Meldung eines Datenschutzvorfalls – ein Leitfaden

Datenschutzvorfall? 72 Stunden Zeit bis zur Meldung!

In den Artikeln zur Datenschutz-Grundverordnung (DSGVO) scheint in jedem zweiten Satz das Wort „Bußgeld“ aufzutauchen, unabhängig davon, worum es in den jeweiligen Artikeln inhaltlich geht. Stellt ein Unternehmen dann fest, dass es zu einer Datenschutzpanne gekommen ist, fürchten Mitarbeiter und Geschäftsführung in der Aufregung meist zuerst die Verhängung eines Bußgeldes. An dieser Stelle möchten wir Sie beruhigen und darauf hinweisen, dass ein Datenschutzvorfall nicht zwangsläufig die Verhängung eines Bußgeldes nach sich ziehen muss.

Sollte es jedoch zu einem Datenschutzvorfall kommen, ist ein schnelles und strukturiertes Vorgehen erforderlich. Im Idealfall sollten Sie sich daher bereits vor Eintritt eines Datenschutzvorfalles mit den erforderlichen Maßnahmen und dem richtigen Verhalten vertraut machen. Dazu gehören insbesondere die sorgfältige Aufklärung und Dokumentation des Datenschutzvorfalles sowie die Beachtung der Meldepflicht des Datenschutzvorfalles gegenüber der zuständigen Behörde und gegebenenfalls gegenüber den Betroffenen.

Welche Maßnahmen sollten im Falle eines Datenschutzvorfalls ergriffen werden? Erfahren Sie, wie Sie sich optimal auf einen Datenschutzvorfall vorbereiten und die erforderlichen Schritte einleiten. Im Folgenden zeigen wir Ihnen, wie Sie am besten vorgehen und wann Sie einen Vorfall überhaupt melden müssen.

Vorab schon einmal der wichtigste Hinweis:
Nachdem ein Datenschutzvorfall bekannt wird, haben Sie noch 72 Stunden Zeit für die Meldung!

Checkliste zum Datenschutzvorfall

Laden Sie sich unsere kostenlose Checkliste zum Datenschutzvorfall herunter und seien Sie für den Ernstfall gewappnet.

Zur Checkliste

Was sind Beispiele für Datenschutzvorfälle und wie entstehen sie?

Grundvoraussetzung für die Meldung ist natürlich das Vorliegen eines Datenschutzvorfalles. Ein Datenschutzvorfall ist abstrakt jedes Ereignis, bei dem die Vertraulichkeit personenbezogener Daten verletzt wurde. Er kann durch absichtliche oder unabsichtliche Handlungen interner oder externer Personen verursacht werden. Im Allgemeinen umfasst er den unbefugten Zugang, die unbefugte Nutzung, die unbefugte Offenlegung, den unbefugten Verlust oder die unbefugte Vernichtung personenbezogener Daten. Dabei ist es unerheblich, ob ein Dritter von den Daten Kenntnis erlangt hat und ob ein Verschulden vorliegt.

Zum besseren Verständnis sind im Folgenden einige Beispiele für Datenschutzvorfälle aufgeführt:

• Unrechtmäßige Übermittlung (z. B. Versand einer E-Mail an den falschen Adressaten),
• Verlust oder Diebstahl von Speichermedien oder Dokumenten mit personenbezogenen Daten,
• Datenpannen / Datenlecks (z.B. Softwarefehler, Angriffe auf das IT-System durch Hacker),
• versehentliche Veränderung oder unbeabsichtigte Löschung personenbezogener Daten.

Wie läuft der Meldungsprozess bei einem Datenschutzvorfall ab und wer sind die beteiligten Akteure?

Wie bereits erwähnt, muss ein Datenschutzvorfall innerhalb von 72 Stunden nach Kenntniserlangung der zuständigen Aufsichtsbehörde gemeldet werden. Kenntnis vom Datenschutzvorfall erlangt der Verantwortliche beispielsweise durch die Meldung eines Mitarbeiters oder eines Auftragsverarbeiters. Kann nach einer Vorprüfung nicht von vornherein ausgeschlossen werden, dass personenbezogene Daten betroffen sind, müssen die Geschäftsführung, der Datenschutzbeauftragte und die interne IT-Abteilung informiert werden. Folgender (grober) Ablauf ist daher immer einzuhalten:

• Sammlung aller wichtigen Eckdaten zum Vorfall (Was ist passiert? Wann ist es passiert? Welche Abteilung ist involviert? Sind personenbezogene Daten betroffen? Wer ist betroffen? Etc.)
• Meldung des Datenschutzvorfalles an den Datenschutzkoordinator
• Datenschutzkoordinator: Notiert Zeitpunkt des Datenschutzvorfalles und informiert umgehend IT-Abteilung, Geschäftsführung und ggf. Datenschutzbeauftragten
• IT-Abteilung: leitet schnellstmöglich Sicherheitsmaßnahmen ein (angemessene Maßnahmen zur Abwehr/Sicherung der Daten)
• Datenschutzbeauftragter: prüft den Vorfall aus datenschutzrechtlicher Sicht und beurteilt, ob der Vorfall meldepflichtig ist.
• Geschäftsführung: trifft abschließende Entscheidung, ob Vorfall gemeldet werden soll
• Meldung des Vorfalls an die zuständige Datenschutzbehörde und die betroffene(n) Person(en)

Welche Rollen haben die Beteiligten bei einem Datenschutzvorfall und welche Aufgaben obliegen ihnen?

Dem Datenschutzkoordinator kommt bei diesem Prozess die Aufgabe der Koordinierung und Information der Beteiligten zu. Die rechtliche Prüfung des Vorfalls sowie die Anweisung konkreter Handlungen obliegt dagegen dem Datenschutzbeauftragten, ggf. in Absprache mit der Rechtsabteilung. Die Geschäftsführung leitet den Krisenstab, unterstützt bei der Aufklärung, begleitet die datenschutzrechtliche Prüfung und trifft letztendlich die Entscheidung, ob eine Meldung erfolgt. Die schnelle Überprüfung der technischen Systeme sowie ggf. die Sicherstellung von Backups der betroffenen Systeme übernimmt die IT-Abteilung.

Wann muss ein Datenschutzvorfall an die Aufsichtsbehörde gemeldet werden (Art. 33 DSGVO) und welche Informationen müssen enthalten sein?

Sind alle Informationen zum Vorfall gesammelt, muss eine Meldung an die zuständige Aufsichtsbehörde erfolgen, wenn ein Risiko für die persönlichen Rechte und Freiheiten von natürlichen Personen droht. Dies ist immer dann anzunehmen, wenn ein physischer, materieller oder immaterieller Schaden bei der betroffenen Person zu erwarten ist.

Typische Beispiel für einen solchen Schaden sind der Verlust der Kontrolle über die personenbezogenen Daten, Identitätsdiebstahl oder -betrug oder der Verlust der Vertraulichkeit von Daten, die dem Berufsgeheimnis unterliegen. Dabei muss es sich nicht um eine schwerwiegende Beeinträchtigung handeln. Ob ein Risiko besteht, wird anhand einer Risikoabwägung festgestellt. Innerhalb der Risikoabwägung müssen u.a. folgende Gesichtspunkte untersucht werden:

• Art der betroffenen Daten: bei sensiblen Daten (z.B. Gesundheitsdaten) ist von einem hohen Risiko auszugehen,
• Grad der Vertraulichkeit der Daten,
• Art des Angriffs auf die Daten,
• Missbrauchspotential,
• Möglichkeiten der Schadensbegrenzung.

Welche Mindestanforderungen müssen bei der Meldung eines Datenschutzvorfalls an die Aufsichtsbehörde erfüllt werden?

Liegt ein Risiko vor und muss eine Meldung an die Aufsichtsbehörde erfolgen, so werden an die Meldung einige Mindestanforderungen gestellt (vgl. § 33 Abs. 3 DSGVO). Sie muss Name und Kontaktdaten des Datenschutzbeauftragten, die Art der Verletzung sowie Angaben zur Kategorie der Daten und der ungefähren Anzahl der betroffenen Datensätze und Personen, eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie die von dem Unternehmen ergriffenen und vorgeschlagenen Maßnahmen zur Behebung der Verletzung enthalten.

Was tun bei Unsicherheit, ob ein Datenschutzvorfall gemeldet werden muss?

Auch Im Zweifelsfall, also wenn Sie bei der Beurteilung, ob ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, unsicher sind oder Sie nicht in der Lage sind, eine umfassende Risikoabwägung vorzunehmen, sollte der Vorfall der zuständigen Aufsichtsbehörde sicherheitshalber gemeldet werden.

Wie richtig dokumentieren, wenn kein Risiko bei einem Datenschutzvorfall besteht?

Ergibt die Abwägung, dass kein Risiko besteht, so wird eine Meldung in der Regel unterbleiben können. Unbedingt notwendig ist aber auch in diesem Fall die Dokumentation der hierfür relevanten Tatsachen und der daraus folgenden Beurteilung des Sachverhalts (§ 33 Abs. 5 DSGVO). Denn es besteht auf Seiten des Verantwortlichen eine Nachweispflicht darüber, dass er in Bezug auf die Meldepflicht eine ordnungsgemäße Entscheidung getroffen hat.

Muss die betroffene Person bei einem Datenschutzvorfall informiert werden (Art. 34 DSGVO) und welche Fälle erfordern eine Benachrichtigung?

Zudem muss geprüft werden, ob die betroffene Person informiert werden muss. Die betroffene Person ist diejenige, deren Daten beispielsweise unrechtmäßig durch Diebstahl oder Hacking an eine dritte Person gelangt sind. Eine Meldung muss jedoch nicht immer erfolgen. Im Vergleich zu den Anforderungen an die Meldung an die Aufsichtsbehörde sind die Anforderungen höher anzusetzen: Sie ist nur dann vorgeschrieben, wenn voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person besteht. Ob ein derartiges hohes Risiko besteht, wird ebenfalls anhand einer Risikoabwägung festgestellt.

Welche Datenschutzvorfälle erfordern eine Meldung?

• Rufschädigung,
• Identitätsdiebstahl und -betrug,
• finanzielle Schäden,
• Diskriminierung.

Diese Beispiele stellen ein hohes Risiko dar, sodass von einer Meldepflicht auszugehen ist. Muss eine Meldung erfolgen, dann ist sie auch für einen Laien möglichst verständlich zu formulieren und muss – ähnlich wie bei der Meldung an die Aufsichtsbehörde – einige Mindestinformationen enthalten, u.a. Name und Kontaktdaten des Datenschutzbeauftragten, sowie eine Beschreibung der Art der Verletzung, den wahrscheinlichen Folgen einer Verletzung und den vom Verantwortlichen ergriffenen und vorgeschlagenen Maßnahmen.

Wann liegt keine Meldepflicht für einen Datenschutzvorfall vor?

• Wenn geeignete technische und organisatorische Maßnahmen getroffen wurden, sodass Nachteile für betroffene Personen ausgeschlossen werden können,
• die Meldung mit unverhältnismäßigem Aufwand verbunden wäre. In diesem Fall ist jedoch stattdessen eine öffentliche Bekanntmachung oder eine vergleichbare Maßnahme erforderlich,
• durch die Meldung Informationen offenbart würden, die wegen überwiegenden Interesses eines Dritten geheim gehalten werden müssten.

Was sind die wichtigsten Schritte bei der Meldung eines Datenschutzvorfalls und wie können externe Datenschutzexperten helfen?

Gehen Sie sorgfältig mit einem Datenschutzvorfall um und richten Sie Ihr Vorgehen nach den gesetzlichen Regeln aus. So können Sie sowohl der Aufsichtsbehörde als auch den betroffenen Personen zeigen, dass Sie verantwortungsbewusst und gewissenhaft mit der Situation umgehen. Sie sollten keine Zeit verstreichen lassen und die formalen und inhaltlichen Anforderungen an die Meldung beachten. Auch wenn der Datenschutzvorfall durch die Missachtung gesetzlicher Anforderungen oder technischer Standards provoziert wurde, ist es nun taktisch klug, sich genaustens an die Regeln zu halten, und den Datenschutzvorfall sorgfältig aufzuklären und zu dokumentieren.

Wie sollten Datenschutzvorfälle gemeldet werden? Die wichtigsten Schritte und Fristen im Überblick:

• Sorgfältige interne Aufklärung des Vorfalles
• Koordinierte und strukturierte Arbeitsteilung zwischen Legal, Datenschutzbeauftragter (DSB), IT und Geschäftsführung – jeder muss seine Rolle kennen!
• Risiko abwägen:
  • einfaches Risiko - nur Aufsichtsbehörde verständigen
  • hohes Risiko – betroffene Person und Aufsichtsbehörde verständigen
• Formale Anforderungen an die Meldungen einhalten!
• 72 Stunden der Meldung gegenüber der Behörde dürfen nicht überschritten werden! Sollten diese Frist dennoch überschritten werden, müssen Sie die Fristüberschreitung begründen
• Dokumentation aller Datenschutzvorfälle und der Risikoabwägung. Auch wenn keine Meldung gegenüber der Behörde erfolgt!

Wie kann ein externer Datenschutzbeauftragter bei Datenschutzvorfällen unterstützen?

Insbesondere der Datenschutzbeauftragte spielt eine wichtige Rolle, wenn es zu einem Datenschutzvorfall gekommen ist. Ihm obliegt u.a. die wichtige Aufgabe der datenschutzrechtlichen Prüfung des Vorfalls. ISiCO kann für Ihr Unternehmen den externen Datenschutzbeauftragten stellen und durch die gezielte Implementierung der DSGVO-Vorgaben bei der Bearbeitung von Datenschutzvorfällen unterstützen oder sogar bereits deren Entstehung verhindern! Unsere Rechts- und IT-Experten können zudem Ihre internen Datenschutzbeauftragten in DSB-Schulungen auf Ihre Aufgaben vorbereiten oder Ihre Mitarbeiter im Umgang mit Datenschutzvorfällen schulen. Vertrauen Sie auf uns und unsere Expertise im Datenschutz!