Der Schutz personenbezogener Daten kann durch Unternehmen noch so gut umgesetzt sein, ganz ausschließen lassen sie sich nicht: Datenschutzpannen. Wenn der Verlust von Daten festgestellt wird, ist schnelles Handeln gefragt. Denn in vielen Fällen muss die zuständige Datenschutzaufsichtsbehörde binnen 72 Stunden über den Vorfall informiert werden. Hierfür ist wichtig, dass Datenschutzpannen in Unternehmen schnell erkannt, intern gemeldet und fundiert eingeschätzt werden können. Der folgende Beitrag liefert Ihnen das notwendige Handwerkszeug wie meldepflichtige Datenpannen erkannt werden und welche Schritte Unternehmen beachten müssen.

Notfallplan

Was ist eine Datenschutzpanne?

Um die gesetzlichen Verpflichtungen im Fall von Datenschutzpannen erfüllen zu können, muss zunächst verstanden werden, was überhaupt unter einer solchen Panne oder formell gesprochen einer „Verletzung des Schutzes personenbezogener Daten“ im Sinne von Art. 4 Nr. 12 DSGVO zu verstehen ist.

Hierbei ist es vorab wichtig zu verstehen, dass nicht jede Verletzung einer datenschutzrechtlichen Vorschrift eine meldepflichtige Datenschutzpanne darstellt. Allein der Umstand, dass personenbezogene Daten beispielsweise ohne Einwilligung oder anderweitige Rechtsgrundlage verarbeitet werden, ist grundsätzlich nicht von der Meldepflicht erfasst. Vielmehr liegt eine Datenschutzpanne in erster Linie bei der Verletzung der Datensicherheit und somit in Situationen vor, in denen die ergriffenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten versagen.

Unter einer Datenschutzpanne ist somit jedes Ereignis zu verstehen, in dem die Vertraulichkeit, Verfügbarkeit oder Integrität personenbezogener Daten verletzt wurde. Mithilfe dieser Definition lassen sich Vorfälle grob in drei Gruppen einteilen. Beachten Sie jedoch, dass viele Datenschutzpannen in mehr als eine der folgenden Kategorien einsortiert werden können.

 1. Verfügbarkeit

Eine Verletzung der Verfügbarkeit liegt beispielsweise vor, wenn personenbezogene Daten unbefugterweise gelöscht oder vernichtet werden oder dem Unternehmen verloren gegangen sind.

Beispiele:

  • Eine Mitarbeiterin lässt auf dem morgendlichen Arbeitsweg ihren Arbeitslaptop im Bus liegen.
  • Eine Liste mit Postadressen von Kund:innen wird versehentlich vernichtet.

 2. Verletzung der Vertraulichkeit

Eine Verletzung der Vertraulichkeit liegt immer dann vor, wenn personenbezogene Daten unbefugt offengelegt wurden oder wenn unbefugte Personen Zugang zu personenbezogenen Daten hatten.

Beispiele:

  • Durch einen Hackerangriff erlangen unbefugte Dritte Zugang zu einer Datenbank mit Kundendaten.
  • Ein Mitarbeiter verschickt eine E-Mail an den falschen Empfänger.

 3. Verletzung der Integrität

Wenn personenbezogene Daten (unbeabsichtigt oder unrechtmäßig) verändert wurden, liegt eine Verletzung der sogenannten Integrität vor.

Beispiel:

  • Ein Mitarbeiter vertauscht bei der Bearbeitung einer Excel-Tabelle die Adressen von Dutzenden Kunden.

Ergänzend sei noch darauf hingewiesen, dass auch externe Dienstleister im Rahmen der Auftragsverarbeitung Datenschutzpannen auslösen können. In diesem Fall ist aber allein das auftraggebende Unternehmen und nicht der Dienstleister für die Erfüllung der gesetzlichen Meldepflichten verantwortlich. Auftragsverarbeiter sind aber zur Unterstützung ihrer Auftraggeber verpflichtet. Wenn Sie mehr zum Thema Auftragsverarbeitung erfahren wollen, sei Ihnen dieser Blogbeitrag ans Herz gelegt.

Wann ist eine Datenpanne meldepflichtig?

Nach Art. 33 Abs. 1 DSGVO sind Datenschutzpannen unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Datenschutzpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt.

Mögliche Risiken für die betroffenen Personen können sein:

  • Diskriminierung
  • Identitätsdiebstahl oder Betrug
  • Finanzieller Verlust
  • Rufschädigung
  • Wirtschaftliche oder gesellschaftliche Nachteile
  • Erschwerung der Rechtsausübung und Verhinderung der Kontrolle durch betroffene Personen

Einen guten Überblick für die Einschätzung von Datenschutzpannen bieten eine Liste des Hamburgischen Datenschutzbeauftragten und eine Veröffentlichung des Europäischen Datenschutzausschusses.

Wie führe ich die Risikobeurteilung durch?

Ob ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, sollte mittels einer Risikobewertung beurteilt werden. Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Es müssen also zwei Dimensionen betrachtet werden: Die Schwere des Schadens und die Wahrscheinlichkeit des Eintritts. Zur Veranschaulichung haben wir Ihnen typische Datenschutzpannen und die Beurteilung ihrer Meldepflichtigkeit zusammengestellt:

1. Verlust eines USB-Sticks mit unwirksamer Verschlüsselung

Hier ist die Meldepflicht in der Regel von der Art der personenbezogenen Daten, welche auf dem USB-Stick gespeichert sind, abhängig. Befinden sich auf diesem etwa Bankdaten, ist der Vorfall meldepflichtig, da hier das Risiko eines finanziellen Verlusts oder eines Identitätsdiebstahls für betroffene Personen besteht.

2. Vernichtung von Kontaktdaten von Kund:innen

Hier besteht in der Regel kein Risiko für die Rechte und Freiheiten von betroffenen Personen und somit auch keine Meldepflicht.

3. Hackerangriff

In einem solchen Fall besteht regelmäßig die Verpflichtung, die Datenschutzpanne der zuständigen Aufsichtsbehörde zu melden.

4. Versand einer E-Mail an falsche Adressaten

In einem solchen Fall steht die Meldepflicht in Abhängigkeit zu der Art der betroffenen personenbezogenen Daten sowie der Anzahl der Empfänger.

Auch wenn festgestellt wird, dass kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, sind die Risikobewertung sowie die entsprechende Datenschutzpanne zu dokumentieren. Die Datenschutzkonferenz hat hinsichtlich der Bewertung von Risiken die skizzierte Risikomatrix entwickelt, deren Lektüre sich ebenfalls lohnt. Wir haben das Modell sowie die Dokumentation zudem in unserer Datenschutz Management Software DataDesk übernommen, die somit ebenfalls für Bewertungen herangezogen werden kann.

 

Wie melde ich die Datenpanne an die Aufsichtsbehörde?

Wurde festgestellt, dass eine Meldung an die zuständige Aufsichtsbehörde zu erfolgen hat, muss die Meldung gemäß Art. 33 Abs. 3 DSGVO folgende Informationen umfassen:

  • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
  • Kategorien und ungefähre Zahl der betroffenen Personen
  • Kategorien von Betroffenen und ungefähre Zahl der betroffenen personenbezogenen Datensätze
  • Kontakt des DSB oder sonstige Anlaufstelle
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung

Art. 33 Abs. 4 DSGVO sieht vor, dass in Ausnahmefällen der Aufsichtsbehörde nicht alle diese Informationen zur gleichen Zeit zu Verfügung gestellt werden müssen. Entscheidend ist jedoch, dass die Meldung innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzpanne erfolgt.

Die Datenschutzaufsichtsbehörden der Länder verfügen über eigene Meldeformulare. Wir haben für Sie eine Liste mit den entsprechenden Links zu den Meldeformularen zusammengestellt.

 

Wie und wann muss ich die betroffenen Personen benachrichtigen?

Bei der Feststellung eines hohen Risikos für die Rechte und Freiheiten von natürlichen Personen, hat neben der Meldung an die Aufsichtsbehörde ebenso eine Benachrichtigung der betroffenen Personen zu erfolgen. Ein hohes Risiko liegt beispielsweise vor, wenn die Datensätze Bankdaten (Kreditkartennummern, IBAN etc.) oder besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO enthalten.

 

Welchen Beitrag können Beschäftigte leisten?

Zunächst sollten alle Beschäftigten, die in ihrer Arbeit personenbezogene Daten verarbeiten, in der Lage sein, Datenschutzpannen zu erkennen. Um dies sicherzustellen, ist es von essenzieller Bedeutung, dass Beschäftigte im Datenschutz geschult und für Datenschutzpannen sensibilisiert werden. Die Datenschutzkanzlei bietet Ihnen neben vielen weiteren Schulungsangeboten auch eLearning-Inhalte für Beschäftigte zu diesem Thema an.

Von ebenso hoher Bedeutung ist die Etablierung und die Kommunikation von internen Meldewegen. Nur hierdurch kann sichergestellt werden, dass Datenschutzpannen adäquat bewertet und erforderlichenfalls gemeldet werden können.

Hierzu gehört zum einen die Benennung von verantwortlichen Personen, wozu beispielsweise der oder die Datenschutzbeauftragte zählen kann. Außerdem ist die IT-Abteilung in den internen Meldeprozess zu involvieren, die häufig durch technische Maßnahmen, die Datenschutzpanne beheben und das damit verbundene Risiko begrenzen müssen. Die Aufsichtsbehörde in Sachsen-Anhalt hat in einem übersichtlichen Paper einmal die häufigsten Ursachen von Datenschutzverletzungen zusammengefasst und zu diesen die jeweils passenden präventiven und reaktiven Abwehrmaßnahmen aufgeführt.

Und natürlich sind die Beschäftigten über die Zuständigkeiten und die internen Meldewege zu informieren. Dies kann beispielsweise über Aushänge oder durch eine Info-Page im Intranet erfolgen.

 

Fazit

Damit Datenschutzpannen für Unternehmen nicht zu einem ernsthaften Problem werden, ist zunächst ein Verständnis zum Umfang der Meldepflicht zu etablieren. Auch kleinere Verstöße können dazu führen, dass die Aufsichtsbehörde innerhalb von 72 Stunden zu informieren ist. Dabei ist in besonderem Maße die Mitwirkung aller Beschäftigten erforderlich, die mit der Verarbeitung personenbezogener Daten betraut sind. Denn nur sie sind in der Lage, Datenschutzpannen zu erkennen und unverzüglich innerhalb des Unternehmens an die richtige Stelle zu melden. Hierfür sind einerseits Schulungen im Datenschutz durchzuführen und andererseits klare interne Zuständigkeiten und Meldewege zu schaffen. Sind Datenschutzpannen intern gemeldet worden, muss das Risiko für die betroffenen Person eingeschätzt sowie der Vorfall dokumentiert werden. Bei Unsicherheiten mit der Bewertung sowie dem Umgang mit Datenschutzpannen, stehen wir Ihnen gerne beratend zur Verfügung.

 

 

Simeon Boltjes ist Wirtschaftsjurist (LL.M) und Legal Consultant bei der Datenschutzkanzlei.