, dass es in Ihrem Unternehmen eine Datenpanne gab, sollten Sie sich als erstes einen Überblick darüber verschaffen, was genau vorgefallen ist und welche Art von Daten von dem Vorfall betroffen sind. 

Denn hiervon hängt das weitere Vorgehen ab: Nicht jeder Vorfall hat gleichermaßen schwerwiegende Konsequenzen für Ihr Unternehmen. Weitere Handlungspflichten bestehen dann, wenn personenbezogene Daten betroffen sind.

Was sind personenbezogene Daten?

Personenbezogene Daten sind sämtliche Informationen, die sich auf eine identifizierte oder auch identifizierbare Person beziehen.

Beispiele für personenbezogene Daten:

• allgemeine Personendaten (Name, Geburtsdatum, Telefonnummer, E-Mailadresse, Anschrift)
• Bankdaten (Kontonummern)
• Kennnummern (Sozialversicherungsnummer, Personalausweisnummer)
• Kundendaten (Kaufhistorie)
• Online-Daten (Standort, IP-Adresse)

Ein nach der DSGVO relevanter Datenschutzverstoß liegt dann vor, wenn personenbezogene Daten vernichtet, verloren oder verändert wurden oder ein Unbefugter sich Zugang zu personenbezogenen Daten verschafft hat.

Beispiele für Datenschutzverstöße:

• Datenträger (z.B. USB-Sticks oder Festplatten) wurden verkauft, ohne dass darauf befindliche Daten richtig gelöscht wurden.
• Aussortierte Akten wurden neben einem Papiercontainer abgestellt.
• Hacker erlangten Kundendaten, indem sie sich Zugang zu einem Server verschafften.
• Wichtige Daten wurden versehentlich per E-Mail verschickt.

Meldung bei der Datenschutzbehörde

Sind personenbezogene Daten betroffen, könnte zunächst eine Meldepflicht bei der zuständigen Datenschutzbehörde bestehen.

Wann ist eine Meldung bei der Datenschutzbehörde erforderlich?

Eine Meldung bei der Datenschutzbehörde ist grundsätzlich bei jeder Verletzung des Schutzes personenbezogener Daten notwendig.

Nur dann, wenn durch die Datenpanne voraussichtlich kein oder nur ein geringes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, entfällt die Meldepflicht. 

Es ist daher zu ermitteln, wie hoch das Risiko ist. Bei der Ermittlung des Risikos ist nicht nur die Art der betroffenen Daten entscheidend, sondern auch ihr Umfang. Als Faustregel lässt sich hier sagen: Je mehr Daten und je mehr Personen von der Datenpanne betroffen sind, desto eher wird auch eine Meldung bei der Datenschutzbehörde erforderlich sein.

Wann nur ein geringes, nicht meldepflichtiges Risiko gegeben ist, ist für Laien im Einzelfall kaum einzuschätzen. Es empfiehlt sich daher dringend, einen Experten zu beauftragen, eine entsprechende Risikoeinschätzung vorzunehmen und eine Handlungsempfehlung auszusprechen.

Wie lange ist Zeit für die Abgabe der Meldung?

Die Meldung bei der Datenschutzbehörde muss “unverzüglich” und möglichst innerhalb von 72 Stunden, nachdem die Verletzung bekannt wurde, erfolgen. 

Sollte diese Frist von 72 Stunden nicht eingehalten werden können, ist in Ausnahmefällen auch eine verzögerte Meldung möglich. Diese muss dann aber entsprechend begründet werden.

Welche Informationen muss die Meldung an die Datenschutzbehörde beinhalten?

Die Meldung sollte folgende Angaben beinhalten:

• Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
• Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
• Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
• Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten 
• Sofern möglich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen 

Wenn nicht sofort und innerhalb des genannten Zeitrahmens alle Informationen verfügbar sind, können diese auch nachgereicht werden.

Wo muss die Meldung abgegeben werden?

