In jedem noch so gut organisierten Betrieb kann es mal vorkommen, dass sensible persönliche Daten unbeabsichtigt in die Hände von Dritten gelangen. Dabei kann es sich um Kundendaten handeln, aber auch um Informationen über Vertragspartner oder die eigenen Mitarbeiter. Tatsächlich handelt es sich bei den meisten IT-Vorfällen auch um datenschutzrechtlich relevante Vorfälle, da fast immer auch derartige Daten betroffen sind.
Auch wenn bei Ihnen im Moment der Kenntnisnahme Unsicherheit vorherrscht, ist es wichtig Ruhe zu bewahren und nach den rechtlichen Maßgaben der DSGVO zu handeln – schon aus eigenem Interesse zur Vermeidung von Bußgeldern.
Was genau ist eine Datenpanne?
Datenpannen, welche auch als „Data Breaches“ bezeichnet werden, sind generell Vorfälle, durch die Unberechtigte aufgrund von internen Versäumnissen oder Fehlern auf personenbezogene Daten zugreifen können. In der Praxis entstehen solche Datenlecks schnell, beispielsweise durch das bloße Versenden von E-Mails an falsche Empfänger bis hin zu gezielten Hackerangriffen auf eine Datenbank. Entscheidend ist, ob es sich im individuellen Fall um einen meldepflichtigen Datenschutzvorfall handelt und wie man mit der Datenpanne am besten umgeht.
Wann ist eine Datenpanne meldepflichtig?
Gemäß Art. 33 DSGVO ist vorgesehen, dass der für die persönlichen Daten Verantwortliche eine Datenpanne bei der zuständigen Aufsichtsbehörde melden muss, wenn “ein Risiko für die Rechte und Freiheiten der betroffenen Personen” entstanden ist. Daher ist die erste Aufgabe nach der Feststellung des Lecks eine Einschätzung der Tragweite des Vorfalls. Es muss festgestellt werden, was konkret passiert und wie schwerwiegend der Eingriff tatsächlich ist.
Wann ein Risiko für Rechte und Freiheiten der Betroffenen entsteht, ist selten einfach festzustellen. Ausschlaggebend für die Bewertung sind die Qualität sowie die Masse an betroffenen personenbezogenen Daten. Sind insbesondere sensible persönlichkeitsbezogene Daten durchgesickert können sich daraus besondere Handlungspflichten ergeben. Bereits an dieser Stelle ist es dringend empfehlenswert, technische sowie juristische Beratung zu suchen, da es als verantwortliches Unternehmen bei Pannen oft schwierig wird, sich einen Überblick über die Lage zu verschaffen.
Darüber hinaus muss die Einordnung auch noch schnell erfolgen – eine meldepflichtige Panne muss der Aufsichtsbehörde nämlich schon innerhalb von 72 Stunden bekanntgegeben werden. Unangenehmerweise läuft diese Frist auch über das Wochenende und umfasst nicht wie sonst üblich nur Arbeitstage.
Was muss eine Meldung bei der Aufsichtsbehörde beinhalten?
Welchen Inhalt eine Meldung bei einer Datenschutzbehörde haben muss wird durch die DSGVO genau festgelegt. Es muss eine Beschreibung der Datenpanne erfolgen, die soweit möglich Kategorien und ungefähre Zahlen der betroffenen Personen benennt. Diese Personen sind mitsamt ihrer Kontaktdaten aufzulisten. Außerdem müssen potenzielle Folgenabschätzungen abgegeben werden. Selbstverständlich ist der Aufsichtsbehörde auch mitzuteilen, ob bereits Gegenmaßnahmen erfolgt oder in Planung sind.
Information der von der Datenpanne betroffenen Personen
Oft liegt bereits bei kleineren Vorfällen ein nennenswertes und damit meldepflichtiges Risiko vor. In diesen Fällen erfolgt die Meldung an die für das jeweilige Bundesland zuständige Datenschutzbehörde. Allerdings kennt Art. 34 DSGVO eine noch weitergehende Pflicht, die dann besteht, wenn die “Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge” hat.
Ein solcher Fall kann zum Beispiel vorliegen, wenn sensible Informationen ungewollt in die Öffentlichkeit geraten, zum Beispiel durch ein Datenleck auf einem Server mit medizinischen Patientendaten. In diesen Fällen müssen alle Betroffenen über den Zwischenfall informiert werden. Dabei kann man naturgemäß sehr viel falsch machen, so dass dann Beratung durch entsprechende Profis im Bereich Datenschutz und möglicherweise sogar PR notwendig ist.
Was passiert, wenn eine Datenpanne nicht gemeldet wird?
Wer einen meldepflichtigen Vorfall nicht an die Aufsichtsbehörde weitergibt kann für sein Verhalten mit einem hohen Bußgeld belegt werden. Des Weiteren können auch Schadensersatzforderungen durch Betroffene entstehen, welche durch den Kontrollverlust über ihre personenbezogenen Daten geschädigt wurden. Andererseits kann man sich als Unternehmen viel unnötigen Ärger durch folgende Kontrollen der Aufsichtsbehörde einhandeln, falls eine gemeldete Panne gar kein nennenswertes Risiko mit sich trug. Erneut zeigt sich anhand der möglichen Folgen, wie wertvoll eine Einschätzung von Fachexperten auf dem Gebiet ist.
Welche Praxisempfehlungen kann man geben?
Eine Datenpanne ist ungeachtet seines Ausmaßes keinesfalls auf die leichte Schulter zu nehmen. Bußgelder können sich schnell im fünf- bis sechsstelligen Bereich befinden, weshalb zügiges Handeln oberste Priorität hat. Daher ist es dringend empfehlenswert vor einem meldepflichtigen Ereignis für den tatsächlichen Eintritt einer Datenpanne neben dem IT-Leiter eine zusätzliche Person mit der Bearbeitung im Ernstfall zu beauftragen, sodass sich auch vor und während Feiertagen jemand um Data Breaches kümmert. Um einen Imageschaden Ihres Unternehmens bestmöglich abzuwenden kann nicht genug betont werden, dass zusätzliche juristische Hilfe unbedingt benötigt wird.
Bei einer Datenpanne helfen wir Ihnen gerne weiter! Als Fachanwälte sind wir auf diesem Rechtsgebiet spezialisiert. Über das Kontaktformular können Sie sich unverbindlich bei uns melden.