Doch Datenpannen gibt es immer wieder und Unternehmen sind gut beraten, sich für den Fall der Fälle Gedanken zu machen, was in einem solchen Fall zusätzlich zum Beheben des Schadens zu tun ist.

Datenpannen lösen Meldepflichten aus

Ab dem 25. Mai 2018 gelten deutlich strengere Meldepflichten an die Datenschutzaufsichtsbehörden als bisher. Datenpannen sind dann nach Artikel 33 Datenschutzgrundverordnung (DSGVO) der zuständigen Datenschutzaufsichtsbehörde zu melden, sofern

  • der Schutz personenbezogener Daten verletzt wurde und
  • Risiken für die persönlichen Recht und Freiheiten natürlicher Personen bestehen.

Ein wesentlicher Unterschied zur bisherigen/noch geltenden Rechtslage ist, dass die Informationspflicht sofort greift, wenn irgendein personenbezogenes Datum abhandenkommt. Bisher musste eine Meldung nur bei bestimmten Datenarten (z.B. Bankdaten) erfolgen.

Geblieben ist allerdings die Abwägung, ob hieraus Risiken resultieren. Auch in diesem Punkt werden die Schwellen für eine Meldung im Verhältnis zur jetzigen Rechtslage gesenkt, da

  • ein „einfaches Risiko“ reicht – es muss keine schwerwiegende Beeinträchtigung drohen,
  • nicht nur die Interessen des Betroffenen (z.B. des Kunden) zu berücksichtigen sind, sondern jeder natürlichen Person.

Bei der Abwägung muss auch der Risikokatalog aus Erwägungsgrund 75 berücksichtigt werden.

Zeitnahe Meldung

Die Anforderungen an eine Meldung werden detailliert in der Datenschutzgrundverordnung aufgezählt. Entscheidend ist, dass eine Meldung unverzüglich und innerhalb von 72 Stunden nachdem die Datenpanne bekannt wurde, gemeldet werden muss.

Wie?

Eine Meldung muss folgende Informationen enthalten:

  1. Name der meldepflichtigen bzw. verantwortlichen Stelle
  2. Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen
  3. Zeitraum oder Zeitpunkt des Vorfalls
  4. Zeitpunkt der Feststellung des Vorfalls
  5. Ursache bzw. Ort der Datenpanne
  6. Welche Dritten haben Kenntnis erlangt bzw. hatten Möglichkeit zur Kenntnisnahme?
  7. Art und Inhalt der betroffenen personenbezogenen Daten
  8. Technische und organisatorische Maßnahmen, die die meldepflichtige Stelle wegen der Datenpanne in Bezug auf die betroffenen personenbezogenen Daten ergriffen hat (oder ergreifen wird)
  9. Anzahl der Betroffenen (ggf. Schätzung)
  10. Mögliche Folgen bzw. nachteilige Auswirkungen für Betroffene (z. B. finanzieller Schaden, Ruf-/Imageschädigung, Bloßstellung)
  11. Erfolgte bereits eine Benachrichtigung der Betroffenen, wenn ja, wann?

Um es Unternehmen leichter zu machen ihren Anforderungen an die unverzügliche Meldung nachzukommen, hat das Bayerische Landesamt für Datenschutzaufsicht auf seinen Internetseiten eine Onlinemeldemöglichkeit eingerichtet.

Empfehlung

Wir empfehlen allen Unternehmen sich eine Vorlage zu erstellen, die im Fall einer Datenpanne zur Meldung an die Aufsichtsbehörde verwendet werden kann. Datenpannen führen immer zu Hektik bei allen Betroffenen. Da ist es hilfreich, wenn zumindest für die vorgeschriebene Meldung ein Formular existiert und auch die Adresse (Faxnummer) der zuständigen Datenschutzaufsichtsbehörde existiert (eine Übersicht über alle Landesdatenschutzaufsichtsbehörden finden Sie hier).

Information der betroffenen Personen

Betroffene einer Datenpanne werden in der Regel seltener zu informieren sein als die Behörden. Bei der Abwägung, ob ein Risiko für den Betroffenen gegeben ist, müsste ein Unternehmen bei einer Prüfung zum Ergebnis kommen, dass nicht nur ein „einfaches“ Risiko besteht – siehe Meldung an die Behörde, sondern ein „hohes“ Risiko. Es besteht daher ein noch größerer Argumentationsspielraum für Unternehmen.

Darüber hinaus enthält die Verordnung weite Ausnahmen, über die ein Unternehmen zum Ergebnis kommen kann, dass der Betroffene doch nicht zu informieren ist (Artikel 34 Abs. 3 DSGVO):

  • Es wurden im Vorfeld geeignete IT-Sicherheitsmaßnahmen getroffen (z.B. Verschlüsselung).
  • Es wurden nach der Datenpanne geeignete IT-Sicherheitsmaßnahmen getroffen.
  • Die Benachrichtigung wäre ein unverhältnismäßiger Aufwand (dann aber öffentliche Bekanntmachung).

Allerdings kann die Aufsichtsbehörde das Unternehmen nach eigener Risikoeinschätzung anweisen, die Betroffenen zu informieren, egal zu welcher Einschätzung das Unterhemen selbst gekommen ist.

Dokumentation jeder Datenpanne

Jede Datenpanne ist zu dokumentieren. Dabei sollten folgende Informationen enthalten sein:

  • Wer hat wann an wen gemeldet?
  • Welche IT-Sicherheitsmaßnahmen wurden ergriffen?
  • Welche Erwägungsgründe waren maßgeblich für die Risikobewertung?
  • Welche Meldungen sind erfolgt oder unterblieben (Aufsichtsbehörde/Betroffene)?
  • Welche Maßnahmen wurden getroffen, um eine erneute Datenpanne zu verhindern?

| | , | , , ,