Pflichten und Fristen bei Datenverstößen
Was ist ein Datenschutzverstoß?
Die DSGVO sieht umfangreiche Pflichten im Fall einer Datenschutzverletzung mit personenbezogenen Daten („Datenpannen“) vor. Diese Pflichten betreffen direkt den oder die Verantwortlichen. Verantwortliche sind dabei verpflichtet, Datenpannen an die zuständige Aufsichtsbehörde zu melden.
Eine Datenpanne liegt vor, wenn personenbezogene Daten unrechtmäßig vernichtet werden, verloren gehen, unrechtmäßig verändert werden oder es eine unbefugte Offenlegung oder einen unbefugten Zugang gegenüber einem Unternehmensexternen erfolgt.
Dann sollten Sie umgehend Ihren Datenschutzbeauftragten kontaktieren und sich professionelle Hilfe holen.
Gesetzliche Anforderungen bei einer Datenpanne
Eine Datenpanne muss innerhalb von 72 Stunden nach Bekanntwerden durch den Verantwortlichen bei der Aufsichtsbehörde angezeigt werden.
Unter Umständen müssen auch die Personen informiert werden, die durch die Datenpanne unmittelbar betroffen sind.
Nicht jeder Fehlversand oder Verlust von Daten ist zwingend meldepflichtig, eine Meldepflicht besteht beispielsweise in den folgenden Fällen:
-
Fehlversand personenbezogener Daten an einen externen Dritten (nicht im Unternehmen)
-
Hackerangriff auf die Systeme
-
Verlust/Diebstahl von bspw. Gehaltslisten, Aufzeichnungen über Mitarbeiter
-
Offenlegung von personenbezogenen Daten in einem Fake Call / Social Engineering
Typischerweise nicht meldepflichtig sind folgende Sachverhalte:
-
Fehlversand innerhalb des Unternehmens
-
Verlust von Hardware, die entsprechend dem Stand der Technik verschlüsselt ist
-
unter Umständen ein Fehlversand/Offenlegung an eine externe Stelle, wenn für den Betroffenen kein Risiko besteht (bspw., wenn lediglich Daten betroffen sind, die bereits öffentlich zugänglich sind und durch die Offenlegung kein Risiko eines Identitätsdiebstahls oder Missbrauchs besteht; dies wäre bspw. der Fall, wenn es nur den Namen einer Person betrifft).
Empfohlene Vorgehensweise bei einer Datenpanne
Wenden Sie sich umgehend an Ihren Datenschutzbeauftragten.
Treffen Sie Maßnahmen, um eine solche Datenpanne zukünftig zu verhindern. Wird eine Datenpanne gemeldet, möchte die Behörde wissen ob Maßnahmen ergriffen werden, die solche Pannen zukünftig verhindern.
Handelt es sich um einen gezielten Angriff auf Ihre Daten, kann es zudem hilfreich sein die Strafverfolgungsbehörden zu informieren. Diese können Sie bei der Kommunikation mit den Behörden unterstützen.
Dokumentations- und Informationspflichten
Bei einer Datenpanne muss zunächst die Risikostufe auf Grundlage einer Risikoanalyse ermittelt werden. Neben der Eintrittswahrscheinlichkeit des Schadens muss auch die Schwere beurteilt werden. Aus der Eintrittswahrscheinlichkeit und der Schwere der möglichen Schäden ergibt sich dann die Risikostufe. Die Risikostufe wiederum entscheidet dann darüber, ob eine Meldung an die Aufsichtsbehörde erforderlich ist.
Eine interne Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO besteht in jedem Fall. Egal welches Risiko im Raum steht, sollte der Verantwortliche im Sinne der DSGVO also alle Informationen zum jeweiligen Datenschutzvorfall dokumentieren.
Kommt der Verantwortliche in seiner Risikoanalyse zu dem Ergebnis, dass nur ein geringes Risiko vorliegt, ist keine Meldung an die Aufsichtsbehörde erforderlich. Besteht jedoch ein Risiko, muss eine Meldung an die zuständige Aufsichtsbehörde nach Art. 33 Abs. 1 DSGVO vorgenommen werden.
Liegt sogar ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen vor, so müssen die Aufsichtsbehörde und auch die Betroffenen selbst darüber informiert werden.
Die Risikostufe entscheidet also darüber, ob eine Meldung an die Aufsichtsbehörde erforderlich ist oder nicht. Grundsätzlich hat der Verantwortliche i.S.d. DSGVO 72 Stunden Zeit diese Abschätzung vorzunehmen und die Aufsichtsbehörde zu informieren. Die Zeit läuft dabei, sobald der Verantwortliche Kenntnis von der Datenschutzverletzung erhalten hat. Ist ein hohes Risiko für die personenbezogenen Daten anzunehmen, so muss der Verantwortliche auch die Betroffenen unverzüglich informieren.
Verspätete oder versäumte Meldung
Versäumte oder verspätete Meldungen stellen einen Verstoß dar und können mit Bußgeld geahndet werden. Daher raten die Aufsichtsbehörden dringend, bei Verletzungen des Schutzes personenbezogener Daten diese ordentlich zu melden. Sofern von einer Meldung abgesehen wird, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen bestand, ist dies sorgfältig zu dokumentieren und zu begründen.
Melden hingegen Dritte die Datenpanne, dann steht die Frage im Raum, warum die Verantwortlichen diese Panne nicht selbst gemeldet haben. In diesem Fall kann von einem Bußgeld durch die Aufsichtsbehörde ausgegangen werden.
Quellen:
https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_18.pdf
Meldepflicht für Verantwortliche - Verletzungen des Schutzes personenbezogener Daten
