Datenpanne: Meldepflicht, Bußgelder und Prävention

112
Datenpanne Meldepflicht, Bußgelder und Prävention
© thodonal - stock.adobe.com

Die Verletzungen des Schutzes personenbezogener Daten (sogenannte Datenpannen) verunsichern viele Unternehmen. Diese stellen sich die Frage: Was genau ist eine Datenpanne? Welche Strafen und Bußgelder drohen? Haftet ein interner oder externer Datenschutzbeauftragter (DSB) für etwaige Fehler? Wie steht es mit der Meldepflicht gemäß Datenschutz-Grundverordnung (DSGVO)? Und wem meldet der oder die Verantwortliche eine Verletzung des Schutzes personenbezogener Daten?

Im Folgenden findest du Tipps, wie du bei einem Datenschutzvorfall schnell die richtigen Maßnahmen ergreifen.

EXTRA: Must-Have Datenschutz: Start-ups und die DSGVO

Definition einer Datenpanne

„Eine Verletzung des Schutzes personenbezogener Daten im Sinne der DSGVO liegt immer dann vor, wenn eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“ (Art. 4 Nr. 12 DSGVO)

Schutzziele sind demnach die Verfügbarkeit, die Integrität und die Vertraulichkeit personenbezogener Daten, die durch den Verantwortlichen (also das Unternehmen, das Daten erhebt beziehungsweise speichert) verarbeitet werden. Doch heißt dies, dass jede – auch geringfügige – Datenpanne eine Meldung bei der zuständigen Aufsichtsbehörde erforderlich macht? Die Antwort unter den Datenschützern lautet wie üblich: „Es kommt darauf an“. Entscheidend dürften sowohl der Umfang des Vorfalls als auch die Risiken sein, die daraus für die Rechte und Freiheiten der betroffenen Personen entstehen. Die Entscheidung über die Meldung muss in jedem Fall schnell getroffen werden. Der Gesetzgeber hat dafür eine Frist von 72 Stunden festgelegt.

Meldepflichtige Datenschutzverletzungen

Vor dem Inkrafttreten der DSGVO war der Verantwortliche nur bei bestimmten Datenarten zur Meldung von Datenschutzvorfällen verpflichtet. Welche Datenarten für die Meldepflicht relevant waren, hat der Gesetzgeber in Vorschriften des Bundesdatenschutzgesetzes (BDSG) sowie des Telemediengesetz (TMG) explizit geregelt. So konnten die Verantwortlichen durch den Blick ins Gesetz schneller einschätzen, ob im Einzelfall eine Pflicht zur Meldung einer Datenpanne bestand oder nicht. Mit dem Inkrafttreten der DSGVO wurde eine grundsätzliche Meldepflicht für sämtliche Datenschutzverletzungen eingeführt. Ob sich die Datenpanne also auf bestimmte „sensible“ personenbezogene Daten erstreckt (wie Gesundheits-, Strafbarkeits- oder Bankdaten), spielt aktuell keine Rolle mehr. Es obliegt dem Verantwortlichen, die Eintrittswahrscheinlichkeit sowie die Schwere eines möglichen Risikos für die betroffenen Personen im konkreten Fall einzuschätzen, sobald ihm die Datenpanne bekannt wird.

Mögliche Beispiele für eine meldepflichtige Datenpanne sind:

  • Hackerangriffe auf die IT-Infrastruktur eines Unternehmens, welche das Ausspähen oder Veröffentlichen von Mitarbeiter- und/oder Kundendaten zur Folge haben.
  • Versehentliche Weitergabe von Kundendaten an einen Anrufer im Callcenter, ohne die Identität des Gesprächspartners zu überprüfen.
  • Versand von Werbe-E-Mails an eine große Anzahl an Kunden, deren Kontaktdaten alle Empfänger im CC-Feld offen sehen können.

Gut zu wissen: Die Meldepflicht der Verantwortlichen erstreckt sich auch auf die Datenpannen, die bei seinen Auftragsverarbeiter (AV) vorgefallen sind. Nach der DSGVO sind die AV nicht nur verpflichtet, den Verantwortlichen über die Datenpanne umgehend in Kenntnis zu setzen. Du musst auch bei der o. g. Risikobeurteilung und ggf. Meldung einer Datenpanne unterstützend zur Seite stehen. Wann und unter welchen Umständen dies erfolgen soll, muss zwingend in einem Auftragsverarbeitungsvertrag mit dem Dienstleister geregelt werden.

Nicht meldepflichtige Datenschutzverletzungen

Um das Risiko im Einzelfall richtig einzuschätzen, solltest du deinen Datenschutzbeauftragten hinzuziehen. Stuft dieser das entstandene Risiko für die Betroffenen als gering ein, musst du die Panne nicht zwingend melden. Bei der Einschätzung spielen die Wahrscheinlichkeit, dass ein Risiko eintritt, sowie das mögliche Schadensausmaß eine wichtige Rolle. Es ist deswegen wichtig, dass der Verantwortliche über verlässliche Informationen zum Vorfall verfügt. Du solltest also in erster Linie prüfen, wie viele Personen von der Datenschutzverletzung betroffen und welche Daten „verloren gegangen“ sind. Beispiel: je sensibler die Informationen und je größer der Personenkreis, desto höher das Risiko.

Solltest du nach Absprache mit deinem Datenschutzbeauftragten (DSB) von der Meldung absehen, musst du diese Entscheidung immer dokumentieren. Beschreibe die Umstände des Vorfalls und halte die Gründe für die unterbliebene Meldung schriftlich fest. Diese interne Dokumentation ist zwingend erforderlich, um im Fall einer Kontrolle durch die Aufsichtsbehörde mit der Dokumentation Klarheit zu schaffen.

Eine Datenschutzverletzung DSGVO-konform melden

Kommen der Datenschutzbeauftragte und die Geschäftsführung zu dem Schluss, dass ein Schadenseintritt bei den betroffenen Personen möglich erscheint, muss die zuständige Aufsichtsbehörde benachrichtigt werden – spätestens 72 Stunden nach Bekanntwerden der Datenschutzverletzung

Feiertage und Wochenenden unterbrechen diese Frist nicht. Auch die interne Organisation des Verantwortlichen (etwa Abwesenheiten der Mitarbeiter) spielen bei der Berechnung keine Rolle. Zudem heißt es in Artikel 33 Absatz 1 Satz 2 DSGVO:

„Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“

In diesem Zusammenhang muss der Verantwortliche darlegen, warum ihm die rechtzeitige Meldung unmöglich war. Ob in einem konkreten Fall eine solche Unmöglichkeit vorliegt, muss immer nach Absprache mit dem DSB beurteilt werden. Erfolgt eine Meldung nicht rechtzeitig, kann dies Maßnahmen der Aufsichtsbehörde zur Folge haben.

Tipp: Solltest du innerhalb der 72 Stunden nicht sämtliche Informationen bereitstellen können, informiere die zuständige Stelle schrittweise. Eine Meldung kann formfrei erfolgen, allerdings stellen viele Aufsichtsbehörden Online-Formulare zur Verfügung, die eine schnelle und einfache Meldung ermöglichen.

Bei Bedarf kannst du eine ,,Zweitmeldung“ nachreichen, sobald dir neue Informationen vorliegen. Dokumentieren außerdem, welche Folgen durch die Datenschutzverletzung potenziell zu erwarten sind. Gebe abschließend einen Ansprechpartner mit Kontaktadresse an – meistens handelt es sich dabei um deinen Datenschutzbeauftragten.

Geht mit der Datenpanne ein hohes Risiko für die betroffenen Personen einher (weil beispielsweise besondere Kategorien personenbezogener Daten wie die Religionszugehörigkeit oder Gesundheitsdaten offengelegt wurden), müssen auch die betroffenen Personen über den Vorfall und seinen Umfang informiert werden. Zusätzlich müssen die betroffenen Personen darüber informiert werden,

  • wie der Datenschutzbeauftragte kontaktiert werden kann,
  • welche Folgen aus der Datenschutzverletzung resultieren können sowie
  • welche Maßnahmen der Verantwortliche zur Behebung der Datenschutzverletzung und Abmilderung möglicher Folgen ergriffen hat.

So sind die unterschiedlichen Risikostufen beispielhaft einzuordnen:

Geringes Risiko: Verlust eines Speichermediums mit personenbezogenen Daten, die aber im Vorfeld nach aktuellem Stand der Technik verschlüsselt wurden, sodass eine Datenschutzverletzung unwahrscheinlich ist.

Hohes Risiko: Alarm muss herrschen, wenn besonders sensible Daten wie z. B. medizinische Diagnosen oder Bankverbindungen veröffentlicht wurden oder nachweislich von Dritten eingesehen werden können.

Reaktionsplan bei einer Datenschutzverletzung

Da es bei einer Datenpanne schnell gehen muss, folge am besten einem strukturierten Reaktionsplan. Hast du für dein Unternehmen keinen Datenschutzbeauftragten (DSB) benannt (etwa, weil für dich keine Benennungspflicht besteht), solltest du bei einem Zwischenfall den zuständigen Landesbeauftragten für Datenschutz kontaktieren.

Definiere Verhaltensmaßnahmen für den Fall einer Datenschutzverletzung gemeinsam mit deinem DSB. Dies kann beispielsweise ein interner Response Plan für eine Datenpannen sein. So bleibst du im Ernstfall handlungsfähig, kannst eine Risikoanalyse schnell durchführen und geeignete Schutzmaßnahmen in die Wege leiten.

Orientiere dich an diesem Musterplan:

  1. Umgehend Kontakt zu deinem Datenschutzbeauftragten aufnehmen: Der DSB hilft dir bei der Risikoeinschätzung sowie beim Einleiten der nächsten Schritte.
  2. Die Datenschutzverletzung überprüfen: Da nicht jeder Vorfall automatisch eine Meldepflicht auslöst, solltest du gemeinsam mit dem DSB das Risiko für die betroffenen Personen überprüfen und einstufen. Folgende Aspekte spielen dabei eine Rolle: 
    1. Wer ist von der Datenpanne betroffen?
    1. Um welche personenbezogenen Daten geht es?
    1. Welche Risiken könnten für die betroffenen Personen entstehen und wie wahrscheinlich ist es, dass diese Risiken im konkreten Fall eintreten?
    1. Was ist das mögliche Schadensausmaß des Ereignisses?
  3. Sofortige Gegenmaßnahmen ergreifen: Werden beispielsweise Datenlecks oder Fehler in den Verarbeitungsprozessen festgestellt, sind diese umgehend zu beheben. Leite darüber hinaus sofortige Schritte zur Risikominimierung ein (etwa durch unternehmensweite Passwortänderungen).
  4. Betroffene Personen informieren: Bestehen durch die Datenpanne hohe Risiken für die persönlichen Rechte und Freiheiten der betroffenen Personen, müssen diese benachrichtigt werden.
  5. Die Datenschutzverletzung melden: Besteht ein mehr als geringes Risiko für betroffene Personen, musst du die Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde deines Bundeslandes melden. Du hast dafür 72 Stunden Zeit.
  6. Präventivmaßnahmen gegen Datenschutzverletzungen ergreifen: Haben strukturelle Fehler oder Sicherheitslücken zur Datenschutzverletzung beigetragen, sollten diese unverzüglich behoben und optimiert werden. Das Vorgehen und die Umsetzung ergänzender Maßnahmen muss in jedem Fall mit deinem DSB abgestimmt werden.

Gibt es in deiner Firma keinen Datenschutzbeauftragten, weil du gesetzlich nicht verpflichtet bist, einen zu benennen, solltest du nach Möglichkeit dennoch einen festen Ansprechpartner für Datenschutz-Fragen bestimmen. Diese Person soll in jedem Fall über entsprechende Qualifikationen verfügen, die z. B. durch den Besuch entsprechender Kurse oder Seminare belegt werden können.

EXTRA: Frust beim Datenschutz? So schützt du dich vor hohen Bußgeldern

Bußgelder bei einer Datenpanne

Wenn du eine Datenschutzverletzung meldest, wird die Aufsichtsbehörde in der Regel ergänzende Informationen zu dem Vorfall anfordern. Es ist allerdings nicht einheitlich geregelt, welche Rechtsfolgen für den Verantwortlichen nach einer Meldung zu erwarten sind. Das liegt schon allein an der großen Bandbreite möglicher Verletzungen und ihrer datenschutzrechtlichen Bewertung.

Wichtig: In jedem Fall ist eine kooperative Haltung des Verantwortlichen gegenüber der Aufsichtsbehörde geboten. Dies umfasst vor allem die proaktive und unverzügliche Bereitstellung relevanter Informationen zum Vorfall. Eine wichtige Rolle kommt dabei deinem Datenschutzbeauftragten zu, der laut DSGVO als Anlaufstelle für die Aufsichtsbehörden tätig ist.

Bei Verstößen gegen die Pflichten aus Art. 33 und 34 DS-GVO können gemäß Artikel 83 Absatz 4 DSGVO Bußgelder bis 10 Millionen Euro oder von bis zu zwei Prozent des weltweiten Jahresumsatzes deines Unternehmens verhängt werden – je nachdem, welche Zahl größer ist. Die konkrete Höhe des Bußgeldes hängt von den Umständen des Einzelfalls ab.

Hinzu kommen eventuelle Schadenersatzansprüche der betroffenen Personen. Denn gemäß Artikel 82 Absatz 1 DSGVO hat jede Person, der durch den Verstoß gegen die Bestimmungen der DSGVO ein materieller oder immaterieller Schaden entsteht, Anspruch auf Schadenersatz.

Weitere mögliche Folgen einer Datenschutzverletzung

Es sind weitere Folgen einer Datenschutzverletzung möglich, die jeder Verantwortliche beachten soll. Das Risiko, dass deinem Unternehmen ein erheblicher Imageschaden droht, ist hoch. In der Regel nehmen Kunden und Geschäftspartner Datenpannen selten auf die leichte Schulter. Wenn herauskommt, dass du dann auch noch die Meldepflicht missachtet hast, verlieren deine Geschäftspartner das Vertrauen. Deshalb empfiehlt es sich, fachlichen Rat eines erfahrenen Datenschutzbeauftragten für die Bewertung einer Datenschutzverletzung einzuholen.

Was eine Datenschutzverletzung insgesamt kosten kann

Wie viel eine Datenschutzverletzung an Kosten verursacht, lässt sich nicht verlässlich beziffern. Allein die Imageschäden sowie der Vertrauensverlust bei Kunden können ein Unternehmen in die Insolvenz stürzen. Investitionen in den Datenschutz zählen deshalb zum Pflichtprogramm und lohnen sich mit Sicherheit.

Die Frage der Haftung

Prinzipiell haftet der Verantwortliche für Datenschutzverstöße. Bei bestimmten Konstellationen kann der Datenschutzbeauftragte jedoch gegenüber der ihn benennenden Stelle haften, zum Beispiel bei Schäden, die auf Verletzung der Überwachungspflichten durch den DSB zurückzuführen sind. Wird ein Mitarbeiter des Unternehmens als Datenschutzbeauftragter benannt, sind die Grundsätze der beschränkten Arbeitnehmerhaftung zu beachten.

Anders kann es bei der Benennung eines externen DSB aussehen. Dieser kann für Beratungsfehler und mangelnde Pflichterfüllung voll haftbar gemacht werden. Es ist daher in der Regel erforderlich, dass der externe DSB eine entsprechende Versicherung mit einer angemessenen Deckungssumme abschließt.

Fazit

Der Schutz personenbezogener Daten erfordert ein verantwortliches und stets professionelles Management. Wird in deinem Unternehmen eine Verletzung des Schutzes personenbezogener Daten aufgedeckt, solltest du zunächst sofortige Gegenmaßnahmen einleiten und die möglichen Folgen für die betroffenen Personen einschätzen.

Um Datenschutzverletzungen vorzubeugen, solltest du deine vorhandenen Prozesse und Sicherheitsmaßnahmen analysieren und nach Rücksprache mit einem erfahrenen Datenschutzbeauftragten optimieren.

Wojciech Kleta
Wojciech Kleta ist ein erfahrener Volljurist und zertifizierter Datenschutzbeauftragter. Im Rahmen seiner Tätigkeit als Senior Consultant für Datenschutz bei DataGuard berät er kleine und mittelständische Unternehmen aus der Handels-, Immobilien-, und Gesundheitsbranche. Zuvor war er unter anderem als Jurist bei einer Big-Four-Gesellschaft tätig und betreute juristische Projekte zur Compliance-Beratung. Weitere praktische Erfahrungen sammelte Kleta als juristischer Mitarbeiter bei einem polnischen Industrieunternehmen und bei diversen deutschen Anwaltskanzleien. Sein Jurastudium absolvierte Kleta an der Europa-Universität Viadrina und der Universität Gent.

Kommentiere den Artikel

Bitte gib deinen Kommentar ein!
Bitte gib hier deinen Namen ein

Der Artikel hat dir gefallen? Gib uns einen Kaffee aus!