Das Melden einer Datenpanne in 72 Stunden

Wenn bei einer Datenpanne bzw. einem Datenschutzvorfall voraussichtlich ein Risiko für die betroffenen Personen besteht, muss das verantwortliche Unternehmen (Verantwortlicher) innerhalb von 72 Stunden nach Kenntnisnahme diese Datenpanne melden. Die Meldepflicht besteht gegenüber der zuständigen Aufsichtsbehörde. Aber Achtung: Auftragsverarbeiter melden eine Datenschutzverletzung an ihren Auftraggeber. Gegenüber der Aufsichtsbehörde ist nur der Verantwortliche meldepflichtig (Art. 33 DS-GVO). Allerdings funktioniert das nicht bei jeder Aufsichtsbehörde gleich. Während die eine ein Meldeformular online anbietet, ist bei der nächsten ein Offline-Dokument auszufüllen. Auch der gewünschte Inhalt unterscheidet sich im Detail deutlich.

Wir haben hier die typischen Fragen der Aufsichtsbehörden zusammengefasst, damit betroffene Unternehmen das Melden einer Datenpanne nach diesem Muster optimal vorbereiten können.

Die einzelnen Meldeformulare und Meldewege der deutschen Aufsichtsbehörden haben wir in diesem Beitrag zusammengestellt.

Melden einer Datenpanne: Die verschiedenen Meldearten

Die Aufsichtsbehörden bieten in der Regel verschiedene Meldearten an – eine Erstmeldung oder eine Folge- bzw. ergänzende Meldung. Das ist in der Praxis durchaus sinnvoll, da zur Einhaltung der Meldefrist von 72 Stunden häufig noch nicht alle relevanten Informationen zur Verfügung stehen. Somit kann der Verantwortliche eine zunächst unvollständige Erstmeldung innerhalb der Frist einreichen. Sobald möglich können dann fehlende oder neue Informationen über ergänzende Meldungen nachgereicht werden.

Der Verantwortliche

Die Meldepflicht besteht für den datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DS-GVO). Wer als Auftragsverarbeiter für andere Verantwortliche tätig ist, meldet immer nur an den Verantwortlichen und nicht direkt an die Aufsichtsbehörde. Art und Inhalt der Meldung sollten im Auftragsverarbeitungsvertrag (AVV) beschrieben sein.

In der Praxis kann die Meldung von einem Mitarbeiter des Verantwortlichen, aber auch von anderen Personen, die vom Verantwortlichen beauftragt wurden, abgegeben werden. Das machen beispielsweise externe Datenschutzbeauftragte in geübter Art und Weise.

Somit enthält eine Meldung immer die Information: Wer ist der Verantwortliche (Kontaktdaten) und wer meldet (Kontaktdaten) und ggf. in welcher Beziehung steht dieser zum Verantwortlichen.

Manche Aufsichtsbehörden möchten auch wissen, wen sie als nächstes kontaktieren sollen. Das kann ggf. auch eine andere Person sein. Wir raten, hier einen Datenschützer als Schnittstelle zu nutzen.

Weitere Beteiligte

Möglicherweise sind an der Datenpanne weitere Stellen oder Einzelpersonen beteiligt. Erwartet werden Angaben wie involvierte Auftragsverarbeiter, Dienstleister, die nicht Auftragsverarbeiter sind, oder ggf. weitere Verantwortliche (Stichwort: Gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO).

Erste Angaben zum konkreten Sachverhalt

Die Aufsichtsbehörde prüft, ob der Verantwortliche seine Meldefrist eingehalten hat. Daher wird abgefragt, wann dem Verantwortlichen die Datenpanne bzw. der Datenschutzvorfall bekannt geworden ist. Der Zeitpunkt dieser Kenntnisnahme durch den Verantwortlichen ist möglicherweise nicht mit dem Zeitpunkt der eigentlichen Datenpanne identisch. Häufig passiert etwas, das erst wesentlich später festgestellt und noch später als Datenpanne eingeordnet wird.

Sofern die 72-Stunden-Frist für das Melden einer Datenpanne überschritten wurde, sollte diese Überschreitung unbedingt plausibel begründet werden.

Die Datenpanne ist angemessen ausführlich zu beschreiben (Art. 33 Abs. 3 DS-GVO). Hierbei sollte darauf geachtet werden, die Sachverhalte so zu beschreiben, dass eine fachkundige Person der Aufsichtsbehörde diese auch nachvollziehen kann. Meist (hoffentlich) ist das Unternehmen dem Sachbearbeiter nicht bekannt. Daher sollte neben der eigentlichen Datenpanne auch der nähere Unternehmenskontext erläutert werden.

Einige Aufsichtsbehörden, z. B. in NRW, fragen bestimmte Details zur Datenpanne kategorisch ab. Wir vermuten, dass der Sachbearbeiter den Vorfall so besser in innerbehördlichen Handlungsanweisungen einordnen kann. Andere Aufsichtsbehörden geben hier keine konkreten Vorgaben. Die nachfolgenden Beispiele können aber dennoch dabei helfen, eine angemessene Sachverhaltsbeschreibung zu erstellen:

Beispiel: Art der Verletzung des Schutzes personenbezogener Daten (NRW):

• Vernichtung
• Verlust
• Veränderung
• Unbefugte Offenlegung
• Unbefugter Zugang Erläuterung:
• Wie kam es zu der Verletzung des Schutzes personenbezogener Daten?
• Weitergabe von personenbezogenen Daten an Unbefugte
• Fehlversand
• Veröffentlichung
• Offener E-Mailverteiler
• Diebstahl eines Mediums mit personenbezogenen Daten
• Verlust eines Mediums mit personenbezogenen Daten
• Zerstörung eines Mediums mit personenbezogenen Daten
• Hackerangriff (Virus/Trojaner/Phishing)
• Andere Ursachen (zu erläutern)

Beispiel: Wer oder was hat die Datenschutzverletzung ausgelöst? (NRW)

• Technischer Fehler
• Person mit Schädigungsabsicht
• Person ohne Schädigungsabsicht
• unbekannt

Beispiele für die Beschreibung der betroffenen Personen

• Kinder/Minderjährige
• Kunden oder Kundinnen
• Beschäftigte
• Nutzer oder Nutzerinnen
• Patienten oder Patientinnen
• schutzbedürftige Personen
• Andere Personen (zu erläutern)

Beispiele für die Beschreibung der Kategorien betroffener Daten

Besondere Kategorien personenbezogener Daten:

• Daten zur rassischen und ethnischen Herkunft
• politische Meinungen
• religiöse oder weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• genetische Daten
• biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
• Gesundheitsdaten
• Daten zum Sexualleben oder zur sexuellen Orientierung

Sonstige Kategorien:

• Finanzdaten
• Daten aus dem Versicherungsbereich
• E-Mail-Adressen
• Passwörter
• Geheimhaltungs- oder Verschwiegenheitspflichten unterliegende Daten
• Postadressen
• Standortdaten
• Fotos/Videos
• Sonstige Kategorien (zu erläutern)

Um eine Vorstellung vom Umfang der Daten zu erhalten, wird die ungefähre Zahl betroffener Personen und/oder ungefähre Zahl betroffener Datensätze abgefragt.

Auswirkungen der Datenpanne

Beim Melden einer Datenpanne müssen auch die voraussichtlichen Auswirkungen bzw. Risiken für die betroffenen Personen angemessen beschrieben werden. Beispiele für mögliche Auswirkungen:

• Identitätsdiebstahl
• Betrug
• finanzielle Verluste
• Gefährdung des Berufsgeheimnisses
• Verlust der Kontrolle ihrer personenbezogener Daten
• Einschränkung von Rechten
• Diskriminierung
• Aufhebung der Pseudonymisierung
• Rufschädigung
• erhebliche wirtschaftliche Nachteile
• erhebliche gesellschaftliche Nachteile
• Gefahr für Leib und Leben
• Andere Folgen (zu erläutern)

Im Online-Meldeformular von NRW wird ergänzend nach dem Risiko für die betroffenen Personen gefragt. Die Antwortmöglichkeiten sind:

• voraussichtlich kein bzw. nur geringes Risiko
• Risiko

Bei der Auswahl von “voraussichtlich kein bzw. nur geringes Risiko” wird dieses Onlinemeldeformular die Annahme der Meldung mit dem Hinweis ablehnen, dass bei keinem oder einem nur geringen Risiko keine Meldepflicht besteht. Damit wird nur eine Meldung entgegen genommen, wenn sich der Meldende klar dazu bekennt, dass voraussichtlich ein Risiko für die betroffenen Personen besteht. Das Risiko ist dann näher zu begründen.

