Datenpanne

Definition

Art. 4 Nr. 12 DSGVO definiert die Verletzung des Schutzes personenbezogener Daten, kurz Datenpanne, als eine Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder anderweitig verarbeitet wurden.

Praktisch fällt darunter alles vom verlorenen USB-Stick mit Kundendaten über die falsch adressierte E-Mail bis zum Ransomware-Angriff mit Datenabfluss. Auch ein gestohlenes Notebook, eine ungesicherte Cloud-Freigabe oder ein technischer Defekt mit Datenverlust kann eine Datenpanne sein.

Die 72-Stunden-Meldung an die Aufsichtsbehörde

Nach Art. 33 DSGVO ist eine Datenpanne unverzüglich, möglichst innerhalb von 72 Stunden nach Kenntnis, bei der zuständigen Aufsichtsbehörde zu melden, es sei denn, sie führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.

Die Frist beginnt mit Kenntnisnahme durch den Verantwortlichen, also typischerweise mit dem Zeitpunkt, zu dem das Unternehmen eine hinreichende Gewissheit über den Vorfall hat. Erste Unsicherheiten oder Verdachtsmomente lösen die Frist noch nicht aus, eine zu lange Phase der Unklarheit kann aber wiederum als Versäumnis bewertet werden.

Die Meldung enthält Art der Verletzung, Kategorien und ungefähre Zahl der Betroffenen und Datensätze, voraussichtliche Folgen, getroffene und geplante Maßnahmen sowie Kontaktdaten. Wird die Meldung nicht innerhalb von 72 Stunden abgegeben, ist die Verzögerung zu begründen.

Wann Betroffene zu informieren sind

Art. 34 DSGVO verlangt eine Benachrichtigung der betroffenen Personen, wenn die Datenpanne voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten zur Folge hat. Maßstab sind Art der Daten, mengenmäßiges und qualitatives Risiko, Identifizierbarkeit, Dauerhaftigkeit der Auswirkungen und Schwere möglicher Folgen.

Bei Ransomware mit Abfluss von Identitäts-, Gesundheits- oder Finanzdaten ist regelmäßig von einem hohen Risiko auszugehen. Die Benachrichtigung muss klar und einfach formuliert sein und Empfehlungen zur Schadensbegrenzung enthalten.

Was bei Verstoß droht

Verstöße gegen die Meldepflichten können Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes nach Art. 83 Abs. 4 DSGVO nach sich ziehen. Daneben drohen Schadensersatzansprüche Betroffener und Reputationsschaden. Späte oder unvollständige Meldungen werden von Aufsichtsbehörden in der Bußgeldzumessung negativ gewichtet.

Dokumentationspflicht

Unabhängig von der Meldung verlangt Art. 33 Abs. 5 DSGVO die Dokumentation aller Datenschutzverletzungen, also auch nicht meldepflichtiger Vorfälle. Ein internes Vorfallregister mit Sachverhalt, Bewertung, getroffenen Maßnahmen und Begründung der Meldeentscheidung gehört zu den technischen und organisatorischen Maßnahmen einer ordentlich aufgestellten Organisation.