Blog: Datenpanne? Wenn's passiert ist.

Datensicherheit, Datenschutz, Digitalisierung

Wann liegt eine meldepflichtige Datenpanne vor?

Wir geben wertvolle Tipps, wenn's passiert ist.

In Deutschland unterliegen Datenpannen, also Verletzungen des Schutzes personenbezogener Daten, strengen Meldepflichten, die in der Datenschutz-Grundverordnung (DSGVO) geregelt sind. Eine meldepflichtige Datenpanne liegt vor, wenn bestimmte Voraussetzungen erfüllt sind. Doch viele Unternehmen tun sich schwer und wissen oftmals so garnicht, welche Voraussetzungen das überhaupt sind, was sie tun müssen und an wen sie sich zu wenden haben.

Dieser Beitrag zeigt Ihnen die wesentlichen Punkte, die darüber entscheiden, ob eine Datenpanne gemeldet werden muss - und welche Maßnahmen ergriffen werden müssen, wenn's passiert ist.

Die zunehmende Digitalisierung, die Verlagerung in die Cloud und auch der Einsatz von KI schaffen Rahmenbedingungen, die das Risiko für Fehler bei der Verarbeitung personenbezogener Daten um ein Vielfaches erhöhen. Trotz aller Vorsichtsmaßnahmen und Sicherheitsvorkehrungen kann immer etwas schief gehen.

Sie wissen schon: Ein falscher Klick, eine abgeschaltete Firewall, veraltete Programme, mangelhafte Passwörter - die Liste kann wohl unendlich weitergeführt werden.

Lassen Sie uns aber erstmal herausfinden, was eine Datenpanne überhaupt ist und worin sie sich definiert.

Eine Datenpanne ist eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt. Dies umfasst sowohl interne als auch externe Vorfälle, wie beispielsweise:

  • Hackerangriffe: Unbefugter Zugriff auf Daten durch externe Angreifer.
  • Datenverlust: Verlust von Daten durch technische Probleme oder menschliches Versagen.
  • Falsche Adressierungen: Versendung personenbezogener Daten an falsche Empfänger.
  • Interne Missbrauchsfälle: Unbefugter Zugriff oder Weitergabe von Daten durch Mitarbeiter.

Doch wann muss man eine Datenpanne melden?

Nach Art. 33 DSGVO liegt eine meldepflichtige Datenpanne immer vor, sofern eine Verletzung des Schutzes personenbezogener Daten gegeben ist und sich hieraus ein voraussichtliches Risiko für die Rechte und Freiheiten natürlicher Personen ergibt. Aber wann ist das der Fall?

Ausgangspunkt ist eine Verletzung des Schutzes personenbezogener Daten. Die Legaldefinition dazu liefert Art. 4 Nr. 12 DSGVO:
„Verletzung des Schutzes personenbezogener Daten“, ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet werden.“

Wie sich hieraus ergibt, ist es für das Merkmal „Verletzung des Schutzes personenbezogener Daten“ unwesentlich, ob besondere personenbezogene Daten
beabsichtigt oder unbeabsichtigt, unrechtmäßig, durch eine Verletzungshandlung, ein Tun oder Unterlassen, verletzt sind.

Der Verletzungserfolg muss also durch ein Sicherheitsdefizit der getroffenen technischen und organisatorischen Maßnahmen hervorgerufen werden, wodurch die Integrität und Vertraulichkeit der personenbezogenen Daten gem. Art. 5 Abs. 1 lit. f DSGVO nicht gewährleistet ist. Diese mangelhafte Sicherheit beim Verantwortlichen muss zu einer Vernichtung, einem Verlust, einer Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang personenbezogener Daten geführt haben. Es muss sich also um eine Vertraulichkeits-, Integritäts- oder Verfügbarkeitsverletzung handeln.

Basiert die Verletzung des Schutzes personenbezogener Daten nicht auf einem Sicherheitsdefizit gem. Art. 5 Abs. 1 lit. f, 32 DSGVO, dann liegt keine meldepflichtige Datenpanne vor. Diese Anschauung vertritt auch der europäische Datenschutzausschuss (EDSA) in dem er von „security incidents“ spricht und die Datensicherheit als verletzt ansieht, wenn bei einer rechtswidrigen Datenübermittlung die Offenlegung an Dritte erfolgt. Ebenso wird die versehentliche fehlerhafte Adressierung, Versendung von Mails an einen großen Verteiler mit „cc“ und ohne „bcc“ als eine Verletzung der Sicherheit definiert.

Das Sicherheitsrisiko muss immer im Verantwortungsbereich des Verantwortlichen liegen. Gibt die betroffene Person auf einer gefälschten Online-Plattform personenbezogene Daten ein (Phishing), dann verwirklicht sich ein Sicherheitsrisiko, dass von der betroffenen Person selbst zu verantworten ist.

Weiter ist für das Vorliegen einer meldepflichtigen Datenpanne erforderlich, dass durch die Verletzungshandlung objektiv ein Verletzungserfolg eingetreten ist. Der Verdacht allein reicht nicht. Ob der Verletzungserfolg beabsichtigt oder unbeabsichtigt herbeigeführt wurde, ist nicht ausschlaggebend.

Die Meldepflicht besteht dann, wenn ein Zugriff auf die Daten erfolgt ist, unabhängig davon, ob dieser unbeabsichtigt oder beabsichtigt erfolgt. Nicht entscheidend ist, ob tatsächlich von den Daten Kenntnis genommen wurde. Will der Verantwortliche einer Meldepflicht trotz vorliegendem Sicherheitsdefizit entgehen, muss er belegen, dass kein Zugriff auf die Daten erfolgte.

Aber auch dann, wenn ein Verletzungserfolg vorliegt, kann die Meldepflicht entfallen, sofern sich kein Risiko für die Rechte und Freiheiten natürlicher Personen manifestiert. Für den Verletzungserfolg ist der Schadenseintritt nicht relevant, jedoch fließt dies bei der Risikobewertung mit ein. Bei dieser wird die Schwere des möglichen materiellen oder auch immateriellen Schadens in Relation zur Eintrittswahrscheinlichkeit gebracht. Diese Risikoentscheidung insbesondere der Risikoausschluss und die damit einhergehende Verneinung der Meldepflicht, muss dokumentiert sein, damit man seinen Dokumentationspflichten gem. Art. 5 Abs. 2 DSGVO nachkommen kann. Für die Risikoeinstufung gibt der europäische Datenschutzausschuss in seinen Guidelines die entsprechenden Kriterien an die Hand:

  • Zahl der Betroffenen
  • Art und Umfang der Daten
  • Art der Verletzung
  • Identifizierbarkeit der betroffenen Person
  • die Schwere der Folgen für die betroffene Person
  • besondere Eigenschaften des Verantwortlichen
  • besondere Eigenschaften der betroffenen Person (Kinder, Art. 9 DSGVO Daten)
  • zu erwartende Konsequenzen (EG 85)

Kein Risiko liegt vor, wenn die Daten bei Verlust wirksam verschlüsselt sind und über ein Backup die Verfügbarkeit gewährleistet ist. Ferner gilt dies, wenn die Daten ohnehin öffentlich verfügbar sind.

Eine meldepflichtige Datenpanne liegt also dann vor, wenn personenbezogene Daten in einer Weise verletzt werden, die ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Verantwortliche müssen solche Pannen unverzüglich der zuständigen Aufsichtsbehörde und unter bestimmten Umständen auch den betroffenen Personen melden. Die Einhaltung dieser Vorschriften ist entscheidend, um den Datenschutz sicherzustellen und mögliche Sanktionen zu vermeiden.

Nachdem wir also wissen, wann eine Meldepflicht an die Aufsichtsbehörde vorliegt, wo und wie schnell muss eine Meldung erfolgen?

Gemäß Artikel 33 DSGVO muss der Verantwortliche eine Datenpanne unverzüglich und, wenn möglich, innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutzaufsichtsbehörde melden, sofern diese zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Meldung muss zumindest folgende Informationen enthalten:

  • Beschreibung der Art der Verletzung: Um was für eine Datenpanne handelt es sich?
  • Betroffene Personen: Welche und wie viele Personen sind betroffen?
  • Folgen der Datenpanne: Welche möglichen Auswirkungen hat die Datenpanne auf die betroffenen Personen?
  • Maßnahmen: Welche Maßnahmen wurden ergriffen oder sind geplant, um die Datenpanne zu beheben und deren Folgen zu mindern?

Müssen denn auch die betroffenen Personen benachrichtigt werden?

Zusätzlich zur Meldung an die Aufsichtsbehörde müssen betroffene Personen informiert werden, wenn die Datenpanne voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten darstellt. Dies bedeutet, dass die Verletzung schwerwiegende Auswirkungen wie Identitätsdiebstahl, Diskriminierung, finanziellen Verlust oder Rufschädigung haben könnte. Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen und mindestens folgende Informationen enthalten:

  • Beschreibung der Datenpanne: Was ist passiert?
  • Konsequenzen: Welche potenziellen Auswirkungen hat die Datenpanne für die betroffenen Personen?
  • Maßnahmen und Empfehlungen: Welche Schritte wurden unternommen und was können die Betroffenen selbst tun, um sich zu schützen?

Besteht eigentlich eine Dokumentationspflicht, oder reicht es aus, dass ich die Datenpanne melde?

Unabhängig davon, ob eine Meldung an die Aufsichtsbehörde oder die betroffenen Personen erforderlich ist, muss jede Datenpanne intern dokumentiert werden. Diese Dokumentation sollte alle Fakten im Zusammenhang mit der Verletzung, ihre Auswirkungen und die ergriffenen Abhilfemaßnahmen umfassen. Dies dient nicht nur der Nachvollziehbarkeit, sondern auch der Rechenschaftspflicht gegenüber den Aufsichtsbehörden.

Und wo muss die Meldung nun erfolgen?

Die zuständige Behörde für die Meldung von Datenpannen die jeweilige Landesdatenschutzbehörde des Bundeslandes, in dem der Verantwortliche (also das Unternehmen oder die Organisation) seinen Sitz hat. Es gibt in Deutschland 16 Landesdatenschutzbehörden, jeweils eine pro Bundesland. Zusätzlich gibt es den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), der für Bundesbehörden und Telekommunikations- sowie Postdienstleister zuständig ist.

Schritte zur Meldung einer Datenpanne:

  1. Ermittlung der zuständigen Behörde:
    Landesdatenschutzbehörde: In der Regel ist die Datenschutzbehörde des Bundeslandes zuständig, in dem der Verantwortliche seinen Hauptsitz hat.
    In NRW ist es der/die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen.
  2. Kontaktaufnahme und Meldung:
    Besuchen Sie die Website der zuständigen Datenschutzbehörde.
    Dort finden Sie meist spezielle Formulare und Anleitungen für die Meldung einer Datenschutzverletzung.
    Melden Sie die Datenpanne unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden.
  3. Erforderliche Informationen:
    Beschreibung der Art der Datenpanne: Was ist passiert?
    Kategorien und Anzahl der betroffenen Personen: Wer und wie viele sind betroffen?
    Folgen der Datenpanne: Welche Auswirkungen hat der Vorfall?
    Ergriffene Maßnahmen: Welche Schritte wurden unternommen, um den Vorfall zu beheben und dessen Auswirkungen zu mildern?
  • Kontakt der Landesdatenschutzbehörde NRW:
    Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
    Kavalleriestr. 2-4
    40213 Düsseldorf
    Telefon: 0211/38424-0
    Fax: 0211/38424-999
    E-Mail: poststelle@ldi.nrw.de
    ​​​​https://www.ldi.nrw.de
     
  • Kontakt BfDI:
    Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
    Graurheindorfer Str. 153
    53117 Bonn
    Telefon: +49 (0)228 997799-0
    E-Mail: redaktion@bfdi.bund.de
    ​​​​​https://www.bfdi.bund.de

 

Weiterführende Informationen und Quellennachweise:
Informations- und Meldeportal des LDI NRW
EDSA Guidelines 01/2021
EDSA Guidelines 09/2022
Der Hamburgische Beauftragte für Datenschutz und Informationssicherheit
Seite des BMWK zur europäischen DSGVO

 

Möchten Sie darüber hinaus mehr über die Möglichkeiten der Digitalisierung erfahren oder haben Sie schon konkrete Ideen zu digitalen Lösungen in Ihrem Unternehmen?  

Bei allen Fragen zur Digitalisierung Ihres gastgewerblichen Unternehmens stehen Ihnen die DEHOGA Coaches in NRW zur Verfügung, kostenfrei und unabhängig. 

Jetzt einen kostenfreien Termin zum Coaching buchen!

 

Digitales Häppchen 2/24
Autor: Robert Krause, DEHOGA Coach für Digitalisierung

Die "Digitalen Häppchen" sind unsere regelmäßigen Blog-Beiträge zu aktuellen Themen rund um die Digitalisierung im Gastgewerbe.