Auch wenn bei einem Datenschutzvorfall voraussichtlich kein Risiko besteht, ist der Vorfall dennoch zu dokumentieren und für Prüfzwecke der Aufsichtsbehörde aufzubewahren (Art. 33 Abs. 5 DS-GVO)

Maßnahmen zur Behebung der Datenpanne und Abmilderung der Folgen

Es sollte gemeldet werden, ob die konkrete Verletzung des Schutzes personenbezogener Daten weiterhin besteht, oder ob diese bereits (ggf. durch entsprechende Maßnahmen) behoben wurde. Die konkreten Maßnahmen zur Behebung sind zu beschreiben. Hierbei genügt meist eine allgemeine Auflistung der einzelnen Maßnahmen.

Verantwortliche sind angehalten angemessene Maßnahmen zu treffen, um bereits entstandene Nachteile oder Schäden abzumildern. Eine typische Maßnahme ist bereits die Information der betroffenen Personen. Sofern ein hohes Risiko für die Betroffenen besteht, ist eine solche Information auch gesetzlich vorgeschrieben.

Beispiele für andere Maßnahmen zu Abmilderung von Folgen:

• Sperrung von kompromittierten Benutzerkonten
• Erzwingen von Passwort-Wechseln nach Phishing-Angriffen
• Sperrung von Zahlungsmitteln bzw. Unterbrechung von Zahlungsprozessen nach Missbrauch von Zahlungssystemen

Überschreitung von Landesgrenzen

Für die Aufsichtsbehörden ist es interessant, wenn bei Datenpannen auch Stellen in anderen Bundesländern oder im Ausland betroffen sind, beispielsweise Niederlassungen des verantwortlichen Unternehmens oder Tochtergesellschaften der gleichen Unternehmensgruppe. Solche Informationen können Aufsichtsbehörden beispielsweise nutzen, um sich mit anderen betroffenen Aufsichtsbehörden abzustimmen. Gegebenenfalls wird eine Aufsichtsbehörde als führende Behörde festgelegt, so dass alle weitere Kommunikation auch mit dieser einen Behörde zu erfolgen hat. Bei größeren Datenpannen spart das auf beiden Seiten Zeit und Personalressourcen.

Schlussworte

Idealerweise ist der erste Eindruck, den eine Aufsichtsbehörde von einer Datenschutzverletzung erhält, die Meldung des Verantwortlichen. Das Melden einer Datenpanne sollte nicht als Problem, sondern als Chance gesehen werden. Mit einer gut aufgearbeiteten und verständlich beschriebenen Meldung einer Datenpanne kann der Aufsichtsbehörde demonstriert werden, dass der Verantwortliche die Situation im Griff hat und die Panne bestenfalls auch bereits behoben ist. Die Meldung sollte dabei immer ein “lessons learned” enthalten, also eine Beschreibung, was der Verantwortliche zukünftig anders machen wird, um Wiederholungen zu vermeiden. Häufig erfordern solche Pannen keine weiteren Untersuchungen durch die Aufsichtsbehörde. Der Vorfall ist dann nur durch den Verantwortlichen zu dokumentieren (Art. 33 Abs. 5 DS-GVO).

Aber auch, wenn einmal nicht alles perfekt beschrieben ist: Erfahrungsgemäß stellt der Sachbearbeiter der Aufsichtsbehörde Rückfragen, wenn die Meldung nicht ausreichend detailliert ist oder Details nicht verstanden wurden. Daher ist es sinnvoll, einen geeigneten – im besten Fall auch erfahrenen – Ansprechpartner für weitere Rückfragen der Aufsichtsbehörde zu benennen.