Wegen Datenpanne verärgerter Geschäftsmann

Die Datenpanne

Jetzt ist es doch passiert. Daten, für die Sie verantwortlich sind, wurden gestohlen, verloren, verändert oder vernichtet. Wer bietet bei einer Datenpanne Hilfe an? Müssen Sie die Aufsichtsbehörde oder die betroffenen Personen informieren? Gibt es ein Bußgeld-Risiko? Jetzt benötigen Sie neben einem professionellen Rat aber vor allem eine LÖSUNG.

Was ist passiert?

Nur zu leicht kann es passieren, dass Daten in falsche Hände geraten, gelöscht oder unbeabsichtigt verändert werden. Hier einige typische Fälle aus unserer Beratungspraxis:

Als Unternehmen verwenden Sie personenbezogene Daten für eigene Zwecke – also beispielsweise Daten von Kunden, Geschäftspartnern oder Mitarbeitern – oder Sie verarbeiten Daten im Auftrag eines Kunden (Auftragsverarbeitung). In beiden Fällen ist Ihr Unternehmen für einen sicheren, gesetzes- und ggf. vertragskonformen Umgang mit diesen Daten verantwortlich.

Was ist eine Datenpanne (Datenschutzvorfall)?

Ob Datenpanne, Datenschutzvorfall oder Datenschutzverletzung – gemeint ist in der Regel das Gleiche. Daten, für die ein Unternehmen verantwortlich ist, wurden derart beeinträchtigt, dass ein Risiko für die Eigentümer dieser Daten (der Datenschützer spricht von „betroffenen Personen“ oder „Betroffenen“) bestehen könnte.

Aus Sicht der gesetzlichen Vorgaben ist entscheidend, dass es sich um personenbezogene Daten handelt.

„Verletzung des Schutzes personenbezogener Daten“ [ist] eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

Artikel 4 Nr. 12 DS-GVO

Meldepflicht: Sie haben 72 Stunden Zeit

Sobald ein Unternehmen von einem Datenschutzvorfall in seiner Verantwortlichkeit Kenntnis erlangt, stehen 72 Stunden Zeit zur Verfügung. Innerhalb dieser Zeit muss der Vorfall untersucht und bewertet werden, um in bestimmten Fällen noch vor Fristablauf die zuständige Aufsichtsbehörde zu informieren.

Besteht durch den Vorfall voraussichtlich ein Risiko für die betroffenen Personen, muss die zuständige Aufsichtsbehörde informiert werden.

Wie die Risiken für die betroffenen Personen bewertet werden, haben die Aufsichtsbehörden in diesem Kurzpapier beschrieben.

Wie eine Meldung der Aufsichtsbehörde erfolgt, erklären wir in diesem Beitrag.

Weniger als 72 Stunden bei Auftragsverarbeitern

Ist das betroffene Unternehmen ein Auftragsverarbeiter und sind die Daten der Auftraggeber betroffen, dann gilt eine andere Regelung (Art. 33 Abs. 2 DS-GVO).

Auftragsverarbeiter melden eine Datenpanne unverzüglich an ihren Auftraggeber. Genauere Regelung zu den Fristen und zu den W-Fragen (wer, was, wann, wo usw.) sollten im Auftragsverarbeitungsvertrag (AVV) beschrieben sein, die Auftragsverarbeiter und Auftraggeber miteinander abgeschlossen haben.

Der Auftraggeber als „Verantwortlicher“ unterliegt dann der Meldepflicht gegenüber der Aufsichtsbehörde. Allerdings ist es nicht nur von Vorteil, sich hinter dem Auftraggeber vor der Aufsichtsbehörde verstecken zu können. Da der Auftraggeber selbst nur 72 Stunden Zeit hat, wird er dem Auftragsverarbeiter üblicherweise eine wesentlich kürzere Meldefrist in den Vertrag geschrieben haben. Dazu kommt, dass Aufsichtsbehörden sich sehr dafür interessieren, ob eine Datenpanne beim Verantwortlichen oder doch bei einem Auftragsverarbeiter entstanden ist. Bei letzteren besteht natürlich die Gefahr, dass mehr als nur ein Auftraggeber von der Panne betroffen ist.

Viel weniger als 72 Stunden für die ersten Maßnahmen

Sind die Meldepflichten das größte Problem? Das kommt darauf an.

Es wird vom betroffenen Unternehmen erwartet, dass neben der Untersuchung und Bewertung des Vorfalls unverzüglich angemessene Maßnahmen getroffen werden, um die Datenpanne zu beheben. Gegebenenfalls sind weitere Schritte zu veranlassen, um den Schaden für die betroffenen Personen abzumildern (Art. 33 Abs. 3 lit. d) DS-GVO).

Im konkreten Einzelfall ist häufig nicht klar, wie weitreichend die Maßnahmen sein müssen und welchen Aufwand ein Unternehmen zu investieren hat, um die Panne zu beheben und Schäden abzumildern. Manche Datenpannen, wie der unwiederbringliche Verlust von Daten, können möglicherweise gar nicht mehr geheilt werden.

Bei zu großer Unsicherheit kann auch über einen Anruf bei der zuständigen Aufsichtsbehörde nachgedacht werden. Vielleicht mehr nach dem Motto „ich habe da einen guten Freund und dem ist ein Missgeschick passiert …“. Tatsächlich, das funktioniert und es ist sicherlich besser als die Datenpanne als Leiche im Keller zu vergraben.

Benachrichtigung der betroffenen Personen

Neben der Aufsichtsbehörde muss der Verantwortliche auch die betroffenen Personen informieren, wenn voraussichtlich ein hohes Risiko (Risikobewertung) für die Betroffenen besteht. Aber es gibt auch Ausnahmen. Der gesetzliche Rahmen ist in Art. 34 DS-GVO beschrieben.

Besondere Herausforderungen entstehen, wenn nicht genau geklärt werden kann, welche Personen überhaupt von einer Datenpanne betroffen sind. Oder die Menge der Betroffenen ist sehr groß und diese sind nicht ohne weiteres zu erreichen.

Wer kann weiterhelfen?

Schon bei dem Verdacht einer Datenpanne sollte der eigene Datenschutzbeauftragte schnellstmöglich eingebunden werden. Dieser hilft bei der ersten Einschätzung und Risikobewertung, unterstützt bei der Festlegung von Maßnahmen und ruft ggf. bei der Aufsichtsbehörde an.

Gibt es keinen Datenschutzbeauftragten oder benötigt dieser etwas Unterstützung, finden Sie in den hier genannten Beiträgen und externen Quellen weiterführende Informationen.

Bei Bedarf gibt es hier auch Hilfe vom Experten. Und weil es in solchen Fällen eilt, gibt es bei uns eine 24-Stunden-Notfall-Hotline.