Veröffentlicht von:
Wann liegt eine meldepflichtige Datenpanne vor?
- 3 Minuten Lesezeit
Ob Hackerangriff, Datenleck oder Diebstahl von Datenträgern – in einer zunehmend digitalisierten Welt steigt das Risiko für Datenpannen immens. Wenn ein Unternehmen tatsächlich betroffen ist, sollten die Verantwortlichen schnell handeln – so schreibt es die DSGVO vor. Doch wann liegt eine meldepflichtige Datenpanne vor? Ab wann läuft die Meldefrist von 72 Stunden? Und wie kann die wirksame Umsetzung von Prozessen zur Meldung von Datenpannen aussehen?
Was ist eine meldepflichtige Datenpanne?
Nach Art. 33 DSGVO ist Voraussetzung für eine Datenpanne, dass eine Verletzung des Schutzes personenbezogener Daten vorliegt. Meldepflichtig wird sie, wenn sich daraus ein voraussichtliches Risiko für die Rechte und Freiheiten natürlicher Personen ergibt.
Wann eine Verletzung des Schutzes personenbezogener Daten vorliegt, präzisiert Art. 4 Nr. 12 DSGVO: Eine solche ist „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“
Darunter fällt beispielsweise das Eingeben von Daten auf einer gefälschten Online-Plattform durch den Verantwortlichen, ein Hackerangriff auf Datenbanken oder etwa der Diebstahl von Datenträgern.
Darüber hinaus ist die Meldepflicht zu verneinen, sofern kein Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt. Dabei muss der Verantwortliche die Schwere des möglichen Schadens mit der Eintrittswahrscheinlichkeit in Relation setzen. Folgende Kriterien können für die Abwägung herangezogen werden:
- Art der Verletzung
- Zahl der Betroffenen
- Identifizierbarkeit der betroffenen Person
- Schwere der Folgen für die betroffene Person
- zu erwartende Konsequenzen
Der Verantwortliche muss diese Risikoentscheidung dokumentieren. Für die Risikoeinstufung gibt der Europäische Datenschutzausschuss (EDSA) die Leitlinien 01/2021 und 09/2022 an die Hand.
Aus der Risikobewertung ergibt sich, ob die Datenpanne nur der zuständigen Aufsichtsbehörde oder auch betroffenen Person zu melden ist.
Besteht eine Pflicht zur Meldung einer Datenpanne?
Ob eine Meldepflicht der Datenpanne besteht, hängt von den konkreten Umständen ab. Kein Risiko und somit keine Meldepflicht liegt vor, wenn die Daten schon vor Verlust wirksam verschlüsselt worden sind oder geeignete technische und organisatorische Maßnahmen (TOMs) getroffen wurden (Art. 34 Abs. 3 DSGVO). Nach der Vornahme dieser Maßnahmen ist zwingend eine Bewertung des möglichen Restrisikos vorzunehmen.
Besteht dagegen ein „normales“ Risiko, muss der Verantwortliche die Datenpanne bei der zuständigen Aufsichtsbehörde (Art. 55 DSGVO) gem. § 33 Abs. 1 S. 1 i.V.m Art. 4 Nr. 7 HS. 1 DSGVO unverzüglich und binnen 72 Stunden melden.
Wenn durch die Schutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten besteht, sind neben der Aufsichtsbehörde auch die betroffenen Personen zu benachrichtigen (Art. 34 DSGVO).
Ab wann läuft die Frist von 72 Stunden?
Ist es zu einem Datenschutzvorfall gekommen, ist schnelles Handeln geboten. Die Verantwortlichen müssen die Datenpanne je nach Risikobewertung innerhalb der Meldefrist von 72 Stunden an die zuständige Datenschutzbehörde oder auch die betroffene Person melden.
Die Frist beginnt zu laufen, sobald der Verantwortliche Kenntnis von den erheblichen Tatsachen der Datenpanne hat. Ein gutes Datenschutz-Management zahlt sich in diesem Fall aus. Zumal der Verantwortliche nicht unbedingt die vollen 72 Stunden ausreizen darf – vielmehr muss er ohne schuldhaftes Zögern handeln. Die Frist gilt ebenso am Wochenende und hohen Feiertagen, wie Weihnachten oder Ostern.
Wie sollte die Meldung von Datenpannen wirksam umgesetzt werden?
Für die Meldung der Datenpanne sieht die DSGVO keine Form vor. Aufgrund der Nachweispflicht aus Art. 5 Abs. 2 DSGVO empfiehlt sich jedoch eine schriftliche Meldung. Die Benachrichtigung muss in einfacher und klarer Sprache erfolgen, sodass sich der Inhalt direkt zur Kenntnis nehmen lässt.
Die Benachrichtigung einer betroffenen Person ist nur bei unverhältnismäßigem Aufwand nicht erforderlich. Sie wird durch eine öffentliche Bekanntmachung ersetzt. Wichtig ist dabei, dass die betroffenen Personen durch die öffentliche Meldung gegenüber der Individualbenachrichtigung „vergleichbar wirksam“ informiert werden.
Kommt der Verantwortliche seiner Meldepflicht nicht nach, kann es nach dem Ermessen der Datenschutzbehörden bei einer Verwarnung bleiben oder zu Geldbuße kommen. Nach Art. 83 Abs. 4a DSGVO sind Strafen bis zu zehn Millionen Euro oder bei Unternehmen bis zu 2 % des gesamten Vorjahresumsatzes möglich.
Ein gutes internes Datenschutz-Management mit aufeinander abgestimmten Prozessen ist angesichts der drohenden Konsequenzen bei Nichtumsetzung ebenso empfehlenswert wie eine umfangreiche Schulung der Mitarbeitenden.
Marc E. Evers
Rechtsanwalt
zert. DSB
zert. DS-Auditor
Samuel Stowasser
Wissenschaftlicher Mitarbeiter
Artikel teilen: