{"id":887,"date":"2018-03-14T10:07:08","date_gmt":"2018-03-14T10:07:08","guid":{"rendered":"http:\/\/enginsight.com\/?p=887"},"modified":"2023-04-24T10:14:09","modified_gmt":"2023-04-24T08:14:09","slug":"umgang-mit-datenpannen-was-fordert-die-dsgvo","status":"publish","type":"post","link":"https:\/\/enginsight.com\/de\/blog\/umgang-mit-datenpannen-was-fordert-die-dsgvo\/","title":{"rendered":"Umgang mit Datenpannen – Was fordert die DSGVO?"},"content":{"rendered":"

Es kann eigentlich jeden treffen. Sei es durch ein missglücktes Update, einen verloren gegangenen USB-Stick, einen Einbruch oder eine Attacke wie z.B. Cross-Site-Scripting<\/a>. Ein kleiner Fehler und schon könnten die personenbezogenen Daten Ihrer Kunden in unbefugte Hände gelangen. Bei dem Durcheinander, das sich rund um so einen Vorfall ausbreitet, gilt der erste Gedanke natürlich meist nicht irgendwelchen Datenschutzgesetzen. Das kann Ihrem Unternehmen bei der DSGVO jetzt allerdings zum Verhängnis werden!<\/em><\/p>\n\n\n\n

Wenn der Schutz personenbezogener Daten verletzt wurde, muss ein Unternehmen das melden.<\/strong> Diese Meldepflicht bestand schon durch das Bundesdatenschutzgesetz (BDSG). Am 28.5.2018 trat allerdings die europäische Datenschutzgrundverordnung (DSGVO) in Kraft und mir ihr die verschärfte Meldepflicht<\/strong>. Unternehmen haben dann höchstens 72h Stunden<\/strong> Zeit, um eine Datenschutzverletzung an die zuständige Aufsichtsbehörde zu melden. Außerdem gibt es noch andere wichtige Änderungen:<\/p>\n\n\n\n

Wussten Sie z.B., dass die neue Meldepflicht alle personenbezogenen Daten betrifft und nicht mehr nur besonders sensible Daten? Oder dass Unternehmen ab jetzt einer Dokumentationspflicht <\/strong>unterliegen, wenn personenbezogene Daten verletzt worden sein könnten? In diesem Artikel erfahren Sie alles Wichtige zum Thema Meldepflichten in der DSGVO.<\/p>\n\n\n\n

Welche Meldepflichten bestanden früher?<\/h2>\n\n\n\n

Vorher wurden die Meldepflichten durch §42a des Bundesdatenschutzgesetztes (BDSG) geregelt. Darin steht, dass Unternehmen nur dann verpflichtet sind Datenschutzverstöße (ugs. Datenpannen) an die zuständige Datenschutz-Aufsichtsbehörde und an die Betroffenen zu melden, wenn alle der folgenden Kriterien erfüllt sind:<\/p>\n\n\n\n

    \n
  1. Von dem Verstoß sind besonders sensible personenbezogene Daten<\/strong> betroffen (z.B. Bank- oder Kontodaten, Gesundheitsdaten, etc.).<\/li>\n\n\n\n
  2. Die Daten wurden unrechtmäßig übermittelt<\/strong> oder Dritte haben auf sonstige Weise unrechtmäßig Kenntnis von diesen Daten erlangt.<\/li>\n\n\n\n
  3. Es drohen schwerwiegende Beeinträchtigungen<\/strong> für die Rechte oder schutzwürdigen Interessen der Betroffenen.<\/li>\n<\/ol>\n\n\n\n

    Gemäß § 43 drohte ein Bußgeld von bis zu 300.000 Euro für den Fall, dass eine Benachrichtigung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erfolgt.<\/p>\n\n\n\n

    Früher war es also so, dass die Voraussetzungen, ab wann ein Vorfall gemeldet werden muss, relativ hoch lagen. Das änderte sich aber mit der DSGVO.<\/p>\n\n\n\n

    Was sagt die DSGVO zur Meldepflicht?<\/h2>\n\n\n\n

    Die DSGVO unterscheidet bei der Meldepflicht immer zwischen der Meldepflicht gegenüber der zuständigen Aufsichtsbehörde <\/strong>(§33 DSGVO<\/a>) und der Meldepflicht gegenüber den von dem Vorfall betroffenen Personen<\/strong>  (§34 DSGVO<\/a>).<\/p>\n\n\n\n

    Prinzipiell ist es so, dass Sie eine Datenpanne fast immer der zuständigen Aufsichtsbehörde melden müssen, aber nicht immer den betroffenen Personen. Die zuständige Behörde<\/a> hängt vom Sitz Ihres Unternehmens ab.<\/p>\n\n\n\n

    Was und an wen muss ich melden?<\/h2>\n\n\n\n

    In den folgenden Fällen müssen Sie eine Datenschutzverletzung melden:<\/p>\n\n\n\n

    Der zuständigen Aufsichtsbehörde<\/h3>\n\n\n\n

    Laut § 33 der DSGVO<\/a> muss ein Unternehmen die zuständige Aufsichtsbehörde bei jeder „Verletzung des Schutzes personenbezogener Daten“<\/em> unverzüglich benachrichtigen<\/strong>. Das bedeutet die Meldepflicht gilt für jede Art der unrechtmäßigen Datenverarbeitung. Also z.B. auch bei einer unrechtmäßigen Zerstörung, Veränderung oder dem Verlust von Daten und nicht mehr nur dann, wenn Dritte unbefugt Zugriff erlangen. Außerdem ist es nicht mehr wichtig, ob es sich um sensible Daten handelt oder nicht.<\/p>\n\n\n\n

    Allerdings gibt es eine Ausnahme<\/strong>. Es besteht keine Meldepflicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt.<\/em> Ob Risiken für die Betroffenen wahrscheinlich sind, muss vom Unternehmen unter Zuhilfenahme des Risikokatalogs in Erwägungsgrund 75 DSGVO <\/a>abgewägt werden. Diese Risikoabschätzung sollte auch dokumentiert werden.<\/p>\n\n\n\n

    Den Betroffenen<\/h3>\n\n\n\n

    Wenn durch den Vorfall voraussichtlich ein hohes Risiko<\/strong> für die persönlichen Rechte und Freiheiten der Betroffenen besteht, dann müssen diese auch unverzüglich benachrichtigt werden. Allerdings gibt es auch hier wieder Ausnahmen<\/strong>. Die Benachrichtigung der betroffenen Personen ist nicht erforderlich, wenn:<\/p>\n\n\n\n

      \n
    1. geeignete technische und organisatorische Maßnahmen vorhanden sind, die den unbefugten Zugang zu den personenbezogenen Daten praktisch unmöglich machen, z. B. weil die Daten verschlüsselt sind<\/strong>.<\/li>\n<\/ol>\n\n\n\n

      oder wenn<\/strong><\/p>\n\n\n\n

        \n
      1. wirksame Maßnahmen zur Schadensbegrenzung<\/strong> ergriffen wurden und diese das hohe Risiko, das zum Zeitpunkt der Datenpanne bestand, eliminiert haben.<\/li>\n<\/ol>\n\n\n\n

        oder wenn<\/strong><\/p>\n\n\n\n

          \n
        1. die Benachrichtigung mit einem unverhältnismäßigen Aufwand<\/strong> verbunden wäre. Dann muss aber stattdessen eine öffentliche Bekanntmachung (z.B. in der Zeitung oder im Internet) erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.<\/li>\n<\/ol>\n\n\n\n

          Wie schnell muss ich melden?<\/h2>\n\n\n\n

          Im Gegensatz zum BDSG gibt es nun einen gesetzlichen Richtwert für die Meldung bei der Aufsichtsbehörde:<\/p>\n\n\n\n

          Der zuständigen Aufsichtsbehörde<\/strong><\/p>\n\n\n\n

          Die Meldung der Datenpanne muss unverzüglich, aber spätestens innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde stattfinden. Ein Überschreiten der Frist ist nur in begründeten Fällen möglich.<\/p>\n\n\n\n

          Den Betroffenen<\/strong><\/p>\n\n\n\n

          Die Meldung muss unverzüglich (d.h. ohne schuldhaftes Zögern) nach Kenntniserlangung erfolgen.<\/p>\n\n\n\n

          Was muss die Meldung enthalten?<\/h2>\n\n\n\n

          Die DSGVO definiert ein paar Mindestanforderungen an die Meldung:<\/p>\n\n\n\n

          An die zuständige Aufsichtsbehörde:<\/strong><\/p>\n\n\n\n

          Folgende Informationen müssen in der Meldung an die Aufsichtsbehörde enthalten sein:<\/p>\n\n\n\n

            \n
          1. \n
              \n
            1. \n