Veröffentlicht von:
Datenpannen und die Meldepflicht nach der DSGVO - von rechtlichen Risiken und schlafenden Hunden
- 3 Minuten Lesezeit
- Eine E-Mail mit angehängter Lohnabrechnung wird versehentlich an die falsche Empfängerin geschickt.
- Angestellte können wegen fehlerhafter Rollenkonzepte in der Personalmanagementsoftware auf die Gehaltsdaten anderer Mitarbeiter zugreifen.
- Hacker stehlen Kundendaten und bieten diese zum Kauf im Darknet an.
- Die Empfänger einer Marketing E-Mail werden versehentlich nicht im bcc-Feld, sondern im cc-Feld angeführt, sodass die Mailadressen für alle sichtbar sind.
All das sind Beispiele für kleinere und größere Datenschutzverletzungen, die in einer Vielzahl von Organisationen vorkommen können. Unter Verletzung des Datenschutzes meint das Gesetz eigentlich Verletzung der Datensicherheit, also einen Vorfall, der zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt (Art. 4 Nr. 12 DSGVO). Eine solche Verletzung liegt dann vor, wenn durch Unbefugte tatsächlich auf die Daten zugegriffen wurde.
Was muss passieren, wenn Daten in falsche Hände geraten?
Natürlich muss der Verantwortliche unverzüglich Schritte unternehmen, um die Auswirkungen der Datenpanne möglichst einzudämmen und umzukehren. Er sollte auch Maßnahmen setzen, die die gleiche Panne in der Zukunft unmöglich machen.
Daneben schreibt die Datenschutz-Grundverordnung (DSGVO) in Art. 33 vor, dass eine Datenpanne auch der zuständigen Aufsichtsbehörde zu melden ist. Die Schwelle für eine Meldung ist grundsätzlich nicht besonders hoch: Erforderlich ist eine Verletzung des Schutzes personenbezogener Daten (siehe oben) und ein Risiko für die Rechte und Freiheiten natürlicher Personen.
Wann ein solches Risiko vorliegt, ist nicht eindeutig zu beantworten. Der Hamburgische Datenschutzbeauftragte hat in einer aktuellen Stellungnahme seinen Standpunkt zusammengefasst. Relevant sind unter anderem Art und Umfang der betroffenen Daten, die mögliche Identifizierbarkeit von Personen mit den betroffenen Daten, die Anzahl der betroffenen Personen und natürlich die zu erwartenden Konsequenzen. Der Verlust von Daten, die zu erheblichem weiteren Missbrauch einladen (zum Beispiel vollständige Kreditkartendaten, Daten mit intimen Geheimnissen der betroffenen Personen) wiegt dabei schwerer als die Offenlegung einer einzelnen E-Mail-Adresse.
Meldepflicht nach DSGVO innerhalb von 72 Stunden
Nicht jede Datenpanne führt also automatisch zu einer verpflichtenden Meldung an die Behörde. Die Datenschutzbehörden vertreten zur Frage der Meldepflicht verschiedene Standpunkte. Manche tendieren dazu, dass prinzipiell jede Datenpanne gemeldet werden soll, andere sind bei der Beurteilung des Risikos großzügiger. Um herauszufinden, ob eine Datenpanne gemeldet werden muss, ist für jeden Einzelfall eine rechtliche Risikoeinschätzung und Dokumentation unerlässlich. Auch wenn keine Meldung an die Behörde abgegeben wird, muss das begründet und intern dokumentiert werden. Kommt die rechtliche Prüfung zum Ergebnis, dass eine Meldung erforderlich ist, so ist schnelles Handeln gefragt. Unternehmen müssen Datenpannen dann grundsätzlich innerhalb von 72 Stunden der zuständigen Datenschutzbehörde melden.
Nicht jeden schlafenden Hund wecken
Natürlich tut eine Meldung an die Datenschutzbehörde weh, keine Frage. Viele Unternehmen wollen nur dann auf dem Radar der Behörde auftauchen, wenn das unbedingt notwendig ist. Nicht jeden schlafenden Hund bei der Behörde wecken zu wollen setzt aber voraus, genau abzuwägen, wann und ob eine Meldung wirklich notwendig ist. Das erfordert ein tiefes Verständnis der rechtlichen Rahmenbedingungen und eine individuelle und präzise Analyse der Situation. Für meine Kunden erstelle ich solche Abwägungen und viele weitere rechtliche Entscheidungsgrundlagen täglich. Ich helfe Ihnen mit meiner Expertise gerne dabei, die rechtlichen Feinheiten zu verstehen und eine fundierte Entscheidung für oder gegen eine Meldung zu treffen.
Sprechen Sie mich gerne an:
Rechtsanwalt David Reimann, BA (Deutschland, Österreich)
AT: + 43 1 9974047
DE: +49 911 477 39727
Artikel teilen: