In unserer modernen Welt ist eine Datenpanne schnell passiert. Ein verlorener USB-Stick, eine E-Mail an die falsche Person, das versehentliche Löschen von Daten oder ein Hacker-Angriff u.v.a.m. – sobald hierbei der Schutz von personenbezogenen Daten verletzt wird, liegt eine Datenpanne vor. 

Dies hat erhebliche Pflichten zur Folge, die alle UnternehmerInnen unbedingt kennen sollten. In vielen Fällen ist die Datenpanne binnen 72 Stunden zu melden, in einigen Fällen sind unverzüglich alle Betroffenen zu benachrichtigen. Wenn man diese Vorgaben nicht beachtet, drohen Sanktionen der Aufsichtsbehörden, die von der einfachen Verwarnung bis zu hohen Bußgeldern reichen können. Im Folgenden erfahren Sie kurz zusammengefasst das Wichtigste zu diesem Thema:

Zunächst muss man feststellen, ob eine Datenpanne vorliegt. Nach Art. 33 DSGVO handelt es sich hierbei um die Verletzung des Schutzes personenbezogener Daten. 

Deshalb muss geprüft werden, ob bei dem Vorfall personenbezogene Daten (Art. 4 Nr. 1 DSGVO) betroffen sind. Sind zum Beispiel auf einem verlorenen USB-Stick keine solche Daten, befindet sich dort etwa ausschließlich Software, dann liegt keine Datenpanne nach Art. 33 DSGVO vor. Dies ist aber eher selten der Fall.

Die Verletzung nach Art. 4 Nr. 12 DSGVO ist „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Eine Verletzung des Schutzes personenbezogener Daten liegt somit nicht in jedem Verstoß gegen datenschutzrechtliche Vorschriften, sie bezieht sich vielmehr gerade auf die Datensicherheit.

Hierzu gehört die vorübergehende Unerreichbarkeit der Daten oder deren dauerhafte Löschung infolge eines Sicherheitsbruchs, z.B. hervorgerufen durch einen Stromausfall oder durch eine DOS-Attacke, ebenso wie die versehentliche Falsch-Adressierung von Briefen und E-Mails sowie die Versendung einer Massen-E-Mail unter Verwendung des cc- statt des bcc-Feldes.

Der Verantwortliche sollte in allen derartigen Fällen prüfen, ob ein Verletzungsverhalten und ein Verletzungserfolg vorliegen. Hilfreich bei einer solchen Prüfung ist z.B. die Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ des Bayerischen Landesbeauftragten für den Datenschutz. 

Wichtig: Egal, zu welchem Ergebnis die Prüfung führt, der gesamte Prozess muss unbedingt ausführlich dokumentiert werden. Denn damit kann man zu einem späteren Zeitpunt nachweisen, dass man sich mit dem Vorfall auseinander gesetzt hat.

Kommt man zu dem Ergebnis, dass eine Verletzung nach Art. 33 DSGVO vorliegt, ist diese binnen 72 Stunden ab Kenntnis an die Aufsichtsbehörde zu melden; es sei denn, dass diese Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Zentraler Anknüpfungspunkt ist das Risiko, das durch die Schutzverletzung besteht oder zu erwarten ist.

Kommt man zu dem Ergebnis, dass die Verletzung zu melden ist, muss man schnell handeln („binnen 72 Stunden“). Die Meldung kann und sollte zunächst online erfolgen. In Baden-Württemberg kann man z.B. hier melden: https://www.baden-wuerttemberg.datenschutz.de/datenpanne-melden/

Der Umfang der Meldung ist in Art. 33 Abs. 3 DSGVO definiert. Hierzu gehören neben den Angaben zu dem Verantwortlichen vor allem eine möglichst präzise Beschreibung der Datenpanne und eine ausführliche Erläuterung der ergriffenen oder noch geplanten Gegenmaßnahmen.

Das war es aber leider noch nicht. Hat die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so muss man gem. Art. 34 DSGVO die betroffenen Personen unverzüglich von der Verletzung benachrichtigen. Dies kann z.B. bei einer betroffenen Datenbank, in der sich Datensätze von 200.000 Personen befinden, erheblichen Aufwand und Konsequenzen bedeuten. 

Fazit: Eine Datenpanne ist schnell passiert und hat häufig erhebliche Auswirkungen und Pflichten zur Folge. Zwei Dinge sollte man unbedingt beachten. Erstens sollte man sich soweit wie möglich auf den Ernstfall vorbereiten und zweitens muss man im Fall der Fälle – egal, welche Schlüsse man zieht – alles sehr genau dokumentieren. Sollten Sie Fragen zu diesem Thema haben, können Sie gerne Kontakt mit uns aufnehmen.