Die Meldung muss bei der zuständigen Behörde abgegeben werden. In vielen Fällen stellt diese auch ein Online Formular für die Meldung einer Datenschutzverletzung bereit, z.B.

• Online Formular des Bayerischen Landesamts für Datenschutzaufsicht
• Online Formular des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg

Benachrichtigung der Betroffenen

In manchen Fällen reicht die Meldung bei der Datenschutzbehörde nicht aus, sondern es ist darüber hinaus auch eine Benachrichtigung derjenigen Personen, deren personenbezogene Daten von der Datenpanne betroffen sind, erforderlich.

Wann sind Betroffene zu benachrichtigen?

Eine Informationspflicht gegenüber den Betroffenen besteht allerdings nur dann, wenn das Risiko der Gefährdung der Rechte und Freiheiten besonders hoch ist. Das ist in der Regel dann der Fall, wenn mit erheblichen Konsequenzen oder schwerwiegenden Beeinträchtigungen zu rechnen ist. 

Sollten Sie sich bei der Abgrenzung von hohem zu mittlerem Risiko unsicher sein, empfiehlt es sich auch hier einen Experten zu befragen.

Eine Benachrichtigung von Betroffenen sollte vor allem auch dann erfolgen, wenn es eine Möglichkeit für diese gibt, ihr Schadensrisiko zu verringern (beispielsweise durch Änderung ihrer Zugangsdaten bei einem gehackten Account).

Eine Benachrichtigung muss hingegen nicht erfolgen,

• wenn geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, z.B. eine Verschlüsselung
• wenn durch nachfolgende Maßnahmen das Risiko gänzlich ausgeschlossen werden konnte
• Ausnahme: Wenn eine Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre, hat anstelle einer persönlichen Benachrichtigung eine öffentliche Bekanntmachung zu erfolgen, durch die die betroffenen Personen gleichermaßen wirksam informiert werden können.

Wie schnell muss die Benachrichtigung der Betroffenen erfolgen?

Eine Benachrichtigung der Betroffenen muss “unverzüglich”, also ohne schuldhaftes Zögern erfolgen. Sobald Sie von der Datenpanne Kenntnis erlangen, sollten Sie tätig werden.

Welche Informationen sollte die Benachrichtigung der Betroffenen beinhalten?

Für die Benachrichtigung der Betroffenen gibt es keine rechtlichen Vorgaben. Es empfiehlt sich allerdings, folgende Angaben zu machen:

• Zusammenfassung des Vorfalls
• Art der Verletzung und seine vermuteten Folgen
• Ergriffene und empfohlene Gegenmaßnahmen 
• Name und Kontaktinformationen des Datenschutzbeauftragten

Welche Konsequenzen hat eine Nichtmeldung?

Ob und welche Konsequenzen es hat, wenn eine Datenpanne nicht (rechtzeitig) gemeldet wird, liegt im Ermessen der jeweiligen Datenschutzbehörde. Je nach Einzelfall und Schwere des Verstoßes können diese Verwarnungen oder Geldbußen aussprechen.

Die Geldbußen können dabei bis zu 10 Millionen Euro oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatz des vorangegangenen Geschäftsjahres betragen. 

Fazit zu Datenpannen im Unternehmen:

Um die Schäden bei den von der Datenpanne Betroffenen möglichst gering zu halten, existieren Meldepflichten, die davon abhängig sind, wie hoch das Risiko für die Rechte und Freiheiten der betroffenen Personen ist.

Aufgrund der recht kurzen Zeitvorgaben, innerhalb derer die Meldungen zu erfolgen haben, empfiehlt es sich, bereits im Vornherein einen klaren Notfallplan für Datenpannen herauszuarbeiten, damit im Falle des Falles schnell reagiert werden kann und Sanktionen vermieden werden können.

Wir nehmen die erforderliche Risikoermittlung für Sie vor und unterstützen Sie bei der Einreichung entsprechender Meldungen. Kontaktieren Sie uns hierfür über unser Kontaktformular.