Umgang mit Datenpannen – Meldepflicht binnen 72 Stunden

Umgang mit Datenpannen

Leider kommt es immer wieder vor, dass Datenpannen entstehen, wobei es die unterschiedlichsten Szenarien gibt, die dazu führen können. Ein möglicher Hacker-Angriff oder ein Bug im Webserver, wodurch Daten für Dritte zugänglich werden, oder der Verlust eines Datenträgers, auf dem sich personenbezogene Daten befinden, sind nur einige Beispiele hierfür. Auch könnte der unberechtigte Zutritt zu den geschäftlichen Räumlichkeiten, in denen sich personenbezogene Daten befinden, zu einer Datenpanne führen. Mit der Datenschutz-Grundverordnung (DS-GVO) haben Sie einige Änderungen für den Verantwortlichen, sofern es zu einer Datenpanne kommt, ergeben.

Ihr externer Datenschutzbeauftragter informiert Sie zu den Neuerungen in Bezug auf Datenpannen und erklärt, welche Maßnahmen Sie bei einer Datenpanne ergreifen sollten.

Datenpannen nach der DS-GVO

Gemäß Art. 4 Nr. 12 DS-GVO ist eine Datenpanne, wobei von der „Verletzung des Schutzes personenbezogener Daten“ gesprochen wird, „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

An wen ist wann zu melden?

Datenpanne 72 StundenKommt es zu einer Datenpanne ist der Vorfall nach Art. 33 DS-GVO der zuständigen Aufsichtsbehörde zu melden, außer die Datenpanne führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen. Sofern jedoch eine Meldung erfolgen muss, da kein Risiko ausgeschlossen werden kann, sind für den Verantwortlichen einige Kriterien zu beachten.

Es sollte bersücksichtigt werden, dass die Benachrichtigung der Aufsichtsbehörde binnen 72 Stunden erfolgen muss. Eine länger zurückliegende Meldung muss explizit begründet werden. Es sollte zudem – unverzüglich nach Feststellen der Panne – der Datenschutzbeauftragte informiert werden, um für das weitere Vorgehen schnellstmöglich Hilfestellung leisten zu können. Zusätzlich zur Meldung an die Aufsichtsbehörde ist nach Art. 33 Abs. 5 DS-GVO die Panne vom Verantwortlichen zu dokumentieren, sodass die Aufsichtsbehörde, im Falle einer Auskunft, über die eingesetzten Maßnahmen zur Behebung der Panne informiert werden kann.

Sofern eine Datenpanne seitens eines Auftragsverarbeiters auftritt, sollte dieser den Verantwortlichen gleichermaßen informieren. In der DS-GVO gibt es hierzu jedoch keine konkrete Regelung. Aus diesem Grund sollte dies explizit im Vertrag zur Auftragsverarbeitung geregelt werden, da auch hier eine Frist von 72 Stunden für den Verantwortlichen gilt.

Ist aufgrund der Datenpanne zusätzlich von einem hohen Risiko für Betroffene auszugehen, so sind diese gemäß Art. 34 DS-GVO ebenfalls über die Datenpanne zu informieren.

Für die jeweilige Meldung hat sich der Verantwortliche an klare inhaltliche Vorgaben zu halten.

Meldung an die Aufsichtsbehörde

Führt die Datenpanne zu einem Risiko für Betroffene muss der Verantwortliche die für ihn zuständige Aufsichtsbehörde innerhalb von 72 Stunden über den Vorfall informieren. Ein kurzer Hinweis in diesem Zusammenhang: Sollten Informationen nicht vollständig zum Zeitpunkts des Bekanntwerdens zur Verfügung stehen und sich damit eine unverzügliche Meldung an die Aufsichtsbehörde unweigerlich verzögern, ist dem Verantwortlichen zu raten, auch eine unvollständige Meldung an die Aufsichtsbehörde schnellstmöglich vorzunehmen. Nach Art. 33 Abs. 4 DS-GVO können die fehlenden Informationen schrittweise, aber ohne unangemessene weitere Verzögerung, nachgereicht werden.

Die Meldung sollte eine Beschreibung über die Art der Verletzung und die betroffenen Kategorien von Personen und personenbezogenen Daten beinhalten. Zusätzlich sollte die ungefähre Anzahl der betroffenen Personen sowie die Kontaktdaten des Datenschutzbeauftragten darin enthalten sein, um auch eventuelle Nachfragen zum Vorfall gewährleisten zu können. Zudem muss eine Beschreibung der möglichen Folgen der Schutzverletzung sowie auch vorgenommene Maßnahmen zur Behebung der Verletzung in der Meldung aufgeführt sein.

Meldung an betroffene Personen

Im Falle eines hohen Risikos für die Rechte und Freiheiten von natürlichen Personen müssen zusätzlich Benachrichtigungen an die Betroffenen selbst erfolgen.

Dies muss jedoch nicht im gleichen Umfang, wie an die Aufsichtsbehörde, geschehen. Betroffene Personen müssen nicht über die Art der Verletzung in Kenntnis gesetzt werden. In der Meldung sollten jedoch zumindest die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle enthalten sein. Zusätzlich sollte über wahrscheinliche Folgen sowie die ergriffenen Maßnahmen gegen die Verletzung informiert werden.

Aber auch hier gibt es nach Art. 34 Abs. 3 DS-GVO Ausnahmen, die eine Benachrichtigung der Betroffenen nicht notwendig machen. Die Ausnahme tritt dann ein, wenn der Verantwortliche schon im Vorfeld  technische und organisatorische Maßnahmen ergriffen hat, welche den Zugang zu den personenbezogenen Daten ausschließen oder technische und organisatorische Maßnahmen im Nachgang ergriffen wurden, die das hohe Risiko für die Rechte und Freiheiten von den natürlichen Personen beseitigen. Eine weitere „Ausnahme“ stellt die Meldung dar, wenn diese mit einem unverhältnismäßigen Aufwand verbunden ist, da beispielsweise die Anzahl der Betroffenen nicht klar abgeschätzt werden kann. In diesem Fall entfällt die Meldung allerdings nicht. Es ist eine öffentliche Bekanntmachung durchzuführen. Mit dieser muss sichergestellt werden, dass auch alle betroffene Personen Kenntnis über die Datenpanne erhalten. Die Form ist nicht vorgeschrieben. Diese könnte sowohl über das Internet als auch über öffentliche Medien erfolgen.

Diese Ausnahmen verlieren jedoch ihre Wirkung, sollte die Aufsichtsbehörde nach einer Risikoabschätzung zu dem Entschluss kommen, dass weiterhin ein hohes Risiko für die Rechte und Freiheiten der Betroffenen vorhanden ist. Daraufhin müsste der Verantwortliche – auf Verlangen der Aufsichtsbehörde -eine Meldung an die Betroffenen tätigen.

Fazit

Hinsichtlich einer Datenpanne lässt sich abschließend sagen, dass die Meldung und Dokumentation der Datenpanne streng nach den gesetzlichen Vorschriften und fristgerecht erfolgen sollte. Darüber hinaus sollten Verantwortliche ihr Augenmerk vor allem auf die technischen und organisatorischen Maßnahmen richten und ihre Mitarbeiter sensibleren.

Haben Sie noch keinen externen Datenschutzbeauftragten oder haben Sie Fragen zu dieser Thematik, dann nehmen Sie gerne Kontakt zu uns auf oder holen Sie sich ein auf Ihre Bedürfnisse abgestimmtes, unverbindliches und kostenloses Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:       

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen