Die DSGVO und Datenpannen: Wann sind Sie zu einer Meldung verpflichtet?

(7 Bewertungen, 5.00 von 5)

Ein Sachbearbeiter veröffentlichte versehentlich Daten? Ein Dieb stahl Laptops und USB-Sticks? Hacker griffen Ihr Unternehmen an? Sicherheitsverstöße sind nicht gerade selten und der Albtraum eines jeden Datenschutzbeauftragten. Wenn Sie betroffen sind, sollten Sie schnell handeln. Die DSGVO schreibt vor, Datenpannen umgehend zu melden. Doch wann besteht eine Meldepflicht? Wer ist alles zu benachrichtigen? Wie ist diese Meldung auszugestalten? Gibt es eine Muster-Vorlage?

 Inhaltsverzeichnis

  1. Was ist eine Datenpanne nach der DSGVO?
  2. Datenpanne: Meldung nur bei gesteigertem Risiko?
  3. Datenpanne melden: Wie schnell müssen Sie vorgehen?
  4. Datenpanne: Was müssen Sie in einer Meldung angeben?
  5. Datenpanne nicht melden: Strafe möglich?
  6. Was gilt für Auftragsverarbeiter?
  7. Checkliste

1. Was ist eine Datenpanne nach der DSGVO?

Sie sind von einer Datenschutzverletzung betroffen? Dann müssen Sie jetzt aus Gründen der Datensicherheit prüfen, ob es sich um eine Datenpanne handelt. Sie sind nicht dazu verpflichtet, bei jedem Datenleck eine Meldung der Datenpanne bei der Aufsichtsbehörde einzureichen. Sie müssen eine Datenpanne nur melden, wenn sie für den Betroffenen mit Risiken verbunden ist. Eine Verletzung personenbezogener Daten liegt nach Art. 4 Nr. 12 DSGVO vor, wenn personenbezogene Daten verlorengegangen sind bzw. vernichtet, verändert oder unbefugt offengelegt wurden. Auf der Grundlage dieser Definition leiten wir die folgenden Datenpannen Beispiele ab:

Anzeige
  • Sie verlieren einen Laptop oder ein Mobiltelefon mit personenbezogenen Daten.
  • Hacker greifen die Datenbank an und stehlen personenbezogene Daten.
  • Unbekannte brechen ein und stehlen Dokumente oder ziehen Daten auf einen USB-Stick.

Als Datenverarbeiter unterliegen Sie einer Dokumentationspflicht. Dokumentieren Sie den Vorfall und bewerten Sie in einem nachgelagerten Verfahren, ob Sie die Datenpannen melden müssen oder nicht.

2. Datenpanne: Meldung nur bei gesteigertem Risiko?

datenschutz10

Sie haben einen Laptop entsorgt, löschten die Daten aber nicht von der Festplatte? Bei verschlüsselten Daten ist es unwahrscheinlich, dass etwas passiert. In einer solchen Situation löst Ihr Verhalten vermutlich keine Meldepflicht nach der DSGVO aus. Denken Sie daran, dass Sie bei einer meldepflichtigen Datenpanne sowohl die Behörde als auch die Betroffenen informieren müssen. Bei einer Datenpanne ist die Meldepflicht dann aber an verschiedene Voraussetzungen geknüpft.

Aufsichtsbehörde: Die Meldepflicht besteht schon bei einem „normalen Risiko“.

Betroffene: Betroffene sind erst dann zu benachrichtigen, wenn die Schutzverletzung ein „gesteigertes Risiko“ für ihre Rechte und Freiheiten auslöst.

Nehmen Sie für eine Datenpanne nach der DSGVO das Beispiel mit der Festplatte. Entsorgen Sie eine funktionierende Festplatte, ist es möglich, dass sie jemand aus dem Müllbehälter nimmt. Dabei kann es sich um Betriebsspionage handeln. Bei einer verschlüsselten Festplatte sind die Daten aber nur unter einem erheblichen Aufwand oder gar nicht entschlüsselbar. Das Risiko, dass Spione die Sicherheitslücke ausnutzen, ist also sehr gering. Sie sind in einer solchen Situation eventuell dazu verpflichtet, den Vorfall der Aufsichtsbehörde zu melden. Da das Risiko aber nicht „gesteigert“ ist, entfällt die Meldepflicht gegenüber den Betroffenen – also gegenüber denjenigen Personen oder Unternehmen, deren personenbezogene Daten auf der Festplatte gespeichert sind. In den folgenden Situationen besteht nach Art. 34 III DSGVO (§ 42a BDSG alte Fassung) keine Meldepflicht:

  • Sie trafen technische und organisatorische Sicherheitsvorkehrungen (z.B. Verschlüsselung).
  • Sie stellen durch nachgelagerte Maßnahmen sicher, dass höchstwahrscheinlich kein Risiko mehr besteht.
  • Die Meldung betrifft einen großen Personenkreis, der nur schwer zu ermitteln ist. Dann müssen Sie jedoch auf andere Maßnahmen ausweichen, beispielsweise auf eine öffentliche Bekanntmachung.

Ob eine Meldepflicht besteht oder nicht, hängt also immer von den konkreten Umständen der jeweiligen Situation ab.

3. Datenpanne melden: Wie schnell müssen Sie vorgehen?

datenschutz13

Liegt eine Datenpanne vor, müssen Sie diese der zuständigen Datenschutzbehörde innerhalb von 72 Stunden anzeigen. Bei der betroffenen Person bzw. dem betroffenen Unternehmen gelten andere zeitliche Vorgaben. Hier sind Sie dazu verpflichtet, die Meldung unverzüglich durchzuführen. „Unverzüglich“ bedeutet, dass Sie die Meldung so schnell wie nur möglich durchführen – jedenfalls ohne schuldhaft zu zögern.

Faustregel: Je risikobehafteter die Datenschutzverletzung ist, desto schneller sollte die Meldung erfolgen.

In dem Beispiel mit der Festplatte reicht eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden aus. Das Datenleck ist den Betroffenen nicht zu melden, da es unwahrscheinlich ist, dass jemand die Daten entschlüsselt. Sollten Sie dennoch einer Meldepflicht unterliegen, können Sie sich ausreichend Zeit lassen. Denn es ist unwahrscheinlich, dass ein Spion die Festplatte aus dem Müll heraussucht. Sollte dies dennoch geschehen, müsste er zunächst die Verschlüsselung umgehen, was viel Zeit beansprucht.

Ob eine Datenpanne zu melden ist, hängt davon ab, ob ein Risiko für die Rechte und Freiheiten der betroffenen Person vorliegt und wie dieses zu bewerten ist. Deshalb sollten Sie Datenschutzverstöße immer dokumentieren. In einem anschließenden Meeting ist dann zu klären, ob tatsächlich ein Risiko vorliegt und ob das Datenleck nur der Aufsichtsbehörde oder auch den Betroffenen zu melden ist.

4. Datenpanne: Was müssen Sie in einer Meldung angeben?

Datenpanne: Was ist zu tun, wenn Sie einen meldepflichtigen Vorgang feststellen? Zunächst sollten Sie eine Meldung erstellen. Der Umfang dieser Meldung hängt davon ab, ob sie nur an die Aufsichtsbehörde oder auch an einen Betroffenen erfolgt.

a) Meldung gegenüber der Aufsichtsbehörde

  • Die Meldung gegenüber der Aufsichtsbehörde richtet sich nach Art. 33 DSGVO. Meldungen müssen die folgenden Punkte enthalten:
  • Welche Art von Verletzung liegt vor? (Datenverlust, Diebstahl usw.)
  • In welche Kategorie fallen die Betroffenen? (Kunden, Mitarbeiter)
  • Wie viele Betroffene gibt es?
  • Welche Kategorien von Datensätzen sind betroffen?
  • Name und Anschrift des Datenschutzbeauftragten.
  • Welche Folgen zieht die Schutzverletzung nach sich? (z.B. finanzielle Nachteile)
  • Welche Schutzmaßnahmen haben Sie ergriffen oder möchten Sie ergreifen?
  • Welche Gegenmaßnahmen sind noch denkbar?

Das Gesetz schreibt nicht vor, dass Sie die Meldung per Fax oder Brief einreichen müssen. Wir empfehlen Ihnen dies aber schon aus Beweisgründen. Sie sollten die zuständige Aufsichtsbehörde zuvor telefonisch kontaktieren.

Denken Sie daran, dass Sie der Datenschutzbehörde den Verstoß innerhalb von 72 Stunden melden müssen. Wenn Sie den telefonischen Anruf nicht durchführen, riskieren Sie ein Bußgeld.

b) Meldung gegenüber den Betroffenen

Sie möchten eine Meldung an die Person oder das Unternehmen senden, das von dem Datenleck betroffen ist? Diese Meldung ist speziell zu gestalten. Sie müssen den Betroffenen keine umfassenden Informationen über die Datenschutzverletzung bereitstellen. Die folgenden Informationen müssen Sie der zuständigen Datenschutzbehörde aber auf jeden Fall übermitteln:

  • Name und Anschrift des Datenschutzbeauftragten
  • Art der Schutzverletzung
  • wahrscheinliche Folgen der Datenschutzverletzung
  • ergriffene und empfehlenswerte Gegenmaßnahmen

Für Ihr Unternehmen ist die Aufsichtsbehörde des Bundeslandes zuständig, in dem Ihr Unternehmen seinen Sitz hat. Es kommt ausschließlich darauf an, wo der Sitz des Unternehmens ist; wo sich die handelnde Zweigstelle, Filiale oder Geschäftsstelle befindet, ist irrelevant.

Achten Sie darauf, die Meldung in einer klaren und verständlichen Sprache zu verfassen. Sie dürfen den Empfänger keinesfalls in einem verklausulierten „Juristendeutsch“ ansprechen. Die Meldung ist so auszugestalten, dass ihr Inhalt mit einem beiläufigen Blick erkennbar ist. Sie darf keine sachfremden Bezüge und werbenden Maßnahmen enthalten. Letztlich müssen Sie zwei Formulare anfertigen – eines für die Aufsichtsbehörde und eines für die Betroffenen. Nutzen Sie für eine Datenpanne ein DSGVO Muster.

Tipp:
Wenn Sie von einer Datenpanne betroffen sind und Hilfe benötigen können Sie sich gern an die Kanzlei Siebert Goldberg wenden: www.kanzlei-siebert.de/datenschutz/

Sören Siebert
Sören SiebertRechtsanwalt

Tipp: Einige Datenschutzbehörden ermöglichen Ihnen, die Meldung online einzureichen.

5. Datenpanne nicht melden: Strafe möglich?

datenschutz14

Die Datenschutzbehörden sind häufig recht kulant. Sie haben ein Ermessen, dürfen also unter mehreren Optionen wie einer Verwarnung und einer Geldbuße im Einzelfall eine Option auswählen. Welche Option sie auswählen, hängt immer von der individuellen Situation und dem Verhalten der Gegenseite ab.

Die DSGVO stellt die Nichterfüllung von Meldepflichten unter Strafe, Art. 83 IVa DSGVO. Es sind Bußgelder in Höhe von bis zu zehn Millionen Euro möglich, oder bis zu zwei Prozent des weltweiten Umsatzes des vorherigen Geschäftsjahrs. Die Datenschutzbehörden setzen diese Strafen auch tatsächlich durch. Dies bewiesen Vorfälle der jüngeren Vergangenheit.

Ein aktuelles Beispiel:

Der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg verhängte mit Bescheid vom 21.11.2018 ein (noch sehr mildes) Bußgeld in Höhe von 20.000 Euro. Dieses richtete sich gegen eine Social-Media-Plattform, die die Daten ihrer Nutzer nicht verschlüsselte.

6. Was gilt für Auftragsverarbeiter?

Es liegt eine Datenpanne bei einem Auftragsverarbeiter vor? Auftragsverarbeiter unterliegen keiner Meldepflicht. Sie sind aber dazu verpflichtet, denjenigen zu unterstützen, der meldepflichtig ist. Die DSGVO schreibt dem Auftragsverarbeiter nicht genau vor, was er zu machen hat. Nehmen Sie deshalb schon beim Vertrag zur Auftragsverarbeitung entsprechende Regelungen auf. Diese können sich auf die folgenden Themen beziehen: Umfang der Unterstützungspflicht, bereitzustellende Informationen und damit verbundene Fristen.

Beachten Sie, dass Sie einer Dokumentationspflicht unterliegen. Wir empfehlen Ihnen, unabhängig von einer etwaigen Meldepflicht, eine „Historie der Datenpanne“ zu erstellen.

7. Checkliste

Sie sind von einer Datenschutzverletzung betroffen? Dann sollten Sie folgendermaßen vorgehen:

Erstellen Sie einen Ablaufplan.

Erstellen Sie einen Tätigkeitsbericht für die interne Aufbereitung.

Beurteilen Sie, ob Sie einer Meldepflicht unterliegen.

Kontaktieren Sie die zuständige Datenschutzbehörde vorab telefonisch.

Lassen Sie sich bei der Erstellung einer Meldung bei Datenpannen von Datenschutzexperten beraten: Jetzt bei Legaltrust informieren!

Schulen Sie Ihre Mitarbeiter im Umgang mit einem Datenverlust.

Zusammengefasst für Sie: Die 7 wichtigsten Fragen und Antworten zur Meldepflicht bei Datenpannen

1. Wann liegt eine Datenpanne vor?

Eine Datenpanne liegt in verschiedenen Situationen vor, beispielsweise wenn personenbezogene Daten verloren gegangen sind, oder wenn sie vernichtet, verändert oder unbefugt offengelegt wurden.

Beispiele:

Verloren gegangen = Ein Mitarbeiter vergisst ein MacBook mit Kundendaten in einem Café. Dieses ist nicht wieder auffindbar.

Vernichtet = Ein Brand vernichtet die Server mit den darauf befindlichen Kundendaten. Diese waren nicht gesichert.

Verändert = Ein Hacker dringt auf die Firmenrechner ein und manipuliert die Kundendaten.

Unbefugt offengelegt = Ein Systemfehler sorgt dafür, dass Kundendaten auf der Homepage öffentlich einsehbar sind.

2. Wann besteht eine Meldepflicht?

Eine Datenpanne löst nur dann eine Meldepflicht aus, wenn sie zu einem Risiko für den oder die Betroffenen führt. Ein normales Risiko löst eine Meldepflicht gegenüber der Datenschutzbehörde aus. Für eine Meldepflicht gegenüber den Betroffenen ist ein erhöhtes Risiko erforderlich.

3. Wann entfällt die Meldepflicht?

Eine Meldepflicht entfällt, wenn Sie technische und organisatorische Sicherheitsvorkehrungen trafen, die Daten also beispielsweise verschlüsselten. Sie unterliegen keiner Meldepflicht, wenn Sie durch nachgelagerte Gegenmaßnahmen das Folgerisiko erheblich reduzieren. Gleiches gilt, wenn sehr viele Personen oder Unternehmen betroffen sind und der Betroffenenkreis nur schwer zu ermitteln ist. Dann müssen Sie aber gegebenenfalls eine öffentliche Bekanntmachung durchführen.

4. In welchem Zeitraum ist eine Meldung durchzuführen?

Melden Sie die Datenpanne am besten schon einmal telefonisch der Datenschutzbehörde, spätestens aber nach 72 Stunden. Bei den betroffenen Personen oder Unternehmen gelten andere Vorgaben: Hier müssen Sie „unverzüglich“ handeln.

5. Wie ist eine Meldung zu gestalten?

Eine Meldung ist nicht schriftlich zu verfassen. Aus Dokumentations- und Beweiszwecken empfehlen wir dies aber. Verfassen Sie die Meldung in einer klaren und verständlichen Sprache. Wir empfehlen Ihnen, eine Mustervorlage zu verwenden. Diese finden Sie im Premium-Bereich von eRecht24.

6. Welche Strafen drohen mir bei Zuwiderhandlung?

Ihnen drohen Bußgelder in Höhe von bis zu zehn Millionen Euro, oder bis zu zwei Prozent des weltweiten Umsatzes des vorherigen Geschäftsjahrs. Die Datenschutzbehörden verhängten auch schon dahingehende Bußgelder.

7. Was gilt für Auftragsverarbeiter?

Auftragsverarbeiter unterliegen zwar selbst keiner Meldepflicht, müssen aber die Verantwortlichen unterstützen. Da die DSGVO keine praxisgerechten Lösungsansätze enthält, sollten Sie sich vertraglich absichern. Legen Sie schon bei Vertragsschluss fest, welche Informationen Sie wann bereitstellen müssen.

Sagen Sie uns Ihre Meinung zum Thema.
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Phishing: Auch Mail-Accounts von Yahoo und Googlemail betroffen Kürzlich wurde bekannt, dass Hotmail die Mail-Konten von mehr als 10.000 Nutzern sperren musste, weil persönliche Konteninformationen durch massives Phishing ab...
Weiterlesen...
Online-Durchsuchungen - Was sagen die Parteien? Die CDU/CSU begrüßt die Pläne des Bundesinnenministers Schäuble, Online-Durchsuchungen möglichst schnell möglich zu machen. Der Chef der Unions-Fraktion im Bund...
Weiterlesen...
Viren, Trojaner, Phishing und Co: 10 Regeln zum Schutz Ihrer Daten Unsere Computer und Daten sind unzähligen Gefahren im Internet ausgesetzt. Schon der Verlust von privaten Dokumenten oder Fotos ist schmerzlich. Der Missbrauch ...
Weiterlesen...
Abmahnung Seitenbetreiber: Versteckte Datenschutzerklärung kann abgemahnt werden Dass ein Impressum für Webseiten und Fanseiten in sozialen Netzwerken Pflicht ist, hat sich bereits herumgesprochen. Weniger bekannt ist bisher, dass die Datens...
Weiterlesen...
Telekom darf IP - Adressen bei Nutzung einer Flatrate nicht speichern IP - Adressen dienen der Kommunikation zwischen zwei Computern oder anderen technischen Geräten  im Internet. Internet-Service-Provider (ISP) vergeben meis...
Anzeige DSGVO
Anzeige

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Prüfen Sie, ob Ihre Widerrufsbelehrung aktuell ist.

Geben Sie die URL Ihrer Widerrufsbelehrung ein.
Beispiel Shop: http://www.shopxyz.de/widerruf.html
Beispiel eBay: http://www.ebay.de/usr/EBAYUSER

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

Inhalte kostenlos übernehmen

Der eRecht24 Newsticker

kostenfreie aktuelle Inhalte zum Internetrecht

Individuell für Ihre Website angepasst!

 

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMEOrdnungsgemäße Rechnungen einfach online erstellen!Suchmaschienoptimierung & OnlinemarketingRechtsschutzversicherungRechtliche OnlineShop-PrüfungFairness im Handel
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support