Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

28. Juli 2023

DSGVO: So gehen Sie mit Datenpannen richtig um

DSGVO: So gehen Sie mit Datenpannen richtig um
Bild: iStock.com / PeopleImages
5,00 (5)
Inhalte in diesem Beitrag
Meldepflichten von Datenschutzverstößen
Einen Prozess zu haben, um Datenpannen nach der Datenschutz-Grundverordnung (DSGVO) zu melden, ist ein „Must have“. Wann aber ist ein Vorfall meldepflichtig? Und wie muss die Meldung genau ausgestaltet sein?

Kommt es zu einer Datenpanne, stellt sich die Frage, ob, wann und wie Datenpannen nach der Datenschutz-Grundverordnung (Art. 33 und 34 DSGVO) den zuständigen Aufsichtsbehörden zu melden und die betroffenen Personen zu benachrichtigen sind.

Umfasst von der Meldepflicht sind unterschiedslos alle Verantwortlichen nach Art. 4 Abs. 5 DSGVO, sowohl öffentliche wie nicht öffentliche Stellen.

➧ Wann ist ein Vorfall meldepflichtig?

Die DSGVO verwendet für den umgangssprachlichen Begriff „Datenpanne“ die Bezeichnung „Schutzverletzung personenbezogener Daten“ (Art. 4 Nr. 12 DSGVO). Hiermit ist eine Verletzung der Sicherheit der Datenverarbeitung im weitesten Sinne gemeint.

Der Begriff umfasst folgende Verletzungssituationen personenbezogener Daten:

  • Vernichtung: alle Formen der Datenlöschung, die Daten unwiederbringlich machen, gleich ob rechtlich unzulässig oder unbeabsichtigt
  • Verlust: unvorhergesehenes Verlorengehen von Daten, gleich ob temporär oder dauerhaft
  • Veränderung: inhaltliches Umgestalten von Daten, Daten erhalten neuen Informationsgehalt
  • unbefugte Offenlegung / Weitergabe: Dritter erhält Daten, Weitergabe nicht durch Einwilligung oder Rechtsvorschrift gedeckt
  • unbefugter Zugang: s.o.; aber auch keine oder fehlerhafte Berechtigungskonzepte können schon dazu führen, da tatsächliche Kenntnisnahme nicht erforderlich ist

Daten- und IT-Sicherheit stehen im Vordergrund

Die Verletzungsarten weisen einen Zusammenhang mit den IT-Sicherheitszielen Vertraulichkeit, Verfügbarkeit und Integrität auf. Die Meldepflicht tritt ein, wenn Schutzmaßnahmen nicht effektiv waren und dadurch Vorgaben der Verordnung verletzt wurden.

Aufgrund dessen, dass eine unrechtmäßige Kenntnisnahme Dritter nicht mehr erforderlich ist, erübrigt sich auch die Unterscheidung zwischen einer Softwarepanne und einem Hackerangriff. Nur eine infrastrukturelle Verletzung der IT-Sicherheit ohne Personenbezug ist nicht erfasst.

WICHTIG: Die Datenschutz-Grundverordnung kennt keine Beschränkung auf bestimmte Datenkategorien. Die Meldepflicht umfasst personenbezogenen und personenbeziehbaren Daten, unabhängig vom Kontext. Die Pflicht besteht auch unabhängig davon, ob die Schutzverletzung verschuldet, unbeabsichtigt oder widerrechtlich erfolgt ist.

➧ Wie wird eine Schutzverletzung „festgestellt“?

Die Kenntnis der Schutzverletzung steht an erster Stelle. Dann stellt sich die Frage, ob auf Basis der Informationen, die der Verantwortliche über die Schutzverletzung hat, eine „sinnvolle“ Meldung möglich ist.

Mithin ist entscheidend, wie viele Informationen über Art, Umfang und weitere Umstände der Schutzverletzung vorliegen. Ein bloßer Verdacht, z.B. seitens der IT-Abteilung oder eines Mitarbeiters, reicht ebenso wenig aus wie die vage Feststellung des Vorfalls ohne nähere Informationen.

➧ Ist eine kumulative Meldung einer Datenpanne möglich?

Es ist jedoch nicht erforderlich, dass alle Informationen, die in der Meldung gegenüber der Aufsichtsbehörde enthalten sein müssen, gleich nach Kenntnisnahme / Feststellung der Schutzverletzung vorliegen.

Die Meldung muss nämlich nicht zwingend als Ganzes in einem Paket erfolgen. Art. 33 Abs. 4 gestattet ein stufenweises Vorgehen. Das ist praxisgerecht, da nur in seltenen Fällen gleich zu Beginn alle relevanten Informationen über die Schutzverletzung vorliegen dürften.

Nach Art einer „Erstmeldung“ kann es erforderlich sein, weitere Meldungen an die Aufsichtsbehörde zu schicken. Immer dann, wenn neue Informationen bekannt werden, sind diese in einer Folgemeldung weiterzugeben, die einen Verweis auf vorausgehende Meldungen enthält. Grundsätzlich gilt daher:

Die kumulative Meldung zieht sozusagen eine „Ermittlungspflicht“ des Verantwortlichen nach sich, bis alle Informationen zusammengetragen sind, die die Aufsichtsbehörde benötigt, um den Vorfall zu prüfen (Art. 33 Abs. 3 Buchst. a–d DSGVO).

➧ Hauptvoraussetzung: Risikoprognose

Zentraler Anknüpfungspunkt, um den Vorfall zu beurteilen und um die Frage zu beantworten, ob überhaupt eine Meldung an die Aufsichtsbehörde und zusätzlich an die betroffenen Personen erfolgen muss, ist dann das Risiko, das durch die Schutzverletzung besteht oder zu erwarten ist.

Wenige Ausnahmen

Allgemeine Ausnahmen von der Meldepflicht, die etwa an die Größe des Unternehmens oder an die Art der Datenverarbeitung anknüpfen, existieren nicht. Nur wenn sich sicherstellen lässt, dass durch die Schutzverletzung kein Risiko für die Rechte und Freiheiten der Betroffenen besteht, darf die Meldung unterbleiben.

Datenschutz-Management kompakt online

Datenschutz-Management kompakt ist die umfassende Lösung für die effiziente und rechtssichere Umsetzung der gesetzlichen Datenschutz-Vorgaben.

Profitieren Sie von den Erläuterungen und Umsetzungstipps zahlreicher erfahrener Datenschutzbeauftragter und Fachanwälten zum Datenschutzrecht.

 

➧ Wer ist wann über die Datenpanne zu informieren?

Es sind nicht mehr Aufsichtsbehörde und Betroffene gleichermaßen zu benachrichtigen. Die DSGVO enthält eine  abgestufte Melde- und Benachrichtigungspflicht:

  • Die betroffenen Personen müssen – im Gegensatz zur Aufsichtsbehörde – erst dann benachrichtigt werden, wenn durch die Schutzverletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten besteht.
  • Um die Meldepflicht gegenüber der Aufsichtsbehörde auszulösen, reicht ein „normales“ Risiko, das keiner besonderen Qualifizierung bedarf.

➧ Welchen Inhalt muss eine Meldung an die Aufsichtsbehörde haben?

Hat die Risikoprognose ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen:

  • Beschreibung der Art der Verletzung (z.B. Datenverlust)
  • Kategorien von Betroffenen (z.B. Mitarbeiter, Kunden)
  • (ungefähre) Anzahl der Betroffenen, Kategorien von Datensätzen und ungefähre Anzahl der betroffenen Datensätze (z.B. Datensätze von 351 Kunden und 26 Mitarbeitern betroffen, darunter Anzahl x besonders schützenswerte Daten)
  • Name und Kontaktdaten des / der DSB oder sonstige Anlaufstelle
  • Beschreibung der wahrscheinlichen Folgen der Schutzverletzung (z.B. finanzielle Nachteile durch unbefugte Offenlegung von Bank- und Kreditkartendaten)
  • Beschreibung ergriffener und vorgeschlagener Maßnahmen, um die Schutzverletzung zu „beheben“ und um mögliche Folgen abzumildern
  • Welche Maßnahmen wurden bereits ergriffen, zur Reduzierung welches Risikos und welcher Schutzverletzung? Beispiel: Zur Reduzierung physischer Schäden durch den nicht avisierten Datenverlust der Patientenakten wurde ein Datenwiederherstellungsverfahren angewandt, wodurch die Daten zur Prozentzahl x wiederhergestellt werden konnten.
  • Welche Maßnahmen wurden – etwa aus zeitlichen Gründen – noch nicht ergriffen, können aber das Risiko weiter reduzieren?

➧ Welche Form muss die Meldung haben?

Eine besondere Form ist nicht vorgesehen. Gerade in dringenden Fällen bietet sich aber vorab eine telefonische Kontaktaufnahme mit der Aufsichtsbehörde an. Eine ausführliche Meldung, z.B. per Brief oder per Fax, folgt dann dem Gespräch.

Schnelligkeit vor Vollständigkeit

Die (Erst-)Meldung an die Aufsichtsbehörde muss unverzüglich, aber grundsätzlich innerhalb von 72 Stunden erfolgen. Diese Frist beginnt mit der Feststellung. Dabei ist ein etwaiges „Kennen-Müssen“ zu beachten. Hier ist ein Untätigbleiben besonders risikoreich. Die zeitliche Frist gilt auch für Folgemeldungen, wenn neue Informationen bekannt geworden sind.

Überschreitet ein Verantwortlicher die 72 Stunden, muss er das begründen. Dabei helfen z.B. besondere Umstände des Einzelfalls, etwa ein professioneller Hackerangriff. Je länger die Frist überschritten ist, desto ausführlicher sollte die Begründung sein. Insofern geht Schnelligkeit vor Vollständigkeit und Richtigkeit.

➧ Wie müssen Verantwortliche betroffene Personen über eine Datenpanne benachrichtigen?

Den Betroffenen ist anders als der Aufsichtsbehörde kein umfassendes Bild von der Schutzverletzung zu geben.

Die Benachrichtigung muss lediglich die Art der Schutzverletzung, den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle, eine Beschreibung der wahrscheinlichen Folgen sowie eine Beschreibung bereits ergriffener und zu empfehlender „Selbstschutzmaßnahmen“ enthalten.

Sorgfältige Ausgestaltung erforderlich

Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen, also nicht im rechtlichen Fachjargon. Ebenso muss sie so übersichtlich sein, dass sich der Inhalt direkt zur Kenntnis nehmen lässt. Die Benachrichtigung darf sich daher nur auf Informationen beziehen, die die Schutzverletzung betreffen, und keine Werbung oder ähnliche sachfremde Bezüge beinhalten.

Demnach ist eine „Zweitverwendung“ der Meldung an die Aufsichtsbehörde 1:1 nicht angebracht. Empfehlen Sie, innerbetrieblich zwei inhaltlich unterschiedliche Formulare (Templates) anzulegen, auf die dann je nach Adressat (Aufsichtsbehörde oder Betroffener) zurückgegriffen wird.

Ausnahmen von der Benachrichtigungspflicht

Der Verantwortliche muss die betroffenen Personen in zwei Ausnahmefällen nicht benachrichtigen (Art. 34 Abs. 3 DSGVO):

  • wenn er schon im Vorfeld geeignete Sicherheitsvorkehrungen getroffen hat, die den unbefugten Zugang zu den Daten ausschließen. Dazu gehört z.B. Verschlüsselung.
  • wenn er im Nachgang Maßnahmen ergreift, die nach aller Wahrscheinlichkeit sicherstellen, dass das (hohe) Risiko für die Betroffenen nicht mehr besteht. Hiermit sind Maßnahmen gemeint, die das Risiko nachträglich minimieren, wie eine Wiederherstellung gelöschter Daten oder eine Fernlöschung von verlorenen Speichermedien.

Nach der Implementierung derartiger Maßnahmen, die die Pflicht entfallen lassen (können), ist zwingend eine Bewertung des etwaigen Restrisikos vorzunehmen. Nur wenn die Maßnahmen das Risiko so weit reduzieren, dass es unter die „Schwelle“ der Meldung und / oder Benachrichtigung fällt, kann sich der Verantwortliche auf die Ausnahme berufen.

Öffentliche Benachrichtigung

Bei einem unverhältnismäßigen Aufwand kann der Verantwortliche von einer Individualbenachrichtigung der betroffenen Person als Regelfall absehen und sie durch eine öffentliche Benachrichtigung/Bekanntmachung ersetzen.

Von einem solchen unverhältnismäßigen Aufwand ist etwa auszugehen, wenn keine oder nur veraltete Kontaktdaten zur individuellen Benachrichtigung vorhanden sind und aktuelle erst ermittelt werden müssten, oder dann, wenn sich die Anzahl der Betroffenen (100 oder 10.000) nicht sicher eingrenzen lässt.

Bei einer öffentlichen Benachrichtigung ist die „gleiche Wirksamkeit“ im Vergleich zur Individualbenachrichtigung z.B. per Brief oder E-Mail wichtig. Die öffentliche Benachrichtigung kann – je nach Möglichkeit der Kenntnisnahme der Betroffenen – auch über das Internet erfolgen.

➧ Welche Besonderheiten gelten bei Auftragsverarbeitung?

Die DSGVO nimmt auch Auftragsverarbeiter in die Pflicht. Sie müssen zwar die Meldung / Benachrichtigung nicht selbst vornehmen, haben aber die Pflicht, den Verantwortlichen zu unterstützen.

Da die DSGVO den Umfang der Unterstützungspflicht nicht näher und praxisgerecht konkretisiert, empfiehlt sich eine solche Konkretisierung durch vertragliche Vereinbarungen (z.B. Umfang der Unterstützungspflicht, bereitzustellende Informationen, Zeitpunkt und Frist für die Mitteilung, Verschwiegenheitsvereinbarung).

➧ Dokumentationspflicht

Die DSGVO sieht bei Schutzverletzungen eine Dokumentationspflicht vor. Sie dient nicht nur der Aufsichtsbehörde zur Prüfung, sondern auch dem Verantwortlichen selbst. Er muss alle Fakten, die im Zusammenhang mit der Schutzverletzung stehen, ihre Auswirkungen und die Abhilfemaßnahmen dokumentieren.

Die Dokumentationspflicht lehnt sich an den Inhalt der Meldepflicht aus Art. 33 DSGVO an, kann jedoch auch mehr Informationen umfassen. So kann es erforderlich sein, z.B. – sofern bekannt – die Ursache der Schutzverletzung oder möglicherweise  involvierte (externe) Personen zu dokumentieren.

PRAXITIPP: Es bietet sich an, eine „Schutzverletzungshistorie“ zu erstellen. Das hilft, einen Gesamtüberblick zu bekommen und Schwachstellen zu erkennen. Die Historie kann Anhaltspunkte bei weiteren Schutzverletzungen liefern. Eine Übermittlung der Dokumentation erfolgt nur auf Anfrage der Aufsichtsbehörde, ggf. gekürzt um die Angaben, die für die Behörde unwichtig sind.

➧ Fazit: interne Richtlinien und Schulung zu Datenpannen nötig

Die Datenschutz-Grundverordnung sieht viele Pflichten bei Schutzverletzungen vor und macht eine angemessene Reaktion erforderlich.

Der Fokus liegt dabei auf der Beachtung der Datenschutzgrundsätze sowie auf technischen und organisatorischen Maßnahmen, um die Datensicherheit zu gewährleisten.

Interne Richtlinien zum Umgang mit Schutzverletzungen nehmen hierbei neben den technischen Schutzmaßnahmen eine ebenso zentrale Rolle ein wie eine Schulung der Mitarbeiter, wie sie mit Schutzverletzungen umgehen.

Mitarbeiterschulung-Datenschutz-DL

Mitarbeiterschulung Grundlagen des Datenschutzes

Von Fragen wie „Was sind personenbezogenen Daten?“, „Was bedeutet Datenverarbeitung“ und „Wann ist eine Datenverarbeitung zulässig?“ über die Prinzipien des richtigen Verhaltens bei Auskunftsersuchen oder im Homeoffice lernen Ihre Kolleginnen und Kollegen alle wesentlichen Grundlagen kennen.

Der Kurs zeigt den Datenschutz im Unternehmensalltag und die Fallstricke, die dort lauern. Übungen, viel Interaktion und ein Abschlusstest runden die Schulung ab.

 

Dr. Kevin Marschall

Dr. Kevin Marschall
Verfasst von
Kevin Marschall
Dr. Kevin Marschall
Dr. Kevin Marschall ist Geschäftsführer der GDPC GbR, einer auf Datenschutz und Informationssicherheit spezialisierten Unternehmensberatung mit Sitz in Kassel. Er berät bei der Umsetzung der DSGVO und ist zudem als externer Datenschutzbeauftragter tätig.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.