26.04.2022
Meldepflichten bei Datenschutzvorfällen – strategische Hinweise und Praxistipps
Die notwendigen einzuleitenden Schritte und wie Unternehmen auf Datenschutzvorfälle reagieren sollten sowie wie diese von vorneherein vermieden werden können, zeigen wir Ihnen in diesem Beitrag.
Datenschutzvorfälle sind leider keine Seltenheit mehr. Allein im Jahr 2020 ließen sich 26.057 gemeldete Datenpannen zählen. Das Schreckensszenario eines jeden Unternehmens, von einer Datenschutzverletzung betroffen zu sein, wird immer wieder Realität. Kommt es zu einem Datenschutzvorfall, sieht die Datenschutz-Grundverordnung (DSGVO) unter gewissen Umständen Meldepflichten an Aufsichtsbehörden und betroffene Personen vor. Die notwendigen einzuleitenden Schritte und wie Unternehmen auf Datenschutzvorfälle reagieren sollten sowie wie diese von vorneherein vermieden werden können, zeigen wir Ihnen in diesem Beitrag.
Was ist ein Datenschutzvorfall?
Ein Datenschutzvorfall (auch „Datenpanne“ oder „Datenleck“) ist die Verletzung des Schutzes personenbezogener Daten. In Art. 4 Nr. 12 DSGVO findet sich eine Definition, was unter einer solchen Verletzung zu verstehen ist. Demnach bezeichnet ein Datenschutzvorfall:
„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Datenpannen können dabei vielfältige Ursachen haben. Beispielsweise:
- Cyber-Angriffe auf die IT-Strukturen eines Unternehmens,
- Ransomware-Angriffen
- Fehlverhalten von Beschäftigten durch (unbeabsichtigtes) Offenlegen personenbezogener Daten,
- Versand an den falschen Empfänger,
- Verlust eines unverschlüsselten Datenträgers
- u.v.m.
Ob es verschuldet oder unbeabsichtigt zu einem Datenschutzvorfall gekommen ist, ist dabei irrelevant.
Wer muss bei einem Datenschutzvorfall reagieren?
Kommt es zu einer meldepflichtigen Datenpanne, müssen zunächst Verantwortliche schnell reagieren. Ein Unternehmen gilt dann als Verantwortlicher, wenn es allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO). Bestimmt ein Unternehmen also, welche Daten, wie und wozu verarbeitet werden, gilt es als Verantwortlicher.
Werden Unternehmen als Auftragsverarbeiter tätig, treffen auch diese gewisse Pflichten im Rahmen eines Datenschutzvorfalls. Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DSGVO jede Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Unternehmen, die als Auftragsverarbeiter auftreten, müssen im Falle eines Datenschutzvorfalls diesen an den Auftraggeber, also den Verantwortlichen, melden (vgl. Art. 33 Abs. 2 DSGVO) sowie diesen unterstützen (vgl. Art. 28 Abs. 3 lit. f DSGVO).
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Wann besteht eine Meldepflicht?
Liegt eine meldepflichtige Datenschutzverletzung vor, muss der für die Verarbeitung der Daten Verantwortliche schnell handeln. Ihn treffen dann die Meldepflichten aus Art. 33, 34 DSGVO, welche er zu erfüllen hat, sobald ihm der Datenschutzvorfall bekannt wird und ein (hohes) Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Nach Kenntnis über den Vorfall besteht eine kurze Frist von 72 Stunden zur Vornahme der Meldung bei der zuständigen Aufsichtsbehörde.
Zur Ermittlung des Risikos muss der Verantwortliche eine Bewertung nach verschiedenen zu berücksichtigenden Faktoren vornehmen. Dabei sind unter anderem die Kriterien der Eintrittswahrscheinlichkeit als auch der Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen einzubeziehen. Bei Datenpannen führt die Risikobewertung, anders als bei einer Datenschutz-Folgenabschätzung, nicht zu einem hypothetischen Ergebnis. Weitere Ausführungen zur Datenschutz-Folgenabschätzung finden sie auf unserem Blog. Bei Data Breaches liegt der Fokus auf dem tatsächlichen Risiko der Folgen, die die Datenschutzverletzung für betroffene Personen hat. Unternehmen können sich für die Risikobewertung am Kriterienkatalog der Art. 29-Datenschutzgruppe zu den Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 orientieren. Anhand dieser sieben Kriterien kann in der Praxis ermittelt werden, ob ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht:
- Art der Verletzung des Schutzes personenbezogener Daten
- Wesen, Sensibilität und Anzahl der personenbezogenen Daten
- Leichtigkeit der Identifikation von Personen
- Ernsthaftigkeit der Folgen für die Personen
- Spezielle Eigenschaften der Personen
- Anzahl der betroffenen Personen
- Spezielle Eigenschaften des Verantwortlichen der Datenverarbeitung
Im Annex der Leitlinien der Art. 29-Datenschutzgruppe finden sich einige nicht abschließende Beispiele, wann in jedem Fall eine Meldepflicht besteht. Ein Risiko besteht in der Regel unter anderem
- in Situationen der Diskriminierung,
- bei Identitätsdiebstahl oder -betrug oder
- bei finanziellen Verlusten.
Die 72 Stunden Frist zur Abgabe beginnt, sobald der Verantwortliche Kenntnis von dem Vorfall erlangt hat. Kenntnis hat der Verantwortlichen dann erlangt, wenn er die tatsächlichen Umstände des Vorfalls kennt. Weiß ein Unternehmen beispielsweise, dass es einen Cyber-Angriff auf das Unternehmen gab und dabei personenbezogene Daten abgegriffen wurden, muss das Unternehmen den Vorfall melden.
Einer Meldepflicht muss ein Unternehmen nur dann nicht nachkommen, wenn voraussichtlich kein Risiko „für die Rechte und Freiheiten natürlicher Personen“ besteht. Auch das lässt sich anhand der Risikobewertung ermitteln.
Wie muss eine Meldung erfolgen?
Interner Meldeprozess
Die gesetzlichen Meldepflichten in Art. 33 DSGVO und Art. 34 DSGVO gehen zunächst nur von der Meldung gegenüber der zuständigen Aufsichtsbehörde bzw. der Benachrichtigung der betroffenen Person selbst aus. Dennoch ist es sinnvoll, im Falle eines Datenschutzvorfalls auch interne Schritte einzuleiten – darunter beispielsweise die Meldung des Vorfalls an die IT-Abteilung des Unternehmens. Häufig können so, nach Bekanntwerden des Vorfalles, erste Schritte eingeleitet werden, um das Datenleck schnellstmöglich zu schließen und weitere Schäden zu verhindern. Die Sicherstellung interner Datenschutz-Compliance ist auch deshalb wichtig, da so mögliche künftige Datenpannen verhindert werden können oder das Risiko erheblich minimiert werden kann.
Interne verantwortliche Stellen sind zum Beispiel der Datenschutzkoordinator, die Geschäftsführung und die IT-Abteilung.
Insbesondere der Datenschutzbeauftragte des Unternehmens hat verschiedene für die Meldung von Datenschutzverletzungen besonders relevante obligatorische Aufgaben. Darunter fallen unter anderem die Beratung des vom Datenschutzvorfall betroffenen Unternehmens und die Überwachung der Einhaltung der DSGVO. Ferner ist der Datenschutzbeauftragte direkter Ansprechpartner der Aufsichtsbehörde, da der Verantwortliche bei der Meldung einer Datenschutzverletzung den Namen und die Kontaktdaten seines Datenschutzbeauftragten mitteilen muss.
Meldung an die Aufsichtsbehörde
Gesetzlich geregelt ist in Art. 33 DSGVO die Meldung des Vorfalls an die zuständige Aufsichtsbehörde. Die Meldung an die Aufsichtsbehörde muss gewisse Informationen enthalten, wie Art. 33 Abs. 3 DSGVO auflistet. Sie muss:
- die Datenschutzverletzung beschreiben und soweit möglich Angaben zu den Datenkategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der betroffenen personenbezogenen Datensätze,
- die Kontaktdaten des Datenschutzbeauftragten,
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie
- eine Beschreibung der bereits ergriffenen oder beabsichtigten Maßnahmen zur Behebung des Datenschutzvorfalls bzw. Abmilderung dessen Folgen beinhalten.
Einer gewissen Form für die Meldung an eine Behörde bedarf es nicht. Einige Datenschutzbehörden bieten zur Meldung einer Datenschutzverletzung Online-Masken oder vorgefertigte Formulare an, die Unternehmen einfach und schnell ausfüllen können. Sollten gewisse Informationen zum Datenschutzvorfall zum Zeitpunkt der Meldung noch nicht bekannt sein, können diese auch erst schrittweise an die Behörde herangetragen werden (vgl. Art. 33 Abs. 4 DSGVO).
Besondere Wichtigkeit hat die Einhaltung der Meldefrist von 72 Stunden. Sie beginnt ab dem Zeitpunkt, in welchem das verantwortliche Unternehmen Kenntnis vom Datenschutzvorfall erlangt. Verstreicht die 72 Stunden Frist, ohne dass das Unternehmen den Vorfall gemeldet hat, so ist eine Begründung für die Verzögerung der Meldung beizufügen. Diese Frist ist dringend einzuhalten, da andernfalls Bußgelder drohen können. Die Frist läuft nicht nur an klassischen Werktagen oder zu Öffnungszeiten des Unternehmens, sondern muss auch über Wochenenden beachtet werden.
Meldung an die betroffene Person
Liegt ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen Person vor, verpflichtet Art. 34 Abs. 1 DSGVO das Unternehmen darüber hinaus, die betroffenen Personen über die Datenpanne in Kenntnis zu setzen. Von einem hohen Risiko ist in aller Regel auszugehen, wenn beispielsweise Bankverbindungsdaten durch den Vorfall bekannt wurden.
Die Benachrichtigung an den Betroffenen muss nicht so umfassend erfolgen wie die Unterrichtung einer Behörde. Sie muss in einfacher und klarer Sprache beschreiben, um welche Art der Verletzung des Schutzes personenbezogener Daten es sich handelt. Außerdem muss dem Betroffenen auch mitgeteilt werden, welche Folgen wohl zu erwarten sind und welche Abhilfemaßnahmen das Unternehmen plant oder bereits getroffen hat.
Die Frist zur Benachrichtigung von Betroffenen weicht ebenfalls von derjenigen gegenüber Aufsichtsbehörden ab. Bei einer Benachrichtigungspflicht muss das Unternehmen die betroffene Person unverzüglich unterrichten. Was unter unverzüglich zu verstehen ist, variiert auch je nach den Umständen des Einzelfalles. Bei einem Risiko mit unmittelbarem Schaden müssen betroffene Personen wohl sofort benachrichtigt werden, wohingegen eine längere Benachrichtigungsfrist bei weniger akuten Schadensszenarien gerechtfertigt sein kann.
Unter gewissen Umständen kann trotz hohen Risikos eine Benachrichtigung des Betroffenen entbehrlich sein. Unter anderem dann, wenn die betroffenen Daten durch geeignete technische und organisatorische Sicherheitsvorkehrungen ausreichend geschützt gewesen sind, etwa durch eine Verschlüsselung. Weitere Umstände, in denen keine Benachrichtigung nötig ist, finden sich in Art. 34 Abs. 3 lit. b, c DSGVO.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Rechenschaftspflicht und Aufzeichnung
Der Verantwortliche ist verpflichtet, alle Datenschutzverletzungen zu dokumentieren, und zwar auch dann, wenn keine Meldung an die Aufsichtsbehörde notwendig war. Diese Pflicht zur Dokumentation resultiert aus der in Art. 5 Abs. 2 DSGVO normierten Rechenschaftspflicht. Bei der Dokumentation eines Datenschutzvorfalls empfiehlt es sich, die Vorkommnisse und Ursachen unter Angabe, welche personenbezogenen Daten beeinträchtigt wurden, genau zu beschreiben. Außerdem erscheint es sinnvoll, zu dokumentieren, wie auf die Datenschutzverletzung reagiert wurde, welche Abhilfemaßnahmen eingeleitet wurden und wie die Risikobewertung stattgefunden hat.
Sanktionen bei Nichtmeldung trotz entsprechenden Risikos
Versäumt ein Unternehmen, das von einer Datenpanne betroffen ist, der Pflicht einer Meldung an die Aufsichtsbehörde nachzukommen, kann diese verschiedene Maßnahmen gegen das Unternehmen in die Wege leiten. Unter Umständen kann die Nichtmeldung trotz entsprechenden Risikos zu einer Verhängung einer Geldbuße führen. Daneben können auch weitere Abhilfemaßnahmen gem. Art. 58 Abs. 2 DSGVO angesetzt werden.
Die Geldbuße kann bis zu 10 000 000 € oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens betragen (vgl. Art. 83 Abs. 4 lit. a DSGVO).
Auch das steigende Bewusstsein von betroffenen Personen hinsichtlich der Möglichkeit, Schadensersatz nach der DSGVO zu verlangen, müssen Unternehmen bei Datenschutzvorfällen im Blick behalten. Detailliertes Hintergrundwissen zu Schadensersatzansprüchen nach der DSGVO finden Sie hier auf unserem Blog.
Datenschutzvorfälle vorbeugen
Datenschutzvorfälle sollten mit geeigneten Maßnahmen vorgebeugt werden:
- Implementierung geeigneter technischer und organisatorischer Maßnahmen
- Schulungen von Beschäftigten, um datenschutzrechtliche Sensibilität zu schaffen
- Zugriffskonzepte, Passwort- und Verschlüsselungstechniken implementieren
- Prüfung und Anpassung der Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO
- Etablierung eines Datenschutzmanagements
Checkliste: Wie sollten Unternehmen bei Datenpannen vorgehen?
- Prüfen Sie, ob der Schutz personenbezogener Daten verletzt wurde, sobald Sie von einem Sicherheitsvorfall erfahren.
- Sprechen Sie mit Ihrem Datenschutzbeauftragten – informieren Sie wichtige interne Stellen.
- Identifizieren Sie das Risiko für die Rechte und Freiheiten betroffener Personen.
- Leiten Sie Vorkehrungen ein, das Datenleck zu schließen.
- Sofern ein hohes Risiko vorliegt, melden Sie den Vorfall bei der zuständigen Aufsichtsbehörde.
- Benachrichtigen Sie, soweit nötig, betroffene Personen.
- Treffen Sie Maßnahmen, um Datenschutzvorfälle vorzubeugen.
Fazit
Auch der Europäische Datenschutzausschuss (EDSA) hat im Dezember 2021 neue Leitlinien zu Beispielen in Bezug auf die Benachrichtigung bei Verletzung personenbezogener Daten veröffentlicht. Unternehmen können diese ebenfalls unterstützend zur Bewältigung eines Datenschutzvorfalls heranziehen. Bezug nehmen die Leitlinien des EDSA unter anderem auf Ransomware-Angriffe, Datendiebstahl sowie Risikoquellen seitens unternehmensinterner Beschäftigter.
Datenschutzverletzungen werden insbesondere durch veraltete Datensicherheitssysteme oder Systemschwächen begünstigt. Der Schlüssel zu Datensicherheit liegt damit in den präventiven Maßnahmen zur Verhinderung von Datenschutzverletzungen. Vorbeugende Maßnahmen, wie ein umfassendes Datenschutzmanagement, sind besonders wichtig, weil Folgen eines Data Breaches unter Umständen unumkehrbar sein können. Unser Team an spezialisierten Datenschutzexpert:innen entwickelt gemeinsam mit Ihnen eine Ihrem Unternehmen gerecht werdende Datenschutzstrategie. Kontaktieren Sie uns gerne!
Weitere Neuigkeiten
23.09.2024
NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
Am 16.01.2023 trat die NIS2-Richtlinie EU-weit in Kraft. Nachdem des zugehörige Umsetzungsgesetz mehrfach geändert wurde, liegt mittlerweile der wohl finale Entwurf vor und das Inkrafttreten der NIS2-Anforderungen rückt immer näher. Eine Vielzahl von Unternehmen steht nun vor der Frage, ob sie dem Anwendungsbereich der NIS2-Richtlinie unterfallen, welche Pflichten sie treffen und wie sie diese Pflichten durch geeignete Maßnahmen erfüllen können. Wir haben die Anforderungen und notwendigen Maßnahmen für Sie aufbereitet.
Weiterlesen … NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
10.09.2024
Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern
Wenn Konzerne nach außen wie innen als eine geschlossene Einheit auftreten, sollten Datenübermittlungen zwischen ihren einzelnen Unternehmen auf den ersten Blick kein besonderes Problem darstellen. Doch den Konzern als eigenen datenschutzrechtlich Verantwortlichen, kennt die Datenschutz-Grundverordnung nicht. Und damit sind auch Datenübermittlungen im Konzern nicht automatisch rechtlich zulässig. Wir geben in diesem Beitrag einen Überblick über die wichtigsten Fragestellungen, Anforderungen und Lösungsmöglichkeiten im Bereich Datenübermittlung in Konzernen.
26.08.2024
Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance
Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, empfiehlt sich ein Datenschutzmanagementsystem (DSMS). Denn damit lassen sich die datenschutzrechtlichen Anforderungen regeln, planen, umsetzen und kontrollieren. Das vereinfacht die Compliance für Unternehmen und deren Mitarbeiter:innen wesentlich. Lesen Sie hier, wie der DSGVO-konforme Aufbau eines DSMS gelingt, wer im Unternehmen dafür Verantwortlich ist und welche Software Ihnen helfen kann.
Weiterlesen … Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance