Datenpanne und DSGVO – das können Sie tun!

Eine Datenpanne bzw. ein Datenschutzvorfall liegt vor, wenn unberechtigte Personen Zugriff auf (personenbezogene) Daten haben, oder – fasst man den Begriff etwas weiter – wenn Daten ungewollt gelöscht werden. Kommt es zu einer Datenpanne, stellt sich die Frage, ob, wann und wie Datenpannen nach der Datenschutz-Grundverordnung (Art. 33 und 34 DSGVO) den zuständigen Aufsichtsbehörden zu melden und die betroffenen Personen zu benachrichtigen sind.

Datenpannen und Meldepflicht

Die DSGVO selbst verwendet für den umgangssprachlichen Begriff „Datenpanne“ die Bezeichnung „Schutzverletzung personenbezogener Daten“ (Art. 4 Nr. 12 DSGVO). Hiermit ist eine Verletzung der Sicherheit der Datenverarbeitung im weitesten Sinne gemeint.

Die Arten von meldepflichtigen Datenpannen können vielfältig sein und beschränken sich nicht unbedingt auf Fehler, die „online“ passieren können. Verdeutlich wird dies durch folgende Beispiele:

Nicht vollständig durchdachte Veröffentlichung der Daten
Daten sind auf einer Website oder per Aushang an einem schwarzen Brett öffentlich einsehbar.
Bedienfehler
Durch Fehlbedienung einer Software werden Daten ungewollt zugänglich gemacht.
Verlust unverschlüsselter Datenträger
Finder können gefundene Festplatten, USB-Sticks sowie andere Datenträger in Betrieb nehmen und auslesen.
Fehlerhafte Entsorgung von Datenträgern
Unterlagen landen im regulären Papiermüll, anstatt sie zuvor zu vernichten.
Preisgabe von Daten an Außenstehende
Anrufer geben sich als Betroffene aus und das Unternehmen prüft nicht ausreichend, ob die Personen zum Erhalt der Information legitimiert sind.
Angriff auf IT-Systeme
Angreifer verschaffen sich Zugriff auf die IT, um Daten zu stehlen.
Social Engineering
Angreifer erschleichen sich Zugangsdaten durch Täuschung ihrer Opfer.
Missbrauch von Zugriffsrechten
Zugriffsberechtigte Mitarbeiter von Unternehmen oder Staatsbedienstete missbrauchen Ihre Stellung, um Informationen für private Zwecke zu beschaffen.
Datenverlust
Unbeabsichtigte Löschung von Daten, z.B. wegen der Fehlkonfiguration einer Software.

Ursachen für Datenpannen

Auch die Ursachen für Datenpannen können vielfältig sein und lassen sich grob in folgende Kategorien aufteilen:

Fehlendes oder mangelhaftes Datenschutzkonzept
Der Datenschutz wurde nicht ganzheitlich berücksichtigt oder einzelne Bereiche, in denen die Verarbeitung personenbezogener Daten erfolgt, nicht bedacht.
Technische Fehler
Systemausfälle, z.B. durch Hardware-Defekte hervorgerufen, sind häufige Gründe für Datenpannen.
Angriffe auf die IT
Kriminelle haben es auf Daten abgesehen und greifen die IT-Systeme von Unternehmen und Behörden gezielt an.
Schwachstelle Mensch
Ob Bedienfehler oder Ausspionieren durch Angreifer, viele Datenschutzverletzungen sind auf menschliches Versagen zurückzuführen.

Umfang der Meldepflicht nach Art. 33 DSGVO

Schutzverletzung verschuldet, unbeabsichtigt oder widerrechtlich erfolgt ist und muss unverzüglich, aber grundsätzlich innerhalb von 72 Stunden erfolgen. Diese Frist beginnt mit der Feststellung. Dabei ist ein etwaiges „Kennenmüssen“ zu beachten. Hier ist ein Untätigbleiben besonders risikoreich.

Nach Art einer „Erstmeldung“ kann es erforderlich sein, weitere Meldungen an die Aufsichtsbehörde zu schicken. Immer dann, wenn neue Informationen bekannt werden, sind diese in einer Folgemeldung weiterzugeben, die einen Verweis auf vorausgehende Meldungen enthält. Es besteht eine „Ermittlungspflicht“ des Verantwortlichen, bis alle Informationen zusammengetragen sind, die die Aufsichtsbehörde benötigt, um den Vorfall zu prüfen (Art. 33 Abs. 3 Buchst. a–d DSGVO).

Die betroffenen Personen müssen – im Gegensatz zur Aufsichtsbehörde – erst dann benachrichtigt werden, wenn durch die Schutzverletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten besteht. Betroffene Personen sind in zwei Ausnahmefällen nicht zu benachrichtigen (Art. 34 Abs. 3 DSGVO):

wenn er schon im Vorfeld geeignete Sicherheitsvorkehrungen getroffen hat, die den unbefugten Zugang zu den Daten ausschließen. Dazu gehört z.B. Verschlüsselung.
wenn er im Nachgang Maßnahmen ergreift, die nach aller Wahrscheinlichkeit sicherstellen, dass das (hohe) Risiko für die Betroffenen nicht mehr besteht. Hiermit sind Maßnahmen gemeint, die das Risiko nachträglich minimieren, wie eine Wiederherstellung gelöschter Daten oder eine Fernlöschung von verlorenen Speichermedien.

Allgemeine Ausnahmen von der Meldepflicht, die etwa an die Größe des Unternehmens oder an die Art der Datenverarbeitung anknüpfen, existieren nicht. Nur wenn sich sicherstellen lässt, dass durch die Schutzverletzung kein Risiko für die Rechte und Freiheiten der Betroffenen besteht, darf die Meldung unterbleiben.

Inhalt und Form der Meldepflicht

Eine besondere Form ist grundsätzlich nicht vorgesehen – in dringenden Fällen bietet sich aber vorab eine telefonische Kontaktaufnahme mit der Aufsichtsbehörde an. Eine ausführliche Meldung, z.B. per Brief oder per Fax, folgt dann dem Gespräch. Hat die Risikoprognose ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen:

Beschreibung der Art der Verletzung (z.B. Datenverlust)
Kategorien von Betroffenen (z.B. Mitarbeiter, Kunden)
(ungefähre) Anzahl der Betroffenen, Kategorien von Datensätzen und ungefähre Anzahl der betroffenen Datensätze (z.B. Datensätze von 351 Kunden und 26 Mitarbeitern betroffen, darunter Anzahl x besonders schützenswerte Daten)
Name und Kontaktdaten des / der DSB oder sonstige Anlaufstelle
Beschreibung der wahrscheinlichen Folgen der Schutzverletzung (z.B. finanzielle Nachteile durch unbefugte Offenlegung von Bank- und Kreditkartendaten)
Beschreibung ergriffener und vorgeschlagener Maßnahmen, um die Schutzverletzung zu „beheben“ und um mögliche Folgen abzumildern
Welche Maßnahmen wurden bereits ergriffen, zur Reduzierung welches Risikos und welcher Schutzverletzung? Beispiel: Zur Reduzierung physischer Schäden durch den nicht avisierten Datenverlust der Patientenakten wurde ein Datenwiederherstellungsverfahren angewandt, wodurch die Daten zur Prozentzahl x wiederhergestellt werden konnten.
Welche Maßnahmen wurden – etwa aus zeitlichen Gründen – noch nicht ergriffen, können aber das Risiko weiter reduzieren?

Risiken und Konsequenzen

Für eine Risikobewertung von Datenpannen gilt grundsätzlich: Je größer die Auswirkungen für die Betroffenen, desto höher das Risiko aus Sicht des Unternehmens. Folgende Fragestellungen sind hierbei zu berücksichtigen:

Welche Arten von Daten sind betroffen (z.B. besondere Arten personenbezogener Daten)?
Welches Ausmaß liegt vor, wie viele Personen sind betroffen?
War die Panne absehbar oder wurden im Vorfeld angemessene Maßnahmen zum Schutz getroffen?
Verhalten bei Erkennen der Datenschutzverletzung (z.B. fristgerechtes Informieren der Aufsichtsbehörde)

Die Folgen einer Datenschutzverletzung können unterschiedlich sein und sind im Einzelnen schwer einzuschätzen. Mit folgenden Konsequenzen kann ein Verantwortlicher jedoch grundsätzlich rechnen:

Aufbereitung des Falls durch die zuständige Aufsichtsbehörde
Sofern ein meldepflichtiger Verstoß gegen Datenschutzbestimmungen vorliegt und dieser ordnungsgemäß angezeigt wird, ist mit einer Aufbereitung zu rechnen. Die Datenschützer möchten sich ein Bild von der Lage verschaffen, um anschließend über ihr weiteres Vorgehen zu entscheiden.
Verhängung eines Bußgeldes
Sollte ein Verstoß gegen geltende Datenschutzbestimmungen gemäß DSGVO vorliegen, kann die zuständige Aufsichtsbehörde ein Bußgeld verhängen.
Ergänzende Kosten
Neben der Geldstrafe drohen bei einem Datenschutzvorfall weitere Kosten, z.B. hervorgerufen durch die Behebung des Schadens oder aufgrund von Schadensersatzansprüchen, die von Betroffenen geltend gemacht werden.
Imageschaden
Wird ein Datenschutzvorfall publik, kann sich dies negativ auf die Reputation auswirken. Damit gehen weitere Risiken, wie z.B. eine schlechtere Auftragslage, einher.

Maßnahmen zur Vorbeugung

Die beste Risikominimierung bietet ein vollumfängliches Datenkonzept. Davon umfasst sind Maßnahmen, die auf verschiedenen Ebenen angesiedelt sind und alle relevanten Bereiche innerhalb einer Organisation abdecken. Zu diesen Maßnahmen zählen unter anderem:

Berücksichtigung sämtlicher Bereiche, in denen personenbezogene Daten verarbeitet werden.
Technische Maßnahmen, wie z.B. die regelmäßige IT-Wartungen oder Data Loss Prevention.
Sensibilisierung der Mitarbeiter in Form von Datenschutzschulungen.

Rechtsfolge: Gegebenenfalls besteht Pflicht zum Schadensersatz

Nicht grundlos drohen hohe Bußgelder, wenn Unternehmen die geltenden Datenschutzvorschriften nicht einhalten. Für die Betroffenen kann es untragbar sein, wenn ihre Persönlichkeitsrechte verletzt werden. Sollte diesen hierdurch ein nachweislicher Schaden entstanden sein, können diese sogar Schadensersatzansprüche geltend machen.

Datenpanne? Jetzt Media Kanzlei als Spezialist im Datenschutzrecht einschalten!

Sie sind betroffen von einer Datenpanne und benötigen Unterstützung? Zögern Sie nicht und kontaktieren Sie die Anwälte und Anwältinnen der Media Kanzlei. Unsere Team für Datenschutzrecht wird Sie umfangreich beraten. Gerade im Bereich Datenleck haben wir einen umfangreichen Erfahrungsschatz. Kontaktieren Sie uns noch heute!

    
 
 
        
   Biene Bunt 
 15 November 2023
 
 
    Ausgesprochen schnelle und freundliche Rückmeldung. Mein Dank geht dabei insbesondere an Herrn Bönsch, der auch noch spät Abends erreichbar war und alle meine Fragen beantwortet hat. Ich habe mich insgesamt sehr gut aufgehoben gefühlt und werde die Media Kanzlei gerne überall weiterempfehlen
  
 
 
 
       
   Katja Blondin 
 12 Oktober 2023
 
 
    Ich bin mega zufrieden! Gute Beratung, ausgesprochen freundlicher Kontakt. Ich habe mein Anliegen erklärt und man hat sich sofort an die Arbeit gemacht. Der Fall konnte mit einem einzigen Anschreiben erledigt werden. Kontakt via Telefon und E-Mail. Würde mich immer wieder an diese Kanzlei wenden, wenn auch ich das lieber nicht möchte :)
  
 
 
 
       
   Rita Röscher 
 3 Oktober 2023
 
 
    Als mein Instagram-Account gehackt wurde, nahm ich die rechtliche Hilfe von der Media Kanzlei in Anspruch. Meine Ansprechpartnerin war Lisa-Marie Peter. Durch ihre kompetente, zuverlässige Unterstützung ist der Account wieder in meinem Besitz. Danke, dafür. Ich kann die Kanzlei jedem/jeder empfehlen, der/die einen rechtlichen Beistand in Sachen "Medienrecht" sucht bzw. benötigt.
  
 
 
 
       
   Wien mal anders 
 26 September 2023
 
 
    Super Service und schnelle Abwickelung! Wir haben unseren Instagram wieder, danke dafür. :)
  
 
 
 
       
   Steffiii Blackmamba 
 26 September 2023
 
 
    Sehr Kompetent schnelle Hilfe bei gehackten Sozial Media Account nur weiter zu empfehlen
  
 
 
 
  
  
 
 
  Google Gesamtbewertung 4.9 von 5, 
basierend auf 133 Bewertungen

MEDIA KANZLEI IN DEN MEDIEN

MEHRFACH AUSGEZEICHNETE KANZLEI

Dr. Severin Riemenschneider Anwalt des Jahres 2019, 2020, 2021, 2022, 2023
für Medienrecht

JUVE Ranking 2020, 2021, 2022, 2023 Presse- und Äußerungsrecht, The Legal 500 2023 Presse- und Verlagsrecht, Best Lawyers Ranking 2020, 2021, 2022, Medien- und Urheberrecht – Handelsblatt, Most Outstanding Specialist Media Law 2020, 2021 – Acquisition INTL, Legal Tech Kanzlei 2020 – Legal Tech Kanzleien, Lawyer of the Year 2019, 2020, 2021, 2022, Medienrecht – Lawyer Monthly, Media Law International (MLI) ranked firm 2018, 2019, 2020, 2021, 2022, 2023