Notfallplan bei Datenschutzpannen

Der Schutz personenbezogener Daten kann durch Unternehmen noch so gut umgesetzt sein, ganz ausschließen lassen sie sich nicht: Datenschutzpannen. Wenn der Verlust von Daten oder ein unbefugter Zugriff auf Daten festgestellt wird, ist schnelles Handeln gefragt. Denn in vielen Fällen muss die zuständige Datenschutzaufsichtsbehörde binnen 72 Stunden über den Vorfall informiert werden. Hierfür ist wichtig, dass Datenschutzpannen in Unternehmen schnell erkannt, intern gemeldet und fundiert eingeschätzt werden können.

Der folgende Beitrag liefert Ihnen das notwendige Handwerkszeug und erläutert Ihnen, wie meldepflichtige Datenschutzpannen erkannt werden und welche Schritte Unternehmen beachten müssen.

Was ist eine Datenschutzpanne?

Um die gesetzlichen Verpflichtungen im Fall von Datenschutzpannen erfüllen zu können, muss zunächst verstanden werden, was überhaupt unter einer solchen Panne oder formell gesprochen einer „Verletzung des Schutzes personenbezogener Daten“ im Sinne von Art. 4 Nr. 12 DSGVO zu verstehen ist.

Hierbei ist es vorab wichtig zu verstehen, dass nicht jede Verletzung einer datenschutzrechtlichen Vorschrift eine meldepflichtige Datenschutzpanne darstellt. Allein der Umstand, dass personenbezogene Daten beispielsweise ohne Einwilligung oder anderweitige Rechtsgrundlage verarbeitet werden, ist grundsätzlich nicht von der Meldepflicht erfasst. Vielmehr liegt eine Datenschutzpanne in erster Linie bei der Verletzung der Datensicherheit und somit in Situationen vor, in denen die ergriffenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten versagen.

Unter einer Datenschutzpanne ist somit jedes Ereignis zu verstehen, in dem die Vertraulichkeit, Verfügbarkeit oder Integrität personenbezogener Daten verletzt wurde. Mithilfe dieser Definition lassen sich Vorfälle grob in drei Gruppen einteilen. Beachten Sie jedoch, dass viele Datenschutzpannen in mehr als eine der folgenden Kategorien einsortiert werden können.

 1. Verfügbarkeit

Eine Verletzung der Verfügbarkeit liegt beispielsweise vor, wenn personenbezogene Daten unbefugterweise gelöscht oder vernichtet werden oder dem Unternehmen verloren gegangen sind.

Beispiele:

• Eine Mitarbeiterin lässt auf dem morgendlichen Arbeitsweg ihren Arbeitslaptop im Bus liegen.
• Eine Liste mit Postadressen von Kund:innen wird versehentlich vernichtet.

 2. Verletzung der Vertraulichkeit

Eine Verletzung der Vertraulichkeit liegt immer dann vor, wenn personenbezogene Daten unbefugt offengelegt wurden oder wenn unbefugte Personen Zugang zu personenbezogenen Daten hatten.

Beispiele:

• Durch einen Hackerangriff erlangen unbefugte Dritte Zugang zu einer Datenbank mit Kund:innendaten.
• Ein Mitarbeiter verschickt eine E-Mail mit personenbezogenen Daten an den falschen Empfänger.

 3. Verletzung der Integrität

Wenn personenbezogene Daten (unbeabsichtigt oder unrechtmäßig) verändert wurden, liegt eine Verletzung der sogenannten Integrität vor.

Beispiel:

• Eine Mitarbeiterin vertauscht bei der Bearbeitung einer Excel-Tabelle die Adressen von Dutzenden Kund:innen.

Ergänzend sei noch darauf hingewiesen, dass auch externe Dienstleister im Rahmen der Auftragsverarbeitung Datenschutzpannen auslösen können. In diesem Fall ist aber allein das auftraggebende Unternehmen und nicht der Dienstleister für die Erfüllung der gesetzlichen Meldepflichten verantwortlich. Auftragsverarbeiter sind aber zur Unterstützung ihrer Auftraggeber verpflichtet. Wenn Sie mehr zum Thema Auftragsverarbeitung erfahren wollen, sei Ihnen dieser Blogbeitrag ans Herz gelegt.

Wann ist eine Datenpanne meldepflichtig?

Nach Art. 33 Abs. 1 DSGVO sind Datenschutzpannen unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden. Einzige Ausnahme: Die Datenschutzpanne führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen.

Mögliche Risiken für die betroffenen Personen sind:

• Diskriminierung
• Identitätsdiebstahl oder Betrug
• Finanzieller Verlust
• Rufschädigung
• Wirtschaftliche oder gesellschaftliche Nachteile
• Erschwerung der Rechtsausübung und Verhinderung der Kontrolle durch betroffene Personen

Einen guten Überblick für die Einschätzung von Datenschutzpannen bieten eine Liste des Hamburgischen Datenschutzbeauftragten und eine Veröffentlichung des Europäischen Datenschutzausschusses (EDSA).

Wie führe ich die Risikobeurteilung durch?

Ob ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, sollte mittels einer Risikobewertung beurteilt werden. Dabei müssen zwei Dimensionen betrachtet werden: Die Schwere des Schadens und die Wahrscheinlichkeit des Eintritts. Zur Veranschaulichung haben wir Ihnen typische Datenschutzpannen und die Beurteilung ihrer Meldepflichtigkeit zusammengestellt:

1. Verlust eines USB-Sticks mit unwirksamer Verschlüsselung

Hier ist die Meldepflicht in der Regel von der Art der personenbezogenen Daten, welche auf dem USB-Stick gespeichert sind, abhängig. Befinden sich auf diesem etwa Bankdaten, ist der Vorfall meldepflichtig, da hier das Risiko eines finanziellen Verlustes oder eines Identitätsdiebstahls für betroffene Personen besteht.

2. Vernichtung von Kontaktdaten von Kund:innen

Hier besteht in der Regel kein Risiko für die Rechte und Freiheiten von betroffenen Personen und somit auch keine Meldepflicht.

3. Hackerangriff mit möglichem Datenzugriff

Sofern bei einem Hackerangriff ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, besteht regelmäßig die Verpflichtung, die Datenschutzpanne der zuständigen Aufsichtsbehörde zu melden.

4. Versand einer E-Mail an falsche Adressaten

In einem solchen Fall steht die Meldepflicht in Abhängigkeit zu der Art der betroffenen personenbezogenen Daten sowie der Anzahl der Empfänger.

Auch wenn festgestellt wird, dass kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, sind die Risikobewertung sowie die entsprechende Datenschutzpanne zu dokumentieren. Die Datenschutzkonferenz hat hinsichtlich der Bewertung von Risiken die skizzierte Risikomatrix entwickelt. Wir haben das Modell sowie die Dokumentation zudem in unserer Datenschutz Management Software DataDesk übernommen, die somit ebenfalls für Bewertungen herangezogen werden kann.

Wie melde ich die Datenpanne an die Aufsichtsbehörde?

Wurde festgestellt, dass eine Meldung an die zuständige Aufsichtsbehörde zu erfolgen hat, muss die Meldung gemäß Art. 33 Abs. 3 DSGVO folgende Informationen umfassen:

• Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
• Kategorien und ungefähre Zahl der betroffenen Personen
• Kategorien von Betroffenen und ungefähre Zahl der betroffenen personenbezogenen Datensätze
• Kontakt des DSB oder sonstige Anlaufstelle
• Beschreibung der wahrscheinlichen Folgen
• Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung

Art. 33 Abs. 4 DSGVO sieht vor, dass in Ausnahmefällen der Aufsichtsbehörde nicht alle diese Informationen zur gleichen Zeit zu Verfügung gestellt werden müssen. Entscheidend ist jedoch, dass die Meldung innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzpanne erfolgt.

Die Datenschutzaufsichtsbehörden der Länder verfügen über eigene Meldeformulare. Wir haben für Sie eine Liste mit den entsprechenden Links zu den Meldeformularen zusammengestellt.

Wie berechnet sich die 72h-Frist?

Wer sich bereits einmal mit Fristen im Rechtsverkehr auseinandergesetzt hat, weiß dass die Bestimmung von Fristbeginn und -ende eine Herausforderung darstellen kann. Zu allem Übel kommt hinzu, dass es nicht nur im nationalen Recht, sondern auch im europäischen Recht Vorgaben zur Bestimmung von Fristen gibt. Maßgeblich für die Bestimmung der Meldefrist einer Datenschutzpanne an die Aufsichtsbehörde ist die europäische Fristen-Verordnung. Damit Sie sich im Falle einer Datenschutzpanne nicht ewig mit den Regelungen zur Fristenberechnung rumschlagen müssen, haben wir Ihnen die wichtigsten Outcomes der Fristen-Verordnung zusammengefasst:

• Die Stunde, in der von der Datenschutzpanne Kenntnis erlangt wurde, wird nicht mitgerechnet. Erlangt ein Unternehmen z.B. an einem Montag um 18:23 Uhr Kenntnis von einer Datenschutzpanne, beginnt die 72h-Frist um 19:00 Uhr.
• Die Frist endet mit Ablauf der letzten Stunde der Frist. Im obigen Beispiel endet die Frist somit am Donnerstag um 19:00 Uhr.
• Es gibt keine Unterscheidung zwischen Werk-, Feier-, Sonntagen und Sonnabenden. Erlangt ein Unternehmen in der Weihnachtszeit Kenntnis von einer Datenschutzpanne, kann die Frist schlimmstenfalls also auch während der Bescherung am 24.12. um 19 Uhr enden.

Hervorzuheben ist zudem, dass Kenntniserlangung nicht zwangsläufig bedeutet, dass die Geschäftsführung oder der bzw. die Datenschutzbeauftragte von einer Datenpanne Kenntnis erlangt haben muss. Es reicht vielmehr aus, dass eine Beschäftigte oder ein Beschäftigter die Datenschutzrelevanz eines Vorfalls erkennt. In der Regel sind dies alle Beschäftigten, die vom Verantwortlichen im Datenschutz zu sensibilisieren sind.

An welche Aufsichtsbehörde sind grenzüberschreitende Datenschutzpannen zu melden?

Nicht selten kommt es vor, dass von einer Datenschutzpanne betroffene Personen in unterschiedlichen EWR-Staaten betroffen sind. In solchen Fällen tritt regelmäßig die Frage auf, ob mehrere Aufsichtsbehörden zu informieren sind. Antworten auf diese Frage gibt eine im März 2023 überarbeitete Guideline des EDSA. In dieser verweist der EDSA auf die Art. 55 und 56 DSGVO, wonach grenzüberschreitende Datenschutzpannen bei der Aufsichtsbehörde der Hauptniederlassung oder der einzigen Niederlassung des Verantwortlichen zu melden sind (vgl. Art. 56 Abs. 1,2 DSGVO). Sofern der Verantwortliche also über eine Niederlassung im EWR verfügt, sind grenzüberschreitende Datenschutzpannen lediglich an eine Behörde zu melden.

Anders sieht es aus, wenn der Verantwortliche keine Niederlassung im EWR hat, die DSGVO nach Art. 3 Abs. 2, 3 DSGVO aber dennoch Anwendung findet. Hier ist die Datenschutzpanne bei den Aufsichtsbehörden jedes EWR-Staates zu melden, in denen Personen ansässig sind, deren Daten von der Datenschutzpanne betroffen sind. Unter diesen Umständen ist also noch einmal genauer zu prüfen, wessen Daten betroffen sind.

Wie und wann muss ich die betroffenen Personen benachrichtigen?

Bei der Feststellung eines hohen Risikos für die Rechte und Freiheiten von natürlichen Personen, hat neben der Meldung an die Aufsichtsbehörde ebenso eine Benachrichtigung der betroffenen Personen zu erfolgen. Ein hohes Risiko kann beispielsweise vorliegen, wenn die Datensätze Bankdaten (Kreditkartennummern, IBAN etc.) oder besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO enthalten.

Welchen Beitrag können Beschäftigte leisten?

Zunächst sollten alle Beschäftigten, die in ihrer Arbeit personenbezogene Daten verarbeiten, in der Lage sein, Datenschutzpannen zu erkennen. Um dies sicherzustellen, ist es von essenzieller Bedeutung, dass Beschäftigte im Datenschutz geschult und für Datenschutzpannen sensibilisiert werden. Die Datenschutzkanzlei bietet Ihnen neben vielen weiteren Schulungsangeboten auch eLearning-Inhalte für Beschäftigte zu diesem Thema an.

Von ebenso hoher Bedeutung ist die Etablierung und die Kommunikation von internen Meldewegen. Nur hierdurch kann sichergestellt werden, dass Datenschutzpannen adäquat bewertet und erforderlichenfalls gemeldet werden können.

Hierzu gehört zum einen die Benennung von verantwortlichen Personen, wozu beispielsweise der oder die Datenschutzbeauftragte zählen kann. Außerdem ist die IT-Abteilung in den internen Meldeprozess zu involvieren, die häufig durch technische Maßnahmen die Datenschutzpanne beheben und das damit verbundene Risiko begrenzen müssen. Die Aufsichtsbehörde in Sachsen-Anhalt hat in einem übersichtlichen Paper einmal die häufigsten Ursachen von Datenschutzverletzungen zusammengefasst und zu diesen die jeweils passenden präventiven und reaktiven Abwehrmaßnahmen aufgeführt.

Und natürlich sind die Beschäftigten über die Zuständigkeiten und die internen Meldewege zu informieren. Dies kann beispielsweise über Aushänge oder durch eine Info-Page im Intranet erfolgen.

Fazit

Damit Datenschutzpannen für Unternehmen nicht zu einem ernsthaften Problem werden, ist zunächst ein Verständnis zum Umfang der Meldepflicht zu etablieren. Auch kleinere Verstöße können dazu führen, dass die Aufsichtsbehörde innerhalb von 72 Stunden zu informieren ist. Dabei ist in besonderem Maße die Mitwirkung aller Beschäftigten erforderlich, die mit der Verarbeitung personenbezogener Daten betraut sind. Denn nur sie sind in der Lage, Datenschutzpannen zu erkennen und unverzüglich innerhalb des Unternehmens an die richtige Stelle zu melden. Hierfür sind einerseits Schulungen im Datenschutz durchzuführen und andererseits klare interne Zuständigkeiten und Meldewege zu schaffen. Sind Datenschutzpannen intern gemeldet worden, muss das Risiko für die betroffenen Personen eingeschätzt sowie der Vorfall dokumentiert werden. Bei Unsicherheiten mit der Bewertung sowie dem Umgang mit Datenschutzpannen stehen wir Ihnen gerne beratend zur Verfügung.