Zum Abschluss unserer Themenwoche wollen wir Ihnen noch einen Leitfaden zum richtigen Umgang mit einer Datenpanne an die Hand geben.

Verletzungen des Schutzes personenbezogener Daten – die sog. Datenpannen – sind insbesondere für Unternehmen in vielerlei Hinsicht ein heikles Thema. Neben dem damit einhergehenden Image- und Vertrauensverlust besteht unter Umständen die Pflicht zur Meldung der Datenpanne gegenüber der zuständigen Datenschutzaufsichtsbehörde bzw. in manchen Fällen müssen auch die von der Datenpanne betroffenen Personen benachrichtigt werden. Zudem können die Verhängung von Bußgeldern durch die Datenschutzaufsichtsbehörde oder auch die Geltendmachung von Schadensersatzansprüchen durch die von der Datenpanne betroffenen Personen drohen.

Aus diesen Gründen ist es wichtig, dass das Vorliegen einer Datenpanne schnellstmöglich erkannt, die Meldepflichtigkeit der Datenpanne geprüft und dann in richtiger Weise gehandelt wird.

Wann liegt eine (meldepflichtige) Datenpanne vor?

Um zu prüfen, ob bei einer Datenpanne eine Meldepflicht gegeben ist, können verschiedene Kriterien herangezogen werden. Diese werden im Folgenden erläutert.

1. Verletzung des Schutzes personenbezogener Daten

Eine Verletzung des Schutzes personenbezogener Daten (ugs.: Datenpanne) ist in Art. 4 Nr. 12 DSGVO legaldefiniert als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig; zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Natürlich ist nicht jede Datenschutzverletzung meldepflichtig. Es muss sich dabei um einen Sicherheitsbruch handeln, bei dem personenbezogene Daten unrechtmäßig Dritten offenbart werden, oder infolge eines Sicherheitsbruchs gelöscht oder zeitweise unzugänglich gemacht werden. Für eine unrechtmäßige Offenbarung personenbezogener Daten genügt bereits der – beabsichtigte oder unbeabsichtigte – Zugriff auf die personenbezogenen Daten. Nicht erforderlich hingegen, ist die Kenntnisnahme des Inhalts (siehe auch „Data-Breach-Meldungen nach Art. 33 DSGVO“ des HmbBfDI*).

Typische Fälle von Datenpannen sind

  • das Abhandenkommen von Unterlagen, welche personenbezogene Daten enthalten (z. B. Personalunterlagen),
  • die Fehlversendung von Unterlagen (z. B. ein Mitarbeiter erhält die Gehaltsabrechnung eines Kollegen),
  • der Diebstahl von elektronischen Datenträgern (z. B. ein Notebook oder eine externe Festplatte wird gestohlen) oder
  • eine Cyberattacke (z. B. Hacking, Verschlüsselungstrojaner).

2. Risiko für die Rechte und Freiheiten natürlicher Personen

Ferner muss für das Vorliegen einer meldepflichtigen Datenpanne ein Risiko für die Rechte und Freiheiten natürlicher Personen gegeben sein. Das Risiko bemisst sich aus der Beziehung zwischen der Schwere des Schadens und dessen Eintrittswahrscheinlichkeit (Kühling/Buchner, DSGVO, Art. 33 Rn. 7). Je höher der anzunehmende Schaden ist, desto geringer sind die Anforderungen an die Wahrscheinlichkeit seines Eintritts (BeckOK, DSGVO Art. 33 Rn. 36).

Die Art.-29-Gruppe sieht bei der Risikobetrachtung die folgenden Kriterien vor (Art-29-Gruppe, Working Paper 250 rev. 01 S. 27 f.):

  • Art des Sicherheitsbruchs (Unautorisierter Zugriff ist oft gravierender als Datenverlust)
  • Art und Umfang der Daten
  • Identifizierbarkeit (Wie einfach und wahrscheinlich ist es, dass ein Dritter, der unautorisierten Zugriff nimmt, den Personenbezug herstellen kann?)
  • spezielle Umstände hinsichtlich der Betroffenen (z. B. Kinder als Betroffene, besondere Schutzbedürftigkeit des Betroffenen aufgrund von Behinderungen)
  • spezielle Umstände hinsichtlich des Verantwortlichen (z. B. eine medizinische Einrichtung)
  • Anzahl der Betroffenen
  • zu erwartende Konsequenzen der Datenpanne

Zu den Konsequenzen nennt Erwägungsgrund 85 der DSGVO typische Fallgruppen:

  • Verlust der Kontrolle über die eigenen Daten
  • Einschränkung von Rechten
  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • finanzielle Verluste
  • Aufhebung der Pseudonymisierung
  • Rufschädigung
  • Verletzung des Berufsgeheimnisses
  • andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile

Wann kann auf die Meldung einer Datenpanne verzichtet werden?

Wichtig im Hinblick auf das Vorliegen der Meldepflicht bei einer Verletzung des Schutzes personenbezogener Daten ist der Umstand, dass nur dann rechtssicher vom Nichtbestehen einer Meldepflicht ausgegangen werden kann, wenn sich sicherstellen lässt, dass für die Rechte und Freiheiten der betroffenen Personen kein Risiko besteht, wie z. B. beim Diebstahl eines USB-Sticks, auf dem die dort vorhandenen personenbezogenen Daten entsprechend verschlüsselt gespeichert sind. Angesichts des Umstandes, dass bei einem Unterbleiben der Meldung einer meldepflichtigen Datenpanne nach Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld in Höhe von bis zu 10.000.000 € oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes verhängt werden kann, muss die Frage des Bestehens einer Ausnahme von der Meldepflicht sorgfältig geprüft werden.

Fazit zur Meldepflicht bei einer Datenpanne

Die Einschätzung, ob eine meldepflichtige Datenpanne vorliegt, kann im Einzelfall äußerst schwierig sein und sollte aus diesem Grund unter Hinzuziehung entsprechender Expertise (z. B. die/den Datenschutzbeauftragte/n oder im Datenschutzrecht geschulte Fachkräfte) erfolgen.

Welche Vorkehrungen zur Vermeidung einer Datenpanne können getroffen werden?

Auch im Falle der rechtzeitigen Meldung einer Datenpanne kann nicht ausgeschlossen werden, dass – aufgrund der bereits vorliegenden Verletzung datenschutzrechtlicher Pflichten – seitens der Datenschutzaufsichtsbehörde ein Bußgeld verhängt wird. Zudem könnte den von der Datenpanne betroffenen Personen auch ein Schaden entstanden sein, wofür der Verantwortliche z. B. nach Art. 82 DSGVO schadensersatzpflichtig sein kann.

Daher ist es umso wichtiger, wenn bereits im Vorfeld entsprechende Maßnahmen getroffen werden, durch die das Risiko einer Datenpanne minimiert bzw. ausgeschlossen wird. Darunter fallen insbesondere regelmäßige Schulungen der eigenen Mitarbeitenden im Datenschutzrecht sowie die Implementierung angemessener technischer und organisatorischer Maßnahmen (TOM), bspw. eine wirksame Verschlüsselung der personenbezogenen Daten auf mobilen Datenträgern.

Der Verantwortliche (z. B. der Unternehmer) sollte ferner dafür sorgen, dass ein entsprechender Prozess zum Umgang mit Datenpannen vorhanden und den Mitarbeitenden auch bekannt ist. Im Idealfall sollte es so sein, dass sofort nach Kenntnisnahme einer Datenpanne in einem Unternehmen die diesbezüglich zuständigen Stellen (z. B. die/der Datenschutzbeauftragte, Rechtsabteilung, Geschäftsleitung etc.) unterrichtet werden.

Im Teil 2 unseres Leitfadens zum Umgang mit Datenpannen lesen Sie, wie Sie bei Kenntnisnahme einer Datenpanne vorgehen.


*Update vom 20.10.2023: Im September 2023 hat der HmbBfDI seine Handreichung zum Umgang mit Datenpannen überarbeitet. Das neue Dokument finden Sie hier. Dieser Beitrag bezieht sich auf die vorherige Version der Handreichung.