Meldepflicht bei Datenschutzverstößen

Die Anmeldedaten von Besuchern einer Webseite gehen durch Schadsoftware verloren, USB-Sticks mit Mitarbeiterdaten geraten in falsche Hände, Fotos von der Betriebsfeier geraten ungewollt an die Öffentlichkeit – diese und andere Datenschutzpannen gehören zu den Albträumen von Unternehmen. Doch Datenschutzverstöße umfassen noch viele weitere Beispiele, die alle Bußgelder oder Imageschäden nach sich ziehen können.

Wir erklären Ihnen, wann Datenschutzverstöße gemeldet werden müssen. So können auch Sie künftig rasch erkennen, ob ein Vorfall nur unangenehm, oder auch meldepflichtig ist.


Das Wichtigste in Kürze

  • Nicht jeder vermeintliche Verstoß gegen die Datenschutzgrundverordnung ist meldepflichtig.
  • Die unberechtigte Veröffentlichung von personenbezogenen Daten ist ein mögliches Beispiel für einen meldepflichtigen Verstoß. Der Klassiker hierbei ist noch immer eine E-Mail, die an den falschen Empfänger versendet wurde.
  • Die DS-GVO fährt mit Art. 32 einen risikoorientierten Ansatz.
  • Liegt ein Datenschutzverstoß vor, entscheidet das Risiko für die Rechte und Freiheiten von Betroffenen über eine Meldepflicht.

In diesem Beitrag

Definition: Was versteht man unter einem Verstoß gegen Datenschutz?

Ein Datenschutzverstoß ist jede Art von Missachtung der geltenden Datenschutzgesetze. Zu diesen gehören in Deutschland das Bundesdatenschutzgesetz (BDSG) und die Datenschutzgrundverordnung (DSGVO).

Hat ein Unternehmen zum Beispiel keinen Datenschutzbeauftragten benannt, obwohl es dazu laut DSGVO verpflichtet ist, ist das ein Datenschutzverstoß. Meist wird der Begriff aber für Datenschutzverletzungen genutzt. Das sind Datenschutzverstöße, bei denen es zu einer „Verletzung des Schutzes personenbezogener Daten“ gekommen ist – also z. B. Hackerangriffe, die versehentliche Veröffentlichung personenbezogener Daten oder die unrechtmäßige Verarbeitung personenbezogener Daten.

Beispiele für Datenschutzverstöße, die über den Verlust personenbezogener Daten hinausgehen, finden Sie hier.

Was genau gilt als Verletzung des Schutzes personenbezogener Daten?

Alle Vorfälle, bei denen persönliche Daten unbeabsichtigt offengelegt, manipuliert oder vernichtet werden, gelten als Datenschutzverletzungen – oft auch Datenpannen genannt. Es liegt in der Natur jeder Gesetzgebung, dass sie nicht jeden Einzelfall konkret beschreiben kann und gegebenenfalls von Gerichten ausgelegt werden muss.

Dementsprechend allgemein ist ein Verstoß gegen den Schutz personenbezogener Daten definiert als jede unrechtmäßige oder unbeabsichtigte Handlung, die

zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt“ (vgl. Art. 4 Zif. 12 DSGVO).

Nicht minder allgemein gehalten ist die Formulierung, dass Datenschutzverstöße meldepflichtig sind, wenn sie „Freiheiten oder Rechte“ der betroffenen Personen gefährden.

Ob ein Datenschutzverstoß gegenüber der Behörde allerdings meldepflichtig ist, hängt von den betroffenen Daten und dem daraus resultierenden Risiko für den Betroffenen ab. Zieht die Datenschutzpanne einen physischen, materiellen oder immateriellen Schaden nach sich, zum Beispiel ein Identitätsdiebstahl oder Rufschädigung, muss sie immer gemeldet werden. Bei der Entscheidung, in welchen Fällen eine Meldepflicht begründet sein könnte, sollten sich Unternehmen professionell beraten lassen. Ein paar Beispiele haben für Sie in diesem Artikel weiter unten gesammelt.

Die Meldepflicht von Datenschutzverletzungen nach DS-GVO

Die DSGVO der Europäischen Union hat auch die Meldepflichten bei einem Verstoß gegen Datenschutz neu geregelt. Verglichen mit der früheren Regelung durch das Bundesdatenschutzgesetz sind die Meldepflichten gegenüber den Aufsichtsbehörden deutlich verschärft worden. Demgegenüber müssen die Betroffenen selbst deutlich seltener über einen Verstoß gegen Datenschutz informiert werden.

Das ist nur noch der Fall, wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen besteht, etwa wenn es sich um besonders sensible Daten wie Gesundheitsdaten oder biometrische Daten handelt.

Wichtig: Nicht jeder Verstoß löst auch eine Meldepflicht aus. Zunächst muss das individuelle Risiko für Betroffene ermittelt werden, das durch die Datenpanne entsteht.

Risiko für die persönlichen Rechte und Freiheiten des Betroffenen

Meldepflicht an Aufsichtsbehörde notwendig?

Meldepflicht an Betroffene notwendig?

Niedrig

Nein

Nein

Mittel

Ja

Nein

Hoch

Ja

Ja

 

Faustregel: Sie müssen Datenpannen im Firmenalltag immer dann melden, wenn „normale“ oder hohe Risiken bestehen. Bei normalen Risiken reicht die Meldung an die zuständige Aufsichtsbehörde in Ihrem Bundesland, bei hohen Risiken müssen Sie zusätzlich die Betroffenen informieren.

 

Datenpanne

Eher meldepflichtig

Eher nicht meldepflichtig

E-Mail an einen falschen Empfänger verschickt

E-Mail mit Steuer- oder Gesundheitsdaten

Teilnahmebestätigung

Anmeldedaten von Besuchern einer Webseite gehen durch Schadsoftware verloren

Dritte können auf Konten zugreifen

Webseitenbetreiber bemerkt Vorfall schnell und sperren Konten rechtzeitig

Ein USB-Stick mit sensiblen Daten wurde entwendet

Die Daten befinden sich unverschlüsselt auf dem Speichermedium

Das Medium oder die Daten sind sicher verschlüsselt

 

Die Meldefrist von Verletzungen des Schutzes personenbezogener Daten

Der Artikel 33 der DSGVO schreibt vor, dass die Frist zu Meldung von Datenschutzverstößen an die Aufsichtsbehörde 72 Stunden nach Kenntnisnahme der Verletzung beträgt. Die Meldung muss die Art der Verletzung sowie Angaben zur ungefähren Zahl der betroffenen Personen und Datensätze enthalten. Außerdem sollte dargelegt werden, welche Maßnahmen geeignet erscheinen, die Folgen des Verstoßes zu mildern.

--> Hier finden Sie einen genauen Handlungsplan bei einer Datenpanne.

Ob ein Datenschutzverstoß gemeldet werden muss, ist nicht immer ganz eindeutig.

Wenn Unbefugte Zugang zu personenbezogenen Daten erhalten, ist dies ein meldepflichtiger Verstoß gegen Datenschutz. Es sei denn, dass die Verletzung nicht zu einem Risiko für die Rechte und Freiheit des Betroffenen führt. Wann das der Fall ist und wann nicht, ist zum Teil Interpretationssache.

Fazit: Meldepflichten bei Datenschutzverstößen variieren

Datenschutzverstöße können in den unterschiedlichsten Bereichen auftreten und verschiedene Auswirkungen haben. Um einen Überblick zu behalten und gar nicht erst einen Verstoß gegen die DS-GVO zu riskieren, lohnt sich die Benennung eines Datenschutzbeauftragten.

Dieser prüft im Zweifelsfall, ob es sich um eine meldepflichtige Verletzung der DS-GVO handelt. Auch dient er generell als zuverlässiger Ansprechpartner in allen relevanten Fragen rund um das Thema Datenschutz.

Wie teuer eine Datenpanne für Ihr Unternehmen werden kann?

Das lässt sich seriös nicht beziffern. Allein der Vertrauensverlust bei Kunden kann ein Unternehmen in die Insolvenz führen. Investitionen in den Datenschutz sind daher ein Muss und lohnen sich mit Sicherheit. 

Bei weiteren Fragen zu diesem und anderen Themen im Datenschutz stehen Ihnen unsere Experten gerne zur Verfügung. Vereinbaren Sie einfach ein kostenloses Gespräch und wir melden uns bei Ihnen:

Kostenlose Erstberatung vereinbaren

 

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren