22. August 2019

Meldung eines Datenschutzvorfalls – ein Leitfaden

In Artikeln über die Datenschutz-Grundverordnung (DSGVO) scheint in jedem zweiten Satz das Wort „Bußgeld“ zu fallen, egal, worum es in den einzelnen Artikeln inhaltlich eigentlich geht. Stellt ein Unternehmen dann fest, dass es zu einer Datenschutzpanne gekommen ist, fallen Mitarbeitern und Geschäftsführung in aller Aufruhr meist zuerst das Bußgeld ein.

Wir möchten Sie an dieser Stelle beruhigen und sagen, dass auch bei einem Datenschutzvorfall ein strukturiertes Vorgehen möglich ist und es meist lange dauern wird, bis das letzte Wort in Sachen Bußgeld und Sanktion gesprochen ist. Insbesondere, wenn der Vorfall sorgfältig aufgeklärt und dokumentiert wird. Dazu gehört auch die Meldepflicht bei der Aufsichtsbehörde und gegebenenfalls bei den von dem Datenschutzvorfall betroffenen Personen zu beachten.

Wir zeigen Ihnen im Folgenden, wie Sie dabei am besten vorgehen und wann sie überhaupt einen Vorfall melden müssen.

Vorab schon einmal der wichtigste Hinweis:
Nachdem ein Datenschutzvorfall bekannt wird,
haben Sie noch 72 Stunden Zeit für die Meldung!

Was sind Datenschutzvorfälle?

Grundvoraussetzung für die Meldung ist natürlich, dass überhaupt ein Datenschutzvorfall vorliegt. Ein Datenschutzvorfall ist grundsätzlich jedes Ereignis, in dem die Vertraulichkeit personenbezogener Daten verletzt wurde. Er kann sowohl durch vorsätzliche als auch durch unbeabsichtigte Handlungen von internen und externen Personen verursacht werden. Dazu gehören generell gefasst unbefugter Zugriff, Nutzung, Offenlegung, Verlust und unbefugte Zerstörung von personenbezogenen Daten.

Zum besseren Verständnis sind im Folgenden ein paar Beispiele von Datenschutzvorfällen genannt:

  • Unrechtmäßige Übermittlung (z.B. Versand einer E-Mail an den falschen Adressaten),
  • Verlust oder Diebstahl von Speichermedien oder Dokumentationen, die personenbezogene Daten enthalten,
  • Datenpannen / Datenlecks (z.B. Softwarefehler, Angriffe auf das IT-System durch Hacking),
  • Versehentliche Änderung oder auch die unbeabsichtigte Löschung personenbezogener Daten.

Meldepflichten – der Vorgang und Verantwortlichkeiten

Der Vorgang zur Meldung der Datenschutzpanne gegenüber der zuständigen Aufsichtsbehörde wird durch die Kenntniserlangung des Datenschutzvorfalls in Gang gesetzt. Dies geschieht beispielsweise per Mitteilung durch einen Mitarbeiter oder durch einen Auftragsverarbeiter. Falls nach grober Prüfung nicht von vornherein ausgeschlossen werden kann, dass personenbezogene Daten betroffen sind, müssen die Geschäftsführung, der Datenschutzbeauftragte und die interne IT-Abteilung informiert werden. Es ist daher stets folgender (grober) Ablauf einzuhalten:

  1. Sammlung aller wichtigen Eckdaten zum Vorfall (Was ist passiert, wann ist es passiert, welche Abteilung ist involviert, sind personenbezogene Daten betroffen, wer ist betroffen etc.)
  2. Meldung des Datenschutzvorfalls an den Datenschutzkoordinator
  3. Datenschutzkoordinator: Notiert Zeitpunktdes Datenschutzvorfalls und informiert umgehend IT-Abteilung, Geschäftsführung und ggf. Datenschutzbeauftragten
  4. IT-Abteilung: schnellstmögliche Einleitung von Sicherheitsvorkehrungen
  5. Datenschutzbeauftragter: prüft Vorfall datenschutzrechtlich und schätzt ein, ob der Vorfall meldepflichtig ist
  6. Geschäftsführung: trifft abschließende Entscheidung, ob Vorfall gemeldet werden soll
  7. Meldung des Vorfalls an die zuständige Datenschutzbehörde und die betroffene(n) Person(en)

Dem Datenschutzkoordinator kommt bei diesem Prozess die Aufgabe der Koordinierung und Information der Beteiligten zu. Die rechtliche Prüfung des Vorfalls sowie die Anweisung konkreter Handlungen obliegt dagegen dem Datenschutzbeauftragten, ggf. in Absprache mit der Rechtsabteilung. Die Geschäftsführung leitet den Krisenstab, unterstützt bei der Aufklärung und trifft letztendlich die Entscheidung, ob eine Meldung erfolgt. Die schnelle Überprüfung der technischen Systeme sowie ggf. die Sicherstellung von Backups der betroffenen Systeme kommt der IT-Abteilung zu.

Meldung an die Aufsichtsbehörde

Sind alle Informationen zum Vorfall gesammelt, muss eine Meldung an die zuständige Aufsichtsbehörde erfolgen, wenn ein Risiko für die persönlichen Rechte und Freiheiten von natürlichen Personen droht. Dabei muss es sich um keine schwerwiegende Beeinträchtigung handeln. Ob ein Risiko besteht, wird anhand einer Risikoabwägung festgestellt. Innerhalb der Risikoabwägung müssen u.a. folgende Gesichtspunkte untersucht werden:

  • Art der betroffenen Daten: bei sensiblen Daten (z.B. Gesundheitsdaten) ist von einem hohen Risiko auszugehen,
  • Grad der Vertraulichkeit der Daten,
  • Art des Angriffs auf die Daten,
  • Missbrauchspotential,
  • Möglichkeiten der Schadensbegrenzung.

 

Liegt ein Risiko vor und muss eine Meldung an die Aufsichtsbehörde erfolgen, so werden an die Meldung einige formale Anforderungen gestellt. Sie muss Name und Kontaktdaten des Datenschutzbeauftragten, die Art der Verletzung sowie Angaben zur Kategorie der Daten und der ungefähren Anzahl der betroffenen Datensätze und Personen, eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie die von dem Unternehmen ergriffenen und vorgeschlagenen Maßnahmen zur Behebung der Verletzung enthalten.

Ergibt die Abwägung, dass lediglich belanglose Daten von dem Vorfall betroffen sind, so wird eine Meldung in der Regel unterbleiben können.

Meldung an den Betroffenen

Zudem muss geprüft werden, ob die betroffene Person informiert werden muss. Die betroffene Person ist diejenige, deren Daten beispielsweise unrechtmäßig durch Diebstahl oder Hacking an eine dritte Person gelangt sind. Eine Meldung muss jedoch nicht immer erfolgen. Im Vergleich zu den Anforderungen der Meldung an die Aufsichtsbehörde sind die Anforderungen höher anzusetzen: Sie ist nur dann vorgeschrieben, wenn voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person besteht. Ob ein derartiges hohes Risiko besteht, wird ebenfalls anhand einer Risikoabwägung festgestellt.

Folgende Beispiele stellen ein hohes Risiko dar, sodass von einer Meldepflicht auszugehen ist:

  • Rufschädigung,
  • Identitätsdiebstahl- und betrug,
  • Finanzielle Schäden,
  • Diskriminierung.

 

Muss eine Meldung erfolgen, dann ist sie verständlich und möglichst laienhaft zu formulieren und muss einige formale Kriterien erfüllen, u.a. Name und Kontaktdaten des Datenschutzbeauftragten, sowie eine Beschreibung der Art der Verletzung, den wahrscheinlichen Folgen einer Verletzung und den vom Verantwortlichen ergriffenen und vorgeschlagenen Maßnahmen.

Keine Meldepflicht liegt vor, wenn:

  • geeignete technische und organisatorische Maßnahmen getroffen wurden, sodass Nachteile für betroffene Personen ausgeschlossen werden können,
  • die Meldung nur durch öffentliche Bekanntmachung erfolgen könnte und daher mit unverhältnismäßigem Aufwand verbunden wäre,
  • durch die Meldung Informationen offenbart würden, die wegen überwiegenden Interesses eines Dritten geheim gehalten werden müssten.

Fazit: Schnelles und strukturiertes Handeln ist angesagt!

Gehen Sie sorgfältig mit einem Datenschutzvorfall um und verhalten Sie sich nach den gesetzlichen Regeln, dann können Sie sowohl die Aufsichtsbehörde als auch die betroffenen Personen friedlich stimmen. Sie sollten weder die Zeit verstreichen lassen, noch die formalen und inhaltlichen Anforderungen an die Meldung ignorieren. Taktisch klug handelt nur der, der sich exakt an die Regeln hält – insbesondere, wenn er es vorher nicht gemacht hat und es so zu einem Datenschutzvorfall gekommen ist. Wichtig ist auch, dass der Datenschutzvorfall sorgfältig aufgeklärt und dokumentiert wird.


Die Meldung eines Datenschutzvorfalls: die wichtigsten Punkte

  1. Sorgfältige interne Aufklärung des Vorfalles.
  2. Koordinierte und strukturierte Arbeitsteilung zwischen Legal, Datenschutzbeauftragter (DSB), IT und Geschäftsführung – jeder muss seine Rolle kennen!
  3. Risiko abwägen:
    einfaches Risiko: nur Aufsichtsbehörde verständigen
    hohes Risiko: betroffene Person und Aufsichtsbehörde verständigen
  4. Formale Anforderungen an die Meldungen einhalten!
  5. 72 Stunden der Meldung gegenüber der Behörde dürfen nicht überschritten werden!
  6. Dokumentation aller Datenschutzvorfälle. Auch wenn keine Meldung gegenüber der Behörde erfolgt!

Insbesondere der Datenschutzbeauftragte spielt eine wichtige Rolle, wenn es zu einem Datenschutzvorfall gekommen ist. Ihm obliegt u.a. die wichtige Aufgabe der datenschutzrechtlichen Prüfung des Vorfalls. Die ISiCO Datenschutz GmbH kann für Ihr Unternehmen den externen Datenschutzbeauftragten stellen und durch die gezielte Implementierung der DSGVO-Vorgaben bei der Bearbeitung von Datenschutzvorfällen unterstützen oder sogar bereits deren Entstehung verhindern! Unsere Rechts- und IT-Experten können zudem Ihre internen Datenschutzbeauftragten in DSB-Schulungen auf Ihre Aufgaben vorbereiten oder Ihre Mitarbeiter im Umgang mit Datenschutzvorfällen schulen. Vertrauen Sie auf uns und unsere Expertise im Datenschutz!

 

Meldung Datenschutzvorfall

 

 

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!