Praxistipp

Handlungsempfehlungen bei Datenpannen

Eine Datenpanne liegt grob umschrieben vor, wenn Unberechtigte Zugriff auf personenbezogene Daten erlangen. Eine umfassende Definition ist Artikel 4 Nr. 12 DSGVO wie folgt zu entnehmen: „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Datenpanne, Datenschutzverletzung, Datenschutzverordnung, Aufsichtsbehörde
Quelle: iStock.com/Stadtratte

Präventive Maßnahmen zur Verhinderung einer Datenpanne

im Optimalfall kommt es natürlich gar nicht erst zu so einer Datenpanne. Im Fokus eines Unternehmens sollten daher präventive Maßnahmen stehen, die durch Einführung geeigneter Prozesse stattfinden und geeignet sind, die Entstehung von Datenpannen im Vorhinein zu verhindern. Dies schützt aus Unternehmersicht von vornherein von datenschutzrechtlichen Konsequenzen und einen Reputationsverlust, jedenfalls bei schwerwiegenden Datenpannen, die öffentlich werden, vielfach nicht zu verhindern ist. Zu empfehlen ist beispielsweise die Einführung eines Leitfadens oder einer Checkliste, womit ein Prozess zum Umgang mit Datenpannen unter der gesamten Belegschaft eines Unternehmens kommuniziert wird. Erst hierdurch und durch geeignete Mitarbeiterschulungen wird die Belegschaft eines Unternehmens überhaupt für die Verhinderung bzw. Erkennung von Datenpannen geschult und sensibilisiert.

Fallbeispiele einer Datenpanne

In der Praxis besonders relevant sind Datenpannen, die stattfinden, indem beispielsweise eine E-Mail mit personenbezogenen Daten an den falschen Empfänger versendet wird. Auch der Verlust eines Laptops oder eines Handys mit personenbezogenen Daten oder der Verlust von personenbezogenen Daten auf Basis eines Hackerangriffs, sind nicht selten vorkommende Beispiele für eine Datenpanne. Eine Datenpanne liegt jedoch selbstverständlich auch in allen anderen Fällen vor, die unter die oben genannte Definition fallen.

Wie ist auf eine Datenpanne zu reagieren?

Sollte dennoch eine Datenpanne stattfinden, darf diese aus Unternehmersicht auf keinen Fall unbeachtet bleiben, sondern erfordert stattdessen regelmäßig sofortiges Handeln. Im Optimalfall lässt sich ein Unternehmer schon dann fachkundig durch einen Datenschutzbeauftragten oder einen Juristen beraten, wenn der Verdacht einer Datenpanne im Unternehmen besteht.

Konkreter Umgang mit einer Datenpanne und Fristen

Was genau im Falle einer Datenpanne zu tun ist, ergibt sich aus Artikel 33 DSGVO. Demnach muss eine Datenpanne durch den Verantwortlichen unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, bei der zuständigen Aufsichtsbehörde gemeldet werden. Eine Ausnahme besteht nur dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Ob diese Ausnahme vorliegt oder nicht, sollte fachkundig geprüft werden. Die Meldung selbst muss im Falle der Abgabe die in Artikel 33 Absatz 3 DSGVO geforderten Informationen beinhalten. Wenn eine Meldung an die Aufsichtsbehörde trotz Verpflichtung nicht binnen 72 Stunden stattfindet, sondern erst zu einem späteren Zeitpunkt nachgeholt wird, muss die Meldung dann auch eine Begründung für die Verzögerung enthalten. Unabhängig von der Abgabe einer Meldung an die Aufsichtsbehörde muss der Verantwortliche die Verletzung des Schutzes personenbezogener Daten im Sinne des Artikels 33 Abs 5 DSGVO auch dokumentieren. Hierzu zählen auch die Auswirkungen und die ergriffenen abhilfemaßnahmen.

Benachrichtigung der betroffenen Person

Fachkundig zu prüfen ist außerdem stets, ob die Personen, deren personenbezogenen Daten von der Datenpanne betroffen sind, benachrichtigt werden muss. Hierfür ist eine Abwägung des Einzelfalls erforderlich. Grob skizziert kann festgestellt werden: Umso höher das Risiko für die Rechte und Freiheiten der betroffenen Person ausfällt, umso mehr spricht für eine Verpflichtung zur unverzüglichen Benachrichtigung. Konkret ergeben sich die Voraussetzungen dieser Benachrichtigungspflicht aus Artikel 34 DSGVO.

Der Sonderfall des Auftragsverarbeiters

Wird eine Datenpanne hingegen zunächst einem Auftragsverarbeiter bekannt, so hat dieser die Verletzung unverzüglich dem Verantwortlichen zu melden und dieser hat dann, wie vorstehend beschrieben, zu verfahren.

Machen Sie Ihr Business DSGVO-konform.

Einfach loslegen mit Deutschlands beliebter Datenschutz-Lösung:

Externer Datenschutzbeauftragter
Datenschutz-Management-Software
Online-Mitarbeiterschulungen
Individuelle Datenschutzberatung
Handlungsempfehlungen bei Datenpannen
Mit DATENDO erfüllen Sie ganz einfach Ihre DSGVO-Pflichten
Übersicht
Machen Sie Ihr Business DSGVO-konform. Einfach loslegen mit Deutschlands beliebter digitaler Datenschutz-Lösung.
Praxistipp
Externer Datenschutzbeauftragter
Ein Datenschutz-beauftragter ist mehr als bloße Pflichterfüllung
Praxistipp
Datenschutz-Management-Software
My.DATENDO: Ihre Datenschutzpflichten digital erfüllen
Praxistipp
DSGVO-Schulung für Mitarbeitende
Ihr Datenschutz ist nur so stark wie Ihre Mitarbeitenden
Praxistipp
Individuelle Beratung
Individuelle Datenschutzfragen? Wir sind für Sie da.
Handlungsempfehlungen bei Datenpannen
DATENDO kostenlos für
14 Tage
ausprobieren.
Keine Installation erforderlich - direkt online losgelegen.
Keine versteckten Kosten. Testzeitraum endet automatisch. Keine Kündigung notwendig.

Einsicht in alle Funktionen:

  • Zugang zu unserer DSGVO-Management-Software My.DATENDO
  • Verbeitungsverzeichnis und TOM einfach als PDF generieren
  • Erste Einblicke ins DSGVO-Trainingscenter
  • Demo-Schulung für Mitarbeitende inkl. Zertifikat absolvieren
  • Exklusives E-Book zum Datenschutz von Prof. Dr. Paal
Bild Bild