Datenschutz und IT

Die Datenschutzvorschriften nach DSGVO sind weitestgehend umgesetzt, der Datenschutzbeauftragte hat die Mitarbeiterschulung durchgeführt und nimmt seine Arbeit auf. Doch dann passiert es: die erste Datenpanne. Wann ist eine Datenschutzverletzung meldepflichtig? Und was ist in so einem Fall zu tun?

Welche Datenpannen sind meldepflichtig?

Der Verantwortliche einer Datenverarbeitung ist verpflichtet, der Datenschutzaufsichtsbehörde zu melden und zu berichten (Melde- und Benachrichtigungspflicht), wenn personenbezogene Daten von einer Datenpanne betroffen sind. Eine Datenpanne liegt aber nicht nur dann vor, wenn das System von einem Virus befallen wurde oder Hacker sich Zugang verschafft haben. 

Ein sicherheitsrelevanter Vorfall ist auch dann gegeben, wenn personenbezogene Daten unbefugt herausgegeben wurden.  Dies ist z. B. dann der Fall, wenn eine E-Mail mit sensiblen Daten aus Versehen an den falschen Empfänger versendet wurde, Daten unbewusst im Internet veröffentlicht wurden oder ein USB-Stick oder ein Geschäftshandy etc. verloren gegangen sind, die sensible Daten enthielten. 

Ausnahme: Die Meldepflicht setzt voraus, dass die Verletzung des Schutzes der personenbezogenen Daten mit einem Risiko für den Betroffenen verbunden ist. Ist dieses Risiko nicht gegeben, zählt der Vorfall nicht zu den meldepflichtigen Datenpannen. 

Damit Mitarbeiter, die personenbezogene Daten verarbeiten, bei Datenpannen gleich angemessen reagieren, können Unternehmen und Shopbetreiber auf ein ausführliches Merkblatt zur Melde- und Benachrichtigungspflicht gemäß DSGVO zurückgreifen, das in der „Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop“ enthalten ist. 

6 Schritte zur Meldung einer Datenpanne 

Nach dem neuen Datenschutzrecht greifen die Meldepflichten einer Datenpanne v. a. gegenüber der Aufsichtsbehörde jetzt viel früher.

Liegt eine Datenschutzverletzung in Form einer Datenpanne vor, ist nun Folgendes zu tun: 

  1. Der Mitarbeiter bzw. Auftragsverarbeiter muss sofort nach Kenntnisnahme der Schutzverletzung den Verantwortlichen (i. d. R. den Datenschutzbeauftragten) darüber informieren, damit dieser seiner Meldepflicht in der vorgeschriebenen Frist nachkommen kann. 
  2. Binnen 72 Stunden nach Bekanntwerden der Datenschutzverletzung muss der Datenschutzbeauftragte den Vorfall an die jeweils zuständige Datenschutzaufsichtsbehörde melden. 
  3. Ist innerhalb dieser 72 Stunden das Ausmaß der Datenpanne noch nicht klar, sollte dennoch eine Meldung mit der Information erfolgen, dass weitere Untersuchungen anstehen. Sind die Untersuchungen abgeschlossen, muss eine Nachmeldung folgen. 
  4. Der Inhalt der Meldung sollte gemäß Art. 33 Abs. 3 DSGVO folgende Daten enthalten: 
    • Beschreibung der Art der