8 Fragen zur Datenpanne, Teil 1
Dass Unternehmen sensibel mit vertraulichen Kundendaten umgehen und personenbezogene Daten geschützt werden müssen, war schon immer so. Doch die Datenschutz-Grundverordnung (DSGVO) hat die Anforderungen noch einmal erhöht. Und obwohl die DSGVO schon einige Zeit in Kraft ist, sind viele Unternehmen nach wie vor verunsichert, wenn es um Verletzungen des Schutzes personenbezogener Daten geht.
Wann liegt eine Datenpanne vor? Welche Strafen drohen? Wann und wie muss ein Datenschutzvorfall gemeldet werden? Und wer haftet? Wir beantworten acht Fragen zur Datenpanne!:
-
Inhalt
Was genau ist eine Datenpanne?
Von einer Datenpanne wird gesprochen, wenn der Schutz personenbezogener Daten verletzt wurde. Dabei definiert die DSGVO in Art. 4 Nr. 12 eine Verletzung des Schutzes personenbezogener Daten als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“
Demnach bestehen die Schutzziele darin, dass die personenbezogenen Daten, die der Verantwortliche verarbeitet, verfügbar, unversehrt und vertraulich sind. Der Verantwortliche ist in diesem Fall das Unternehmen, das die Daten erhebt, verarbeitet und speichert.
Allerdings heißt das nicht, dass jede noch so kleine Datenpanne gleich bei der zuständigen Aufsichtsbehörde gemeldet werden muss. Datenschützer bemühen hier gerne die juristische Weisheit: „Es kommt darauf an.“
Maßgeblich ist, wie umfangreich die Datenpanne war und wie groß die Risiken sind, die sich für die Rechte der Betroffenen ergeben. Ob das Unternehmen eine Meldung macht, muss es aber so oder so schnell entscheiden. Der Gesetzgeber räumt dafür eine Frist von 72 Stunden ein.
-
Wann ist eine Datenpanne meldepflichtig?
Bevor die DSGVO in Kraft trat, musste der Verantwortliche nur bei bestimmten Datenarten einen Datenschutzvorfall melden. Welche Datenarten der Meldepflicht unterlagen, war im Bundesdatenschutzgesetz und im Telemediengesetz ausdrücklich geregelt.
Ein Blick in die Gesetze half dem Verantwortlichen bei der Einschätzung, ob die jeweilige Datenpanne meldepflichtig war oder ob nicht.
Die DSGVO brachte eine grundsätzliche Meldepflicht für alle Datenschutzverletzungen mit sich. Es spielt also keine Rolle mehr, ob sich der Vorfall auf bestimmte, besonders sensible Daten wie zum Beispiel die Bankverbindung, die Religionszugehörigkeit oder medizinische Diagnosen bezieht oder andere Datenarten erfasst.
Sobald dem Verantwortlichen die Datenpanne bekannt wird, muss er einschätzen, mit welcher Wahrscheinlichkeit und in welchem Ausmaß Risiken für die betroffenen Personen eintreten.
Eine meldepflichtige Datenpanne wäre zum Beispiel gegeben, wenn
-
die IT-Infrastruktur des Unternehmens von Hackern angegriffen wurde und sich die Hacker bei dem Angriff Zugriff auf Kunden- und Mitarbeiterdaten verschafft haben.
-
Kundendaten versehentlich an ein Callcenter weitergegeben wurden, ohne dass die Identität des Anrufers überprüft wurde.
-
im großen Stil Werbe-E-Mails verschickt wurden und die Kontaktdaten der Empfänger dabei für alle sichtbar im CC-Feld standen.
Wichtig zu wissen ist, dass die Meldepflicht nicht nur für interne Datenpannen gilt, sondern auch Vorfälle einschließt, die sich bei den Auftragsverarbeitern ereignet haben. Die DSGVO gibt vor, dass Dienstleister, die im Auftrag Daten verarbeiten, das verantwortliche Unternehmen umgehend über die Datenpanne informieren müssen.
Andersherum muss das verantwortliche Unternehmen die Auftragsverarbeiter bei der Risikoeinschätzung und einer Meldung der Datenpanne unterstützen. Die Abläufe in solchen Fällen sollten deshalb unbedingt im Auftragsverarbeitungsvertrag vereinbart sein.
-
Wann muss eine Datenpanne nicht gemeldet werden?
Damit das Risiko im Einzelfall richtig beurteilt werden kann, sollte das Unternehmen seinen Datenschutzbeauftragten zurate ziehen. Kommt er zu dem Ergebnis, dass für die Betroffenen nur ein geringes Risiko besteht, muss die Datenpanne nicht unbedingt gemeldet werden.
Bei der Beurteilung sind die Wahrscheinlichkeit, dass ein Risiko entsteht, und das mögliche Ausmaß des Schadens entscheidende Faktoren. Das setzt natürlich voraus, dass dem Verantwortlichen zuverlässige und möglichst vollständige Informationen über die Datenpanne vorliegen.
Das Unternehmen sollte deshalb vor allem prüfen, wie viele Personen die Datenschutzverletzung betrifft und um welche Daten es sich handelt. Je sensibler die Daten sind und je größer der Kreis der Betroffenen ist, desto höher ist auch das Risiko.
Sofern das Unternehmen in Absprache mit seinem Datenschutzbeauftragten auf eine Meldung verzichtet, sollte es diese Entscheidung schriftlich dokumentieren.
Dabei sollte es die Umstände der Datenpanne und die Gründe für die nicht erfolgte Meldung beschreiben. Sollte die Aufsichtsbehörde eine Kontrolle durchführen, sorgt die interne Dokumentation für Klarheit.
-
Wie wird eine Datenpanne richtig gemeldet?
Sind das Unternehmen und der Datenschutzbeauftragte der Ansicht, dass bei den betroffenen Personen ein Schaden eintreten könnte, muss eine Meldung bei der zuständigen Aufsichtsbehörde erfolgen. Das muss innerhalb von 72 Stunden nach dem Bekanntwerden der Datenschutzverletzung passieren.
Ein Feiertag oder ein Wochenende hat keinen Einfluss auf die Meldepflicht. Und auch die interne Organisation des Verantwortlichen ist unerheblich.
Bloß weil zum Beispiel der Datenschutzbeauftragte gerade nicht vor Ort ist oder das Unternehmen Betriebsferien hat, verlängert sich die Meldefrist nicht. Vielmehr heißt es in Art. 33 der DSGVO, dass das Unternehmen die Verzögerung begründen muss, wenn die Meldung nicht innerhalb von 72 Stunden erfolgt.
Eine verspätete Meldung kann Maßnahmen der Aufsichtsbehörde nach sich ziehen. Ist es dem Unternehmen nicht möglich, alle erforderlichen Informationen innerhalb der 72-Stunden-Frist bereitzustellen, kann es die Behörde aber schrittweise in Kenntnis setzen.
Die Meldung ist formfrei möglich. Allerdings stellen viele Behörden Online-Formulare zur Verfügung, durch die die Meldung schnell und einfach erfolgen kann. Liegen dem Unternehmen die fehlenden oder neue Informationen vor, kann es eine zweite Meldung nachreichen.
Im Rahmen der Meldung muss der Verantwortliche angeben,
-
in welcher Art der Schutz personenbezogener Daten verletzt wurde und, sofern möglich, welche Datenarten und wie viele Personen betroffen sind.
-
welche Folgen die Datenpanne vermutlich haben wird.
-
wer als Ansprechpartner weitere Informationen bereitstellen kann und wie der Ansprechpartner zu erreichen ist; meist werden das der Name und die Kontaktdaten des Datenschutzbeauftragten sein.
-
welche Maßnahmen der Verantwortliche ergriffen hat oder plant, um die Datenpanne und ihre Auswirkungen zu beheben oder nachteilige Folgen zumindest abzumildern.
Ergibt sich aus der Datenpanne ein hohes Risiko für die betroffenen Personen, muss das Unternehmen sie ebenfalls über den Vorfall, seinen Umfang, die möglichen Folgen und die ergriffenen Maßnahmen informieren.
Mehr Ratgeber, Tipps und Anleitungen:
- Was ist eine permissioned Blockchain? Teil 2
- Was ist eine permissioned Blockchain? Teil 1
- Ein Überblick zu Malware, Teil III
- Ein Überblick zu Malware, Teil II
- Ein Überblick zu Malware, Teil I
- Das digitale Erbe frühzeitig regeln – Infos und Tipps
- Das ändert sich 2022 im Online-Handel
- Infos und Tipps rund ums Backup von Daten
Thema: 8 Fragen zur Datenpanne, Teil 1
Übersicht:
Fachartikel
Verzeichnis
Über uns
- Die 5 größten Gefahren für externe Festplatten - 6. April 2024
- Eine E-Mail an mehrere Empfänger verschicken – so geht’s richtig - 15. März 2024
- Grundlegendes Wissen zu verteilten Datenstrukturen, 2. Teil - 7. März 2024