Die Datenpanne nach der DSGVO und die Meldepflicht

RUS - IHK-Veranstaltung zum EU-DSGVO und BDSG - AKTUELLE | TERMINE

 

1. Was ist eine Datenpanne nach der DSGVO?

Sie sind von einer Datenschutzverletzung betroffen? Dann müssen Sie prüfen, ob es sich um eine meldepflichtige Datenpanne handelt.

Aber Achtung: Nicht jedes Datenleck führt automatisch zu einer Meldung der Datenpanne bei der Aufsichtsbehörde.

Sie müssen eine Datenpanne nur dann melden, wenn sie für den Betroffenen mit Risiken, etwa für Leib, leben, Gesundheit, Vermögen, Ruf etc. verbunden ist. Eine Verletzung personenbezogener Daten liegt nach Art. 4 Nr. 12 DSGVO vor, wenn personenbezogene Daten verloren gegangen sind bzw. vernichtet, verändert oder unbefugt offengelegt wurden.

Beispiele:

  • Ein Außendienstler verliert einen Laptop mit personenbezogenen Daten.
  • Ein Mitarbeiter öffnet eine Datei mit einem Trojaner.
  • Sie versenden  versehentlich eine E-Mail mit sensiblen Daten an den falschen Empfänger

Entscheidend ist die Risikoabwägung

  • Es muss zuerst eine Risikoanalyse erfolgen, damit festgestellt werden kann, ob eine Meldepflicht vorliegt und wer alles benachrichtigt werden muss. Der Begriff „Risiko“ wurde von den Datenschutzbehörden der Länder wie folgt definiert: „Ein Risiko ist die Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden darstellt oder zu einem weiteren Schaden führen kann“. Die Verantwortlichen müssen sich an dieser Stelle also verschiedene Fragen stellen:
    • In welcher Form ist die Datenpanne aufgetreten und was genau ist passiert?
    • Welche Schäden können durch die Datenpanne für die Betroffenen entstehen oder sind schon Schäden entstanden?
    • Wie viele Personen sind betroffen?
    • Wie wahrscheinlich ist ein Schadenseintritt?
    • Wie sehen ihr technisch-organisatorischen Maßnahmen aus? Sind Sie gut aufgestellt in dem Bereich?

2. Was Sie in jedem Fall tun müssen!

Dokumentieren Sie den Vorfall anhand eines Pannenprotokolls! Ein solches Protokoll können Sie bei uns gern kostenlos anfordern. Als Datenverarbeiter unterliegen Sie einer Dokumentationspflicht. Bewerten Sie in in diesem Verfahren, ob Sie die Datenpannen melden müssen oder nicht.

Hilfreich ist hier die Einschätzung Ihres IT-lers und sofern Sie einen Datenschutzbeauftragten haben, natürlich auch dessen Bewertung. Sind Sie unsicher?

Gerne geben wir eine Einschätzung ab.

3. Meldefrist

Sollten Sie zu einem meldepflichtigen Vorfall kommen im Rahmen Ihrer Bewertung gilt: Die Aufsichtsbehörde und die Betroffenen der Datenpanne müssen informiert werden. Die Meldung an die zuständige Aufsichtsbehörde muss innerhalb von 72 Stunden erfolgen. Welche Datenschutzbehörde konkret zuständig ist, richtet sich danach, in welchem Bundesland das Unternehmen seine Hauptniederlassung hat. Die Benachrichtigung an die betroffene Person muss unverzüglich und in einfacher Sprache erfolgen.

Thomas Lang
Rechtsanwalt, Fachanwalt für Arbeitsrecht & zertifizierter Datenschutzbeauftragter
https://www.datenschutzadvokat.de