Datenschutz Vorfälle

Meldung von Datenschutzverletzungen („data breach notification“)


Was ist eine Datenschutzverletzung?

Datenschutzverletzungen sind Vorfälle oder Pannen, bei denen der gesetzlich geforderte Schutz der personenbezogenen Daten nicht mehr gewährleistet ist und diese Daten (potenziell) Unbefugten zur Verfügung stehen.

Was sind die häufigsten Datenschutzverletzungen?

Solche Vorfälle und Pannen sind vielfältig und lassen sich nicht abschließend aufzählen. Hier einige „Klassiker“, die in Unternehmen immer wieder vorkommen.

  • die Kompromittierung von Systemen und der Verlust von Daten durch Hackerangriffe, Viren (Trojaner), Phishing- und Social Engineering-Angriffe
  •  der Verlust oder Diebstahl von Dokumenten mit personenbezogenen Daten<
  • der Verlust oder Diebstahl von technischen Geräten mit personenbezogenen Daten (USB-Stick, Notebook, Smartphone etc.) – auch wenn diese verschlüsselt waren
  • die unrechtmäßige Löschung/ Zerstörung von Daten durch Unbefugte
  • das Versenden vertraulicher E-Mails an falsche Empfänger
  • das Versenden von Datenträgern mit personenbezogenen Daten ohne ausreichende Schutzmaßnahmen (z.B. Verschlüsseln von USB-Sticks, Auslieferung von Dokumenten via Kurier)
  • die nicht sachgerechte Entsorgung von Datenträgern mit personenbezogenen Daten
  • der Zutritt von Unbefugten zu Büroräumen (z.B. Personalabteilung) oder Serverräumen
  • der Zugang von Unbefugten zu IT-Systemen
  • der Zugriff von Unbefugten auf Informationen durch nicht gesperrte PC-Bildschirme
  • der Zugriff von Unbefugten auf Informationen durch Ausdrucke auf falschen Druckern

Welche Meldepflichten gelten nach der DSGVO?

Die DSGVO knüpft nicht mehr an besondere Arten von personenbezogenen Daten an. Eine Meldung an die Aufsichtsbehörde hat immer zu erfolgen, es sei denn, dass die Datenpanne „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt. Die Meldung hat unverzüglich zu erfolgen.

Auch betroffene Personen müssen nicht über jede Datenschutzverletzung informiert werden, sondern nur dann, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge“ hat.

In der Praxis besteht die Schwierigkeit darin zu entscheiden, wie hoch ein Risiko für die betroffene Person ist.

 Innerhalb welcher Frist muss eine Datenschutzverletzung gemeldet werden?

Die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde muss nach der DSGVO durch den Verantwortlichen „unverzüglich und möglichst binnen 72 Stunden“ erfolgen.

Die 72-Stunden-Vorgabe ist nicht als starre Frist zu verstehen. Sie ist abhängig von Art, Schwere und Folgen der Verletzung. Daher kann auch eine Meldung, die innerhalb der 72-Stunden-Frist bei der Aufsichtsbehörde eingeht, schon nicht mehr fristgerecht sein.

Nach Ablauf von 72 Stunden besteht aber in jedem Fall ein besonderer Rechtfertigungszwang für den Verantwortlichen. Er muss der verspäteten Meldung eine Begründung für die Verspätung beifügen.

Auch die betroffenen Personen sind „unverzüglich“ zu informieren. Hierbei gelten andere Maßstäbe, als dies bei der Meldung gegenüber einer Aufsichtsbehörde der Fall ist. Nach der DSGVO soll die Benachrichtigung „stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde und nach Maßgabe der von dieser oder von anderen zuständigen Behörden wie beispielsweise Strafverfolgungsbehörden erteilten Weisungen erfolgen“.

Eine verzögerte Meldung an Betroffene kann auch dann gerechtfertigt sein, wenn der Verantwortliche zunächst angemessene Maßnahmen zur Datensicherheit ergreift, indem er die Sicherheitslücken in seinem System analysiert und behebt (sog. „Responsible Disclosure“). Eine verzögerte Meldung sollte auch in diesem Fall mit der Aufsichtsbehörde abgestimmt werden.

Datenschutzverletzungen müssen dokumentiert werden

Ab dem 25. Mai 2018 müssen alle Datenschutzverletzungen im Unternehmen dokumentiert werden. In der DSGVO heißt es dazu: „Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen.“

Geldbußen bei Nichteinhaltung der Meldepflicht

Die Aufsichtsbehörde kann im Fall der Nichteinhaltung der Meldepflicht Geldbußen von bis zu 10 Mio. EUR oder von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen. Der Bußgeldrahmen verdoppelt sich nach Art. 83 Abs. 5 lit. e) DSGVO, wenn der Verantwortliche oder der Auftragsverarbeiter einer Anweisung durch die Aufsichtsbehörde nicht nachkommt.

Haben Sie Fragen zur Meldepflicht bei Datenschutzverletzungen?
Benötigen Sie Hilfe bei einem konkreten Vorfall?
Kontaktieren Sie uns – wir helfen Ihnen gerne!

Ihr Ansprechpartner

Team Datenschutz & Informationssicherheit

Telefon: +49 (0)30 293 98 320 
Mail: info@procado.de 
Mail: edsb@procado.de