Es kann eigentlich jeden treffen. Sei es durch ein missglücktes Update, einen verloren gegangenen USB-Stick, einen Einbruch oder eine Attacke wie z.B. Cross-Site-Scripting. Ein kleiner Fehler und schon könnten die personenbezogenen Daten Ihrer Kunden in unbefugte Hände gelangen. Bei dem Durcheinander, das sich rund um so einen Vorfall ausbreitet, gilt der erste Gedanke natürlich meist nicht irgendwelchen Datenschutzgesetzen. Das kann Ihrem Unternehmen bei der DSGVO jetzt allerdings zum Verhängnis werden!
Wenn der Schutz personenbezogener Daten verletzt wurde, muss ein Unternehmen das melden. Diese Meldepflicht bestand schon durch das Bundesdatenschutzgesetz (BDSG). Am 28.5.2018 trat allerdings die europäische Datenschutzgrundverordnung (DSGVO) in Kraft und mir ihr die verschärfte Meldepflicht. Unternehmen haben dann höchstens 72h Stunden Zeit, um eine Datenschutzverletzung an die zuständige Aufsichtsbehörde zu melden. Außerdem gibt es noch andere wichtige Änderungen:
Wussten Sie z.B., dass die neue Meldepflicht alle personenbezogenen Daten betrifft und nicht mehr nur besonders sensible Daten? Oder dass Unternehmen ab jetzt einer Dokumentationspflicht unterliegen, wenn personenbezogene Daten verletzt worden sein könnten? In diesem Artikel erfahren Sie alles Wichtige zum Thema Meldepflichten in der DSGVO.
Welche Meldepflichten bestanden früher?
Vorher wurden die Meldepflichten durch §42a des Bundesdatenschutzgesetztes (BDSG) geregelt. Darin steht, dass Unternehmen nur dann verpflichtet sind Datenschutzverstöße (ugs. Datenpannen) an die zuständige Datenschutz-Aufsichtsbehörde und an die Betroffenen zu melden, wenn alle der folgenden Kriterien erfüllt sind:
- Von dem Verstoß sind besonders sensible personenbezogene Daten betroffen (z.B. Bank- oder Kontodaten, Gesundheitsdaten, etc.).
- Die Daten wurden unrechtmäßig übermittelt oder Dritte haben auf sonstige Weise unrechtmäßig Kenntnis von diesen Daten erlangt.
- Es drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen.
Gemäß § 43 drohte ein Bußgeld von bis zu 300.000 Euro für den Fall, dass eine Benachrichtigung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgt.
Früher war es also so, dass die Voraussetzungen, ab wann ein Vorfall gemeldet werden muss, relativ hoch lagen. Das änderte sich aber mit der DSGVO.
Was sagt die DSGVO zur Meldepflicht?
Die DSGVO unterscheidet bei der Meldepflicht immer zwischen der Meldepflicht gegenüber der zuständigen Aufsichtsbehörde (§33 DSGVO) und der Meldepflicht gegenüber den von dem Vorfall betroffenen Personen (§34 DSGVO).
Prinzipiell ist es so, dass Sie eine Datenpanne fast immer der zuständigen Aufsichtsbehörde melden müssen, aber nicht immer den betroffenen Personen. Die zuständige Behörde hängt vom Sitz Ihres Unternehmens ab.
Was und an wen muss ich melden?
In den folgenden Fällen müssen Sie eine Datenschutzverletzung melden:
Der zuständigen Aufsichtsbehörde
Laut § 33 der DSGVO muss ein Unternehmen die zuständige Aufsichtsbehörde bei jeder „Verletzung des Schutzes personenbezogener Daten“ unverzüglich benachrichtigen. Das bedeutet die Meldepflicht gilt für jede Art der unrechtmäßigen Datenverarbeitung. Also z.B. auch bei einer unrechtmäßigen Zerstörung, Veränderung oder dem Verlust von Daten und nicht mehr nur dann, wenn Dritte unbefugt Zugriff erlangen. Außerdem ist es nicht mehr wichtig, ob es sich um sensible Daten handelt oder nicht.
Allerdings gibt es eine Ausnahme. Es besteht keine Meldepflicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt. Ob Risiken für die Betroffenen wahrscheinlich sind, muss vom Unternehmen unter Zuhilfenahme des Risikokatalogs in Erwägungsgrund 75 DSGVO abgewägt werden. Diese Risikoabschätzung sollte auch dokumentiert werden.
Den Betroffenen
Wenn durch den Vorfall voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen besteht, dann müssen diese auch unverzüglich benachrichtigt werden. Allerdings gibt es auch hier wieder Ausnahmen. Die Benachrichtigung der betroffenen Personen ist nicht erforderlich, wenn:
- geeignete technische und organisatorische Maßnahmen vorhanden sind, die den unbefugten Zugang zu den personenbezogenen Daten praktisch unmöglich machen, z. B. weil die Daten verschlüsselt sind.
oder wenn
- wirksame Maßnahmen zur Schadensbegrenzung ergriffen wurden und diese das hohe Risiko, das zum Zeitpunkt der Datenpanne bestand, eliminiert haben.
oder wenn
- die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre. Dann muss aber stattdessen eine öffentliche Bekanntmachung (z.B. in der Zeitung oder im Internet) erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
Wie schnell muss ich melden?
Im Gegensatz zum BDSG gibt es nun einen gesetzlichen Richtwert für die Meldung bei der Aufsichtsbehörde:
Der zuständigen Aufsichtsbehörde
Die Meldung der Datenpanne muss unverzüglich, aber spätestens innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde stattfinden. Ein Überschreiten der Frist ist nur in begründeten Fällen möglich.
Den Betroffenen
Die Meldung muss unverzüglich (d.h. ohne schuldhaftes Zögern) nach Kenntniserlangung erfolgen.
Was muss die Meldung enthalten?
Die DSGVO definiert ein paar Mindestanforderungen an die Meldung:
An die zuständige Aufsichtsbehörde:
Folgende Informationen müssen in der Meldung an die Aufsichtsbehörde enthalten sein:
-
-
- Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten. Wenn möglich mit Angabe der Kategorien (z.B. Gesundheitsdaten, politische Meinungen, siehe §9 DSGVO), der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze.
- Name und Kontaktdaten des Datenschutzbeauftragten des Unternehmens oder eine sonstige Anlaufstelle für weitere Informationen.
- Eine Beschreibung der wahrscheinlichen Folgen der Verletzung.
- Eine Beschreibung der bereits ergriffenen oder geplanten Maßnahmen zur Behebung und gegebenenfalls Maßnahmen zur Abmilderung der Auswirkungen.
- Falls die Frist von 72h überschritten wurde, eine Begründung für die Verzögerung.
-
Diese Informationen können auch schrittweise zur Verfügung gestellt werden, falls nicht alle Informationen zur gleichen Zeit bereitgestellt werden können. Die Aufsichtsbehörden planen für eine Meldung von Datenverletzungen ein Formular auf der jeweiligen Webseite zur Verfügung zu stellen.
An die Betroffenen
Die Benachrichtigung muss klar und in einfacher Sprache formuliert sein und mindestens folgende Informationen enthalten:
-
-
- Name und Kontaktdaten des Datenschutzbeauftragten des Unternehmens oder eine sonstige Anlaufstelle für weitere Informationen.
- Eine Beschreibung der wahrscheinlichen Folgen der Verletzung.
- Eine Beschreibung der bereits ergriffenen oder geplanten Maßnahmen zur Behebung und gegebenenfalls Maßnahmen zur Abmilderung der Auswirkungen.
-
Diese Informationen können auch schrittweise zur Verfügung gestellt werden, falls nicht alle Informationen zur gleichen Zeit bereitgestellt werden können.
Datenpanne: Was muss ich sonst noch beachten?
In der DSGVO gibt es zusätzlich noch eine ausführliche Dokumentationspflicht.
Die Datenpanne, ihre Auswirkungen, sowie die nach der Panne ergriffenen Maßnahmen müssen vom Unternehmen dokumentiert werden. Diese Dokumentation soll der Aufsichtsbehörde die Überprüfung ermöglichen.
Was passiert bei einem Verstoß gegen die Meldepflicht?
Auch der Bußgeldkatalog wurde im Vergleich zum BDSG deutlich heraufgesetzt.
Bei einem Verstoß gegen die Meldepflicht droht ein empfindliches Bußgeld von bis zu 10 Mio. Euro oder 2 % des weltweit erzielten Jahresumsatzes (§ 83 DSGVO).
Angesichts der kurzen Frist für eine Meldung, der Dokumentationspflicht und der Höhe der Bußgelder sollten effiziente Prozesse aufgebaut werden, durch die Datenschutzverletzungen schnell erkannt und die entsprechenden Meldepflichten umgesetzt werden können.
Mit Enginsight schützen Sie Ihre IT aktiv gegen DSGVO Verstöße und erfüllen heute schon Nachweispflichten zur Dokumentation von Sicherheitsvorfällen in der IT. Erfahren Sie mehr, wie Sie mit unserer Security-Software ein ISMS, ein Information Security Management System, einführen und Audits in kurzer Zeit erstellen.