Allgemein

DSGVO-Meldepflicht: Wann müssen Unternehmen Datenpannen melden?

Eine falsch adressierte Rechnung, ein Cyberangriff oder ein verlorener USB-Stick mit Kundendaten – Eine Datenpanne kann schneller passieren als man denkt! Und auch wenn Sie noch so vorsichtig und verantwortungsvoll mit den Ihnen überlassenen Daten umgehen – Wirklich geschützt vor einer Datenpanne ist eigentlich keiner, denn jedem Unternehmen kann es passieren, dass Daten verloren gehen oder gestohlen werden. Das richtige Handeln ist dann besonders wichtig – auch im Hinblick auf ein eventuelles (unter Umständen sehr hohes) Bußgeld!

Aber was ist nun eine Datenpanne? Und wann ist so ein Vorfall nun meldepflichtig?

Was genau ist eine Datenpanne?

Gemäß Art. 4 DSGVO ist eine „Verletzung des Schutzes von personenbezogenen Daten“ eine  

Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden

Klingt kompliziert, aber einfach gesagt ist ein Data Breach bzw. eine Datenpanne ein Vorfall, durch den Unbefugte auf personenbezogene Daten zugreifen. Das kann zum Beispiel passieren, wenn

  • Sie Datenträger (z.B. Laptop, Smartphone oder USB-Stick) verlieren auf denen Kundendaten gespeichert sind.
  • Sie Opfer eines Cyberangriffs werden bei dem Kundendaten gestohlen werden.
  • Oder Sie eine wichtige E-Mail an Ihre Kunden im “cc” anstatt im “bcc” schicken, sodass alle E-Mail-Adressen für jeden Empfänger sichtbar sind.

Wann muss eine Datenpanne bei der Datenschutzbehörde gemeldet werden?

Ganz egal ob Mitarbeiter- oder Kundendaten – Jedes Unternehmen verfügt über einen bestimmten Satz an personenbezogenen Daten. Kommt es zu Pannen, Angriffen oder Vorfällen, durch die diese Daten an Dritte gelangen, muss das Unternehmen das offen melden.

Die Meldung einer Datenschutzverletzung an die Datenschutzbehörde muss unverzüglich und binnen 72 Stunden, nachdem dem Verantwortlichen diese Verletzung bekannt wurde, erfolgen. Wird der Data Breach nicht rechtzeitig oder falsch gemeldet drohen Geldstrafen von bis zu EUR 20 Mio bzw. 4% des  letztjährigen Umsatzes.

Außerdem können Betroffene unter Umständen Schadenersatzansprüche gegenüber dem Verantwortlichen geltend machen (sofern er schuldhaft und kausal gegen die Bestimmungen der DSGVO verstoßen hat). Umso wichtiger ist es, dass der Verantwortliche dann auch die entsprechenden Notfallpläne für den Fall der Fälle parat hat.

Was muss man bei der Meldung der Datenschutzpanne beachten?

Gemäß DSGVO müssen Unternehmen Datenpannen an zwei „Stellen“ melden:

  1. Wenn die Datenpanne voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führt, muss der Data Breach an die zuständige Datenschutzbehörde gemäß Art. 33 DSGVO gemeldet werden.
  2. Wenn die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person zur Folge hat, muss die Panne auch an diese gemeldet werden.

Die Einordnung, ob ein meldepflichtiger Verstoß vorliegt und ob es sich um ein hohes Risiko für den betroffenen handelt oder nicht, ist oft nicht einfach. Daher sollten Sie auf jeden Fall den Rat eines Experten einholen, bevor Sie handeln!

Gemäß Art. 33 DSGVO muss die Meldung an die Datenschutzbehörde folgende Angaben enthalten:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
  • die Kategorie der Betroffenen (um wen handelt es sich bei den Betroffenen?)
  • die ungefähre Anzahl der Betroffenen
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
  • eine Beschreibung der wahrscheinlichen Folgen der Datenpanne
  • eine Beschreibung der von Ihnen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne und zur Abmilderung ihrer möglichen Auswirkungen.

Bei der Meldung an Betroffene ist es wichtig, dass diese in „klarer und einfacher Sprache“ erfolgt und die letzten drei oben genannten Angaben aus der Meldung an die Datenschutzbehörde enthält (Datenschutzbeauftragter, Beschreibung der Folgen und der Maßnahmen). 

Die DSGVO schreibt zwar nicht vor, dass Sie eine Datenpanne schriftlich melden müssen – aus Beweisgründen würden wir Ihnen das allerdings dringlichst empfehlen!

Unser Tipp: Mit der 24/7 Notfallhilfe des DSGVO Schutzbrief stehen Ihnen bei Datenpannen oder Anfragen von Betroffenen zertifizierte Datenschutzbeauftragte zur Verfügung!

Tags: , , ,

Die fertige DSGVO Lösung für JEDE Branche und JEDEN Verein! Schützen Sie sich und alle Personen in Ihrem Unternehmen oder Ihrem Verein.

Bereits ab € 9 pro Monat – Und schon sind Ihre DSGVO-Sorgen verflogen!

Menü