Mit der Entscheidung für einen qualifizierten externen Datenschutzbeauftragten haben Sie viel dafür getan, dass Datenschutzpannen in Ihrem Unternehmen gar nicht erst entstehen. Doch was, wenn der Worst Case trotz umfassender Maßnahmen und Schulungen dennoch eintritt? Keine Sorge: Ihr externer Datenschutzbeauftragter wird für den Fall einer Datenschutzpanne bereits einen Reaktionsplan in petto haben und gemeinsam mit Ihnen die richtigen Schritte einleiten. Wir erklären, worauf es ankommt.
Das Wichtigste in Kürze
- Nicht jede Datenpanne ist DSGVO-relevant. Brisant wird es erst, wenn der Schutz personenbezogener Daten verletzt wird.
- Datenpannen mit mehr als nur „geringem Risiko“ müssen dann in jedem Fall den zuständigen Aufsichtsbehörden gemeldet werden.
- Die Meldung einer Datenschutzverletzung erfolgt immer durch die Verantwortlichen im Unternehmen selbst, nicht durch den externen Datenschutzbeauftragten.
- Der externe Datenschutzbeauftragte unterstützt die Verantwortlichen im Falle einer Datenschutzpanne umfassend.
- Das Leistungsspektrum des externen Datenschutzbeauftragten reicht dabei von der Einschätzung des Pannen-Risikos über die Kommunikation mit den Behörden und das Ergreifen erster Gegenmaßnahmen bis hin zu Vorbeugemaßnahmen im Nachgang.
In diesem Beitrag
- Was ist eine Datenpanne gemäß DSGVO?
- Meldet ein externer Datenschutzbeauftragter jede Datenpanne direkt an die Aufsichtsbehörden?
- Wann und wie muss eine Datenpanne gemeldet werden?
- Muss jede Datenpanne gemeldet werden?
- Wie hilft ein externer Datenschutzbeauftragter bei einer Datenschutzpanne?
- Schritt für Schritt: Was ist bei einer Datenpanne zu tun?
- Was kann passieren, wenn ein Unternehmen eine Datenpanne nicht meldet?
- Fazit: Bei Datenpannen hilft der externe Datenschutzbeauftragte
Was ist eine Datenpanne gemäß DSGVO?
So viel vorab: Nicht jeder Datenverlust ist eine Datenpanne im rechtlichen Sinne der Datenschutzgrundverordnung (DSGVO). Diese behandelt eine Datenpanne nämlich nur als solche, wenn dabei der Schutz personenbezogener Daten verletzt wurde.
In Artikel 4 Absatz 12 der DSGVO heißt es zur Begriffsbestimmung: Eine Datenpanne gemäß DSGVO ist „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Meldet ein externer Datenschutzbeauftragter jede Datenpanne direkt an die Aufsichtsbehörden?
Um es klar zu sagen: Das Melden einer Datenpanne an die Aufsichtsbehörden gehört nicht zum Aufgabengebiet des internen oder externen Datenschutzbeauftragen. Dieser muss nur informiert werden, sobald eine Datenschutzpanne bekannt wird oder der Verdacht besteht, dass personenbezogene Daten in unrechtmäßige Hände gefallen sein könnten.
Zuständig für das Melden einer Datenschutzpanne sind jedoch ausschließlich die Verantwortlichen im Unternehmen. Erst nachdem diese der zuständigen Aufsichtsbehörde die Datenpanne angezeigt haben, kommt der externe Datenschutzbeauftragte wieder ins Spiel und übernimmt die Kommunikation mit den Behörden sowie gegebenenfalls mit den vom Datenleck betroffenen Personen.
Beispiele für meldepflichtige Datenpannen finden Sie in diesem Artikel.
Wann und wie muss eine Datenpanne gemeldet werden?
Das Gesetzt schreibt vor, dass eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens aber binnen 72 Stunden, der Aufsichtsbehörde gemeldet werden muss. Verspätete Meldungen sind nur in begründeten Ausnahmefällen zulässig. Die Begründung muss in diesen Fällen direkt und in hinreichender Form als Teil der Meldung mitgeliefert werden.
Die zuständigen Aufsichtsbehörden, dies sind insbesondere die jeweiligen Landesbehörden für Datenschutzaufsicht, stellen für das Melden von Datenschutzpannen im Unternehmen in der Regel ein Online-Formular zur Verfügung. Abgefragt werden der Name der verantwortlichen Organisation, der Name der meldenden Person, die Art und das Datum des Datenschutzvorfalls, Anzahl der möglicherweise betroffenen Personen und bereits ergriffene Maßnahmen.
Eine Liste der Landesbehörden für Datenschutz finden Sie hier.
Dabei ist auch den Datenschutzbehörden klar, dass den Verantwortlichen im Moment des Bekanntwerdens einer Datenschutzpanne die Details des Vorfalls noch nicht umfassend bekannt sein können. Deshalb wird jede Meldung mit einem Aktenzeichen versehen und kann unter Angabe desselben im Anschluss um weitere Folgemeldungen ergänzt werden.
Muss jede Datenpanne gemeldet werden?
Die DSGVO sieht bei der Verletzung des Schutzes personenbezogener Daten eine generelle Meldepflicht vor. Mit einer Ausnahme: Die Meldepflicht entfällt, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“.
Davon ist beispielsweise auszugehen, wenn ein Unternehmen den verschlüsselten Laptop einer Mitarbeiterin entsorgt und es in diesem einen Fall jedoch zuvor versäumt hat, die darauf gespeicherten personenbezogenen Daten zu löschen. Hier kann das Risiko aus guten Gründen als gering eingestuft werden. Die Meldepflicht entfällt.
Zur Erklärung: Die DSGVO unterscheidet drei Risikostufen: „geringe Risiken“, „normale bis mittlere Risiken“ und „hohe Risiken“. Meldepflicht besteht bereits bei Datenpannen ab „mittlerem Risiko“. Als solches wäre etwa ein versehentlich mit offen sichtbarem Empfängerkreis versendeter E-Mail-Newsletter einzustufen.
Wichtig zu wissen: Alle Risiken, die nicht mehr in die Kategorie der „geringen Risiken“ fallen werden in einer vierten Kategorie auch als „gesteigerte Risiken“ bezeichnet. Sobald „gesteigerte Risiken“ vorliegen, muss eine Datenschutzpanne nicht nur der zuständigen Aufsichtsbehörde, sondern auch den möglicherweise betroffenen Personen gemeldet werden.
Wie hilft ein externer Datenschutzbeauftragter bei einer Datenpanne?
Ein interner und insbesondere ein externer Datenschutzbeauftragter unterstützen die Verantwortlichen im Unternehmen im Falle einer Datenschutzpanne. Das beginnt schon bei der Einschätzung der Schwere und des Risikos, welches von einer Datenschutzverletzung ausgeht. Der externe Datenschutzbeauftragte verfügt über die nötige Erfahrung für eine verlässliche Risikoeinstufung und kann fachlich begründet entscheiden, ob eine Datenpanne meldepflichtig ist oder nicht.
Bei einer Meldung an die Aufsichtsbehörden können die Verantwortlichen des Unternehmens den externen Datenschutzbeauftragten als Ansprechpartner angeben. Der externe Datenschutzbeauftragte übernimmt dann die weitere Kommunikation mit den Behörden. Noch wichtiger: Der externe Datenschutzbeauftragte wird für den Fall einer meldepflichtigen Datenschutzpanne fertig ausgearbeitete Reaktionspläne vorhalten und sofortige Gegenmaßnahmen ergreifen beziehungsweise zur Umsetzung empfehlen.
Sollte eine Meldung des Vorfalls auch an die von der Datenschutzpanne betroffenen Personen erforderlich sein, wird der externe Datenschutzbeauftragte Sie dabei ebenfalls umfassend unterstützen und ein passendes Meldeanschreiben zur Verfügung stellen. Last but not least ist der externe Datenschutzbeauftragte derjenige, der mit seiner Erfahrung und Expertise die richtigen Schlüsse aus einer Datenschutzpanne ziehen und dem Unternehmen daraufhin geeignete Maßnahmen zur Vorbeugung empfehlen wird.
Schritt für Schritt: Was ist bei einer Datenpanne zu tun?
- Schritt 1: Analysieren Sie die Situation: Besteht ein Risiko, dass durch die Datenpanne Persönlichkeitsrechte Dritter verletzt wurden? Wenn Sie sich unsicher sind, ziehen Sie am besten schon in diesem Schritt Ihren externen Datenschutzbeauftragten hinzu.
- Schritt 2: Zeitgleich mit der ersten Beurteilung sollten Sie auch alle notwendigen und in Ihrer Macht stehenden Schritte veranlassen, um mögliche Beeinträchtigungen fremder Persönlichkeitsrechte zu verhindern bzw. diese unverzüglich zu beenden.
- Schritt 3: Holen Sie spätestens jetzt Ihren externen Datenschutzbeauftragten mit ins Boot. Gemeinsam mit Ihnen klärt er, ob es sich um eine meldepflichtige Panne handelt.
- Schritt 4: Melden Sie den Vorfall spätestens 72 Stunden nachdem er Ihnen bekannt geworden ist. Ihr interner oder externer Datenschutzbeauftragter unterstützt Sie nach Bedarf bei der Meldung und klärt, an welche Behörde Sie sich wenden sollten.
- Schritt 5: Arbeiten Sie den Vorfall intern auf – am besten in enger Abstimmung mit Ihrem externen Datenschutzbeauftragten. Bei Bedarf können Sie der Behörde jederzeit relevante Tatsachen nachmelden.
- Schritt 6: Ziehen Sie Konsequenzen: Die Aufarbeitung der Panne kann helfen, ähnliche Vorfälle in Zukunft zu vermeiden. Auch hier sollte ein erfahrener externer Datenschutzbeauftragter Sie unterstützen, datenschutzkonforme Arbeitsabläufe, Verfahren und Prozesse zu entwickeln.
Was kann passieren, wenn ein Unternehmen eine Datenpanne nicht meldet?
Bei einer meldepflichtigen Datenpanne im Unternehmen sollten Sie in jedem Fall die zuständige Aufsichtsbehörde informieren. Andernfalls sind schwere Imageschäden und Verluste zu befürchten – spätestens, wenn eine der betroffenen Personen die Panne im Rahmen einer Datenschutzbeschwerde bekanntmacht.
Wird Ihnen dann nachgewiesen, dass Sie Ihrer Meldepflicht als Unternehmen nicht nachgekommen sind, können die Behörden für diese Pflichtverletzung zudem Bußgelder in empfindlicher Höhe verhängen. Gemäß DSGVO Artikel 83 Absatz 4 dürfen bei vorsätzlicher Nichtmeldung bis zu 10 Millionen Euro oder 2 Prozent des Vorjahresumsatzes erhoben werden. Die eigentlichen Bußgelder für die Datenschutzverletzung kommen dann noch hinzu. Daher wird Ihnen ein externer Datenschutzbeauftragter niemals raten, eine Datenschutzpanne nicht zu melden.
Fazit: Bei Datenpannen hilft der externe Datenschutzbeauftragte
Selbst mit dem besten externen Datenschutzbeauftragten, umfassenden technisch organisatorischen Maßnahmen (TOM) und regelmäßigen Datenschutzschulungen für die gesamte Belegschaft lassen sich Datenschutzpannen nicht mit 100-prozentiger Sicherheit verhindern. Passieren kann immer etwas. Ist es so weit, haben Sie mit einem qualifizierten externen Datenschutzbeauftragten den richtigen Partner an Ihrer Seite. Er unterstützt Sie bei der Einschätzung des Risikos, welches von einem Datenleck ausgeht, berät Sie bei der Meldung des Vorfalls an die zuständige Aufsichtsbehörde, ergreift Maßnahmen zur sofortigen Schadensbegrenzung, ist Ansprechpartner für Behörden wie Betroffene und erarbeitet auf Grundlage der Datenpanne zusätzliche Vorbeugemaßnahmen für die Zukunft.
Kurz: Der externe Datenschutzbeauftragte ist auch und erst recht im Falle einer Datenpanne einer Ihrer wichtigsten Partner.
Sie wollen keine spannenden News und Informationen rund um den Datenschutz mehr verpassen?
Dann melden Sie sich für unseren Newsletter an und erhalten Sie regelmäßige Einblicke, News und Trends sowie Zugriff auf neue Whitepaper.