26. April 2022

Meldepflichten bei Datenschutzvorfällen – strategische Hinweise und Praxistipps

Datenschutzvorfälle sind leider keine Seltenheit mehr. Allein im Jahr 2020 ließen sich 26.057 gemeldete Datenpannen zählen. Das Schreckensszenario eines jeden Unternehmens, von einer Datenschutzverletzung betroffen zu sein, wird immer wieder Realität. Kommt es zu einem Datenschutzvorfall, sieht die Datenschutz-Grundverordnung (DSGVO) unter gewissen Umständen Meldepflichten an Aufsichtsbehörden und betroffene Personen vor. Die notwendigen einzuleitenden Schritte und wie Unternehmen auf Datenschutzvorfälle reagieren sollten sowie wie diese von vorneherein vermieden werden können, zeigen wir Ihnen in diesem Beitrag.

Was ist ein Datenschutzvorfall?

Ein Datenschutzvorfall (auch „Datenpanne“ oder „Datenleck“) ist die Verletzung des Schutzes personenbezogener Daten. In Art. 4 Nr. 12 DSGVO findet sich eine Definition, was unter einer solchen Verletzung zu verstehen ist. Demnach bezeichnet ein Datenschutzvorfall:

„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Datenpannen können dabei vielfältige Ursachen haben. Beispielsweise:

  • Cyber-Angriffe auf die IT-Strukturen eines Unternehmens,
  • Ransomware-Angriffen
  • Fehlverhalten von Beschäftigten durch (unbeabsichtigtes) Offenlegen personenbezogener Daten,
  • Versand an den falschen Empfänger,
  • Verlust eines unverschlüsselten Datenträgers
  • u.v.m.

Ob es verschuldet oder unbeabsichtigt zu einem Datenschutzvorfall gekommen ist, ist dabei irrelevant.

Wer muss bei einem Datenschutzvorfall reagieren?

Kommt es zu einer meldepflichtigen Datenpanne, müssen zunächst Verantwortliche schnell reagieren. Ein Unternehmen gilt dann als Verantwortlicher, wenn es allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO). Bestimmt ein Unternehmen also, welche Daten, wie und wozu verarbeitet werden, gilt es als Verantwortlicher.

Werden Unternehmen als Auftragsverarbeiter tätig, treffen auch diese gewisse Pflichten im Rahmen eines Datenschutzvorfalls. Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DSGVO jede Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Unternehmen, die als Auftragsverarbeiter auftreten, müssen im Falle eines Datenschutzvorfalls diesen an den Auftraggeber, also den Verantwortlichen, melden (vgl. Art. 33 Abs. 2 DSGVO) sowie diesen unterstützen (vgl. Art. 28 Abs. 3 lit. f DSGVO).


Newsletter: Bleiben Sie immer auf dem Laufenden

Verpassen Sie keine Updates rund um Datenschutz, Informationssicherheit und Compliance. Melden Sie sich noch heute bei unserem Newsletter an!

Newsletter-Anmeldung

Wann besteht eine Meldepflicht?

Liegt eine meldepflichtige Datenschutzverletzung vor, muss der für die Verarbeitung der Daten Verantwortliche schnell handeln. Ihn treffen dann die Meldepflichten aus Art. 33, 34 DSGVO, welche er zu erfüllen hat, sobald ihm der Datenschutzvorfall bekannt wird und ein (hohes) Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Nach Kenntnis über den Vorfall besteht eine kurze Frist von 72 Stunden zur Vornahme der Meldung bei der zuständigen Aufsichtsbehörde.

Zur Ermittlung des Risikos muss der Verantwortliche eine Bewertung nach verschiedenen zu berücksichtigenden Faktoren vornehmen. Dabei sind unter anderem die Kriterien der Eintrittswahrscheinlichkeit als auch der Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen einzubeziehen. Bei Datenpannen führt die Risikobewertung, anders als bei einer Datenschutz-Folgenabschätzung, nicht zu einem hypothetischen Ergebnis. Weitere Ausführungen zur Datenschutz-Folgenabschätzung finden sie auf unserem Blog. Bei Data Breaches liegt der Fokus auf dem tatsächlichen Risiko der Folgen, die die Datenschutzverletzung für betroffene Personen hat. Unternehmen können sich für die Risikobewertung am Kriterienkatalog der Art. 29-Datenschutzgruppe zu den Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 orientieren. Anhand dieser sieben Kriterien kann in der Praxis ermittelt werden, ob ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht:

  1. Art der Verletzung des Schutzes personenbezogener Daten
  2. Wesen, Sensibilität und Anzahl der personenbezogenen Daten
  3. Leichtigkeit der Identifikation von Personen
  4. Ernsthaftigkeit der Folgen für die Personen
  5. Spezielle Eigenschaften der Personen
  6. Anzahl der betroffenen Personen
  7. Spezielle Eigenschaften des Verantwortlichen der Datenverarbeitung

Im Annex der Leitlinien der Art. 29-Datenschutzgruppe finden sich einige nicht abschließende Beispiele, wann in jedem Fall eine Meldepflicht besteht. Ein Risiko besteht in der Regel unter anderem

  • in Situationen der Diskriminierung,
  • bei Identitätsdiebstahl oder -betrug oder
  • bei finanziellen Verlusten.

Die 72 Stunden Frist zur Abgabe beginnt, sobald der Verantwortliche Kenntnis von dem Vorfall erlangt hat. Kenntnis hat der Verantwortlichen dann erlangt, wenn er die tatsächlichen Umstände des Vorfalls kennt. Weiß ein Unternehmen beispielsweise, dass es einen Cyber-Angriff auf das Unternehmen gab und dabei personenbezogene Daten abgegriffen wurden, muss das Unternehmen den Vorfall melden.

Einer Meldepflicht muss ein Unternehmen nur dann nicht nachkommen, wenn voraussichtlich kein Risiko „für die Rechte und Freiheiten natürlicher Personen“ besteht. Auch das lässt sich anhand der Risikobewertung ermitteln.


Das könnte Sie auch interessieren:


Wie muss eine Meldung erfolgen?

Interner Meldeprozess

Die gesetzlichen Meldepflichten in Art. 33 DSGVO und Art. 34 DSGVO gehen zunächst nur von der Meldung gegenüber der zuständigen Aufsichtsbehörde bzw. der Benachrichtigung der betroffenen Person selbst aus. Dennoch ist es sinnvoll, im Falle eines Datenschutzvorfalls auch interne Schritte einzuleiten – darunter beispielsweise die Meldung des Vorfalls an die IT-Abteilung des Unternehmens. Häufig können so, nach Bekanntwerden des Vorfalles, erste Schritte eingeleitet werden, um das Datenleck schnellstmöglich zu schließen und weitere Schäden zu verhindern. Die Sicherstellung interner Datenschutz-Compliance ist auch deshalb wichtig, da so mögliche künftige Datenpannen verhindert werden können oder das Risiko erheblich minimiert werden kann.

Interne verantwortliche Stellen sind zum Beispiel der Datenschutzkoordinator, die Geschäftsführung und die IT-Abteilung.

Insbesondere der Datenschutzbeauftragte des Unternehmens hat verschiedene für die Meldung von Datenschutzverletzungen besonders relevante obligatorische Aufgaben. Darunter fallen unter anderem die Beratung des vom Datenschutzvorfall betroffenen Unternehmens und die Überwachung der Einhaltung der DSGVO. Ferner ist der Datenschutzbeauftragte direkter Ansprechpartner der Aufsichtsbehörde, da der Verantwortliche bei der Meldung einer Datenschutzverletzung den Namen und die Kontaktdaten seines Datenschutzbeauftragten mitteilen muss.

Meldung an die Aufsichtsbehörde

Gesetzlich geregelt ist in Art. 33 DSGVO die Meldung des Vorfalls an die zuständige Aufsichtsbehörde. Die Meldung an die Aufsichtsbehörde muss gewisse Informationen enthalten, wie Art. 33 Abs. 3 DSGVO auflistet. Sie muss:

  • die Datenschutzverletzung beschreiben und soweit möglich Angaben zu den Datenkategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der betroffenen personenbezogenen Datensätze,
  • die Kontaktdaten des Datenschutzbeauftragten,
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie
  • eine Beschreibung der bereits ergriffenen oder beabsichtigten Maßnahmen zur Behebung des Datenschutzvorfalls bzw. Abmilderung dessen Folgen beinhalten.

Einer gewissen Form für die Meldung an eine Behörde bedarf es nicht. Einige Datenschutzbehörden bieten zur Meldung einer Datenschutzverletzung Online-Masken oder vorgefertigte Formulare an, die Unternehmen einfach und schnell ausfüllen können. Sollten gewisse Informationen zum Datenschutzvorfall zum Zeitpunkt der Meldung noch nicht bekannt sein, können diese auch erst schrittweise an die Behörde herangetragen werden (vgl. Art. 33 Abs. 4 DSGVO).

Besondere Wichtigkeit hat die Einhaltung der Meldefrist von 72 Stunden. Sie beginnt ab dem Zeitpunkt, in welchem das verantwortliche Unternehmen Kenntnis vom Datenschutzvorfall erlangt. Verstreicht die 72 Stunden Frist, ohne dass das Unternehmen den Vorfall gemeldet hat, so ist eine Begründung für die Verzögerung der Meldung beizufügen. Diese Frist ist dringend einzuhalten, da andernfalls Bußgelder drohen können. Die Frist läuft nicht nur an klassischen Werktagen oder zu Öffnungszeiten des Unternehmens, sondern muss auch über Wochenenden beachtet werden.

Meldung an die betroffene Person

Liegt ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen Person vor, verpflichtet Art. 34 Abs. 1 DSGVO das Unternehmen darüber hinaus, die betroffenen Personen über die Datenpanne in Kenntnis zu setzen. Von einem hohen Risiko ist in aller Regel auszugehen, wenn beispielsweise Bankverbindungsdaten durch den Vorfall bekannt wurden.

Die Benachrichtigung an den Betroffenen muss nicht so umfassend erfolgen wie die Unterrichtung einer Behörde. Sie muss in einfacher und klarer Sprache beschreiben, um welche Art der Verletzung des Schutzes personenbezogener Daten es sich handelt. Außerdem muss dem Betroffenen auch mitgeteilt werden, welche Folgen wohl zu erwarten sind und welche Abhilfemaßnahmen das Unternehmen plant oder bereits getroffen hat.

Die Frist zur Benachrichtigung von Betroffenen weicht ebenfalls von derjenigen gegenüber Aufsichtsbehörden ab. Bei einer Benachrichtigungspflicht muss das Unternehmen die betroffene Person unverzüglich unterrichten. Was unter unverzüglich zu verstehen ist, variiert auch je nach den Umständen des Einzelfalles. Bei einem Risiko mit unmittelbarem Schaden müssen betroffene Personen wohl sofort benachrichtigt werden, wohingegen eine längere Benachrichtigungsfrist bei weniger akuten Schadensszenarien gerechtfertigt sein kann.

Unter gewissen Umständen kann trotz hohen Risikos eine Benachrichtigung des Betroffenen entbehrlich sein. Unter anderem dann, wenn die betroffenen Daten durch geeignete technische und organisatorische Sicherheitsvorkehrungen ausreichend geschützt gewesen sind, etwa durch eine Verschlüsselung. Weitere Umstände, in denen keine Benachrichtigung nötig ist, finden sich in Art. 34 Abs. 3 lit. b, c DSGVO.

Rechenschaftspflicht und Aufzeichnung

Der Verantwortliche ist verpflichtet, alle Datenschutzverletzungen zu dokumentieren, und zwar auch dann, wenn keine Meldung an die Aufsichtsbehörde notwendig war. Diese Pflicht zur Dokumentation resultiert aus der in Art. 5 Abs. 2 DSGVO normierten Rechenschaftspflicht. Bei der Dokumentation eines Datenschutzvorfalls empfiehlt es sich, die Vorkommnisse und Ursachen unter Angabe, welche personenbezogenen Daten beeinträchtigt wurden, genau zu beschreiben. Außerdem erscheint es sinnvoll, zu dokumentieren, wie auf die Datenschutzverletzung reagiert wurde, welche Abhilfemaßnahmen eingeleitet wurden und wie die Risikobewertung stattgefunden hat.

