Das Wichtigste in Kürze

In diesem Beitrag

Den E-Mail-Verteiler in die falsche Zeile kopiert, vertrauliche Dokumente offen liegengelassen: Eine Datenpanne ist in der Praxis leicht passiert. Jetzt kommt es darauf an, einen kühlen Kopf zu bewahren und die Situation zu analysieren. Denn Datenpanne ist nicht gleich Datenpanne, und nicht jedes Missgeschick ist meldepflichtig. Ist eine Benachrichtigung der Behörden unvermeidlich, kann externer Sachverstand helfen.

Wann liegt eine Datenpanne vor?

Die Datenschutzgrundverordnung (DSGVO) definiert Kategorien von personenbezogenen Daten, die besonders geschützt sind. Ihre Verarbeitung ist an bestimmte Voraussetzungen gebunden. Eine Datenpanne liegt dann vor, wenn solche personenbezogenen Daten in die Hände von Menschen und Unternehmen geraten, die keine Berechtigung zum Zugriff darauf haben. Der Schutz der Daten ist somit nicht mehr gewährleistet, es besteht ein Datenleck.

Wie
passieren Datenpannen? Drei Beispiele

Jeder Mensch macht Fehler. Datenpannen sind so individuell wie die Personen, die sie verursachen. Dennoch gibt es typische Fälle und Muster. Hier drei Beispiele:

  1. Offene E-Mail-Verteiler: Beim Versenden eines Newsletters oder einer Info-Mail werden die Empfänger statt als Blindkopie in BCC nur in CC gesetzt. Jeder Empfänger kann alle anderen Adressaten sehen. Für ein Unternehmen schlimm genug, dass so mitunter der gesamte Kundenstamm bekannt wird – doch auch jeder einzelne Empfänger wird so möglicherweise in seinen Rechten verletzt.
  2. Personalausweiskopien: Ein klassisches Beispiel für Datenpannen sind Kopien von Ausweisdokumenten, die mehrere sensible personenbezogene Daten enthalten. Fertigt etwa ein Autohaus solche Kopien an und gibt sie ungeschreddert in den Papiermüll, wo Unberechtigte sie einsehen können, liegt eine gravierende Datenpanne vor. Aber auch offenes Liegenlassen solcher Kopien im Betrieb ist problematisch.
  3. Datenleck im Netz: Durch IT-Fehler können ganze Datensätze etwa mit Zahlungsinformationen offen ins Internet gelangen, wie es jüngst der Hotelkette Marriott passierte. Bei dieser Art von Datenpanne geht die Zahl potenziell Geschädigter mitunter in die Millionenhöhe.

Wie
minimiere ich das Risiko von Datenpannen?

Es gibt eine
Reihe von Verfahren und Arbeitsabläufen, die jedes Unternehmen individuell
festlegen kann, um Datenpannen vorzubeugen. Das A und O bei der Prävention von
Datenlecks ist aber immer noch die Sensibilisierung von Mitarbeitern, etwa
durch regelmäßige Schulungen. Wer sich bewusst ist, dass etwa das unsachgemäße
Entsorgen vertraulicher Dokumente nicht nur ein Lapsus ist, sondern ernste
Konsequenzen haben kann, wird umso mehr darauf achten.

Welche Pflichten haben
Unternehmen bei Datenpannen?

Liegt der Verdacht auf eine Datenpanne vor, muss der Verantwortliche im Unternehmen diese zunächst qualitativ bewerten: Nicht jedes Malheur ist auch eine Datenpanne, und nicht jede Datenpanne ist meldepflichtig. Das ist immer eine Sache der Abwägung, bei der auch ein externer Datenschutzbeauftragter helfen kann.

Nach der DSGVO ist die Verletzung des Schutzes
personenbezogener Daten grundsätzlich meldepflichtig. Die DSGVO definiert
jedoch auch eine Ausnahme: Die Meldepflicht entfällt, wenn die Verletzung
„voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten
natürlicher Personen führt.“

Ob ein solches Risiko vorliegt, lässt sich am Beispiel
E-Mail-Verteiler durchdeklinieren: Wenn der Verteiler beispielsweise nur fünf
Personen umfasst, die einander obendrein gegenseitig kennen, können die
Umstände darauf hindeuten, dass kein nennenswertes Risiko vorliegt. Handelt es
sich aber um den vertraulichen Verteiler eines Journalistenbüros, einer Beratungsstelle
oder einer Anwaltskanzlei, sind die verbundenen Risiken offensichtlich ungleich
größer.

Welche Fristen gelten für die Meldung von Datenpannen?

Datenpannen sind laut DSGVO innerhalb von 72 Stunden an die
zuständigen Aufsichtsbehörden zu melden. Die Frist beginnt ab dem Zeitpunkt, in
dem der Verantwortliche erstmals von der Datenpanne erfährt. Erfolgt die
Meldung später, muss diese Verzögerung gegenüber der Behörde begründet werden.

Wie erfolgt die Meldung einer Datenpanne?

In der Regel erfolgt die Meldung einer Datenpanne einfach
über ein Formular, das Sie auf der Website der zuständigen Behörde finden. Es
gibt in den deutschen Bundesländern nicht „die eine zuständige Behörde“. Jede
Aufsichtsbehörde ist für die Erfüllung der Aufgaben im Hoheitsgebiet ihres
eigenen Mitgliedsstaats zuständig, sodass hier eine Meldung nicht unnötig
erschwert wird: Bei Bedarf leiten die Behörden eine Meldung an die zuständige
Stelle weiter.

Auch wenn die Meldung formal nicht schwierig ist, ist eine
inhaltliche Unterstützung bei der Erstellung durch den Datenschutzbeauftragten
sinnvoll. Dieser sollte, wo vorhanden, grundsätzlich sofort kontaktiert werden.

Muss ich beim Melden von Datenpannen Strafen fürchten?

Viele Unternehmer zögern mit der Meldung von Datenpannen, da sie Strafen oder Kontrollen durch die Behörde befürchten. Tatsächlich können gravierende Pannen zu anlassbezogenen Unternehmensprüfungen führen. Aber: Die Nicht-Meldung ist grundsätzlich riskanter als die Meldung. Erfahren die Behörden von einem schwerwiegenden, meldebedürftigen Verstoß durch Meldung eines Betroffenen, wird dies grundsätzlich härtere Sanktionen nach sich ziehen als bei einer Selbstmeldung.

Kann ich eine Meldung erstellen, ohne den Sachverhalt
vollständig zu kennen?

Sobald Sie Kenntnis von einer ernsthaften Datenpanne
erhalten, können und sollten Sie diese innerhalb der 72-Stunden-Frist den
Behörden melden. Dass nicht bei jeder Datenpanne gleich zu Beginn alle
Einzelheiten vollständig aufgeklärt sind, ist normal, das wissen auch die
Behörden. Sobald die Meldung eingegangen ist, legt die Behörde ein Aktenzeichen
an. Unter diesem können Sie Ihre Meldung dann so oft aktualisieren, wie
erforderlich. Hierbei spricht man von einer sogenannten Folgemeldung.

Meldungen von Datenschutzverletzungen und
Datenschutzbeschwerden – was ist der Unterschied?

Datenschutzbeschwerden sind ein Instrument für Betroffene,
um Behörden auf die Verletzung ihrer Rechte aufmerksam zu machen. Die Meldung
der Datenschutzverletzung wurde dagegen für diejenigen geschaffen, denen die
Panne passiert ist. In der Praxis kommt es bei Datenpannen häufiger zu
Missverständnissen, was zur Folge hat, dass die beiden Kategorien verwechselt
und somit fehlerhafte Meldungen vorgenommen werden.

Schritt
für Schritt erklärt: Wie gehe ich bei einer Datenpanne vor?

  • Schritt 1: Analysieren Sie die Situation: Besteht das Risiko, dass durch die Datenpanne Persönlichkeitsrechte Dritter verletzt wurden? Wenn Sie sich unsicher sind, ziehen Sie am besten schon in diesem Schritt Ihren Datenschutzbeauftragten hinzu.
  • Schritt 2: Zeitgleich zur ersten Beurteilung sollten Sie auch alle notwendigen und in Ihrer Macht stehenden Schritte veranlassen, um mögliche Beeinträchtigungen fremder Persönlichkeitsrechte zu verhindern bzw. diese unverzüglich zu beenden.
  • Schritt 3: Holen Sie spätestens jetzt Ihren Datenschutzbeauftragten mit ins Boot. Gemeinsam mit Ihnen klärt er, ob es sich um eine meldepflichtige Panne handelt.
  • Schritt 4: Melden Sie den Vorfall spätestens 72 Stunden, nachdem er Ihnen bekannt wird. Ihr Datenschutzbeauftragter unterstützt Sie nach Bedarf bei der Meldung und klärt, an welche Behörde Sie sich optimalerweise wenden sollten.
  • Schritt 5: Arbeiten Sie den Vorfall intern auf. Bei Bedarf können Sie der Behörde jederzeit relevante Tatsachen nachmelden.
  • Schritt 6: Ziehen Sie Konsequenzen: Die Aufarbeitung der Panne kann Ihnen helfen, ähnliche Vorfälle in Zukunft zu vermeiden. Auch hier kann der Datenschutzbeauftragte Sie unterstützen, datenschutzkonforme Arbeitsabläufe, Verfahren und Prozesse zu entwickeln.

Fazit

Sensibilisierung ist das Schlüsselwort zur Vermeidung von
Datenpannen: Datenschutz im Arbeitsalltag ist vielschichtig, hierfür sollte
insbesondere bei Mitarbeitern ein Bewusstsein entstehen. Kommt es dennoch zu
Datenpannen, sollten Sie mit kühlem Kopf agieren: Ermitteln Sie die Ursachen,
stellen Sie diese ab und kommen Sie gegebenenfalls Ihren Meldepflichten nach.
Holen Sie sich bei Bedarf externe Hilfe ins Haus. Jede Panne birgt so zumindest
auch die Chance, für die Zukunft zu lernen und datenschutzkonformer zu agieren.

Neue Beiträge die Sie interessieren könnten

Das Recht auf Vergessenwerden: Was steckt dahinter und funktioniert es wirklich?

Das Wichtigste in Kürze

  • Mit der DS-GVO wurden die Rechte von Betroffenen gestärkt. 
  • Das Recht...
Weiterlesen

Keine Daten mehr ins EU-Ausland: Was bedeutet das EuGH-Urteil Schrems II für Anwältinnen und Anwälte?

Das sogenannte Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) markiert eine Zäsur im...

Weiterlesen

Aktuelle Trends zu Bußgeldern im europäischen Datenschutz

Weiterlesen

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

DataCo GmbH | Dachauer Str. 65 | D-80335 München