Sanktionen bei Nichtmeldung trotz entsprechenden Risikos

Versäumt ein Unternehmen, das von einer Datenpanne betroffen ist, der Pflicht einer Meldung an die Aufsichtsbehörde nachzukommen, kann diese verschiedene Maßnahmen gegen das Unternehmen in die Wege leiten. Unter Umständen kann die Nichtmeldung trotz entsprechenden Risikos zu einer Verhängung einer Geldbuße führen. Daneben können auch weitere Abhilfemaßnahmen gem. Art. 58 Abs. 2 DSGVO angesetzt werden.

Die Geldbuße kann bis zu 10 000 000 € oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des Unternehmens betragen (vgl. Art. 83 Abs. 4 lit. a DSGVO).

Auch das steigende Bewusstsein von betroffenen Personen hinsichtlich der Möglichkeit, Schadensersatz nach der DSGVO zu verlangen, müssen Unternehmen bei Datenschutzvorfällen im Blick behalten. Detailliertes Hintergrundwissen zu Schadensersatzansprüchen nach der DSGVO finden Sie hier auf unserem Blog.

Datenschutzvorfälle vorbeugen

Datenschutzvorfälle sollten mit geeigneten Maßnahmen vorgebeugt werden:

  • Implementierung geeigneter technischer und organisatorischer Maßnahmen
  • Schulungen von Beschäftigten, um datenschutzrechtliche Sensibilität zu schaffen
  • Zugriffskonzepte, Passwort- und Verschlüsselungstechniken implementieren
  • Prüfung und Anpassung der Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO
  • Etablierung eines Datenschutzmanagements

Checkliste: Wie sollten Unternehmen bei Datenpannen vorgehen?

  • Prüfen Sie, ob der Schutz personenbezogener Daten verletzt wurde, sobald Sie von einem Sicherheitsvorfall erfahren.
  • Sprechen Sie mit Ihrem Datenschutzbeauftragten – informieren Sie wichtige interne Stellen.
  • Identifizieren Sie das Risiko für die Rechte und Freiheiten betroffener Personen.
  • Leiten Sie Vorkehrungen ein, das Datenleck zu schließen.
  • Sofern ein hohes Risiko vorliegt, melden Sie den Vorfall bei der zuständigen Aufsichtsbehörde.
  • Benachrichtigen Sie, soweit nötig, betroffene Personen.
  • Treffen Sie Maßnahmen, um Datenschutzvorfälle vorzubeugen.

Fazit

Auch der Europäische Datenschutzausschuss (EDSA) hat im Dezember 2021 neue Leitlinien zu Beispielen in Bezug auf die Benachrichtigung bei Verletzung personenbezogener Daten veröffentlicht. Unternehmen können diese ebenfalls unterstützend zur Bewältigung eines Datenschutzvorfalls heranziehen. Bezug nehmen die Leitlinien des EDSA unter anderem auf Ransomware-Angriffe, Datendiebstahl sowie Risikoquellen seitens unternehmensinterner Beschäftigter.

Datenschutzverletzungen werden insbesondere durch veraltete Datensicherheitssysteme oder Systemschwächen begünstigt. Der Schlüssel zu Datensicherheit liegt damit in den präventiven Maßnahmen zur Verhinderung von Datenschutzverletzungen. Vorbeugende Maßnahmen, wie ein umfassendes Datenschutzmanagement, sind besonders wichtig, weil Folgen eines Data Breaches unter Umständen unumkehrbar sein können. Unser Team an spezialisierten Datenschutzexpert:innen entwickelt gemeinsam mit Ihnen eine Ihrem Unternehmen gerecht werdende Datenschutzstrategie. Kontaktieren Sie uns gerne!

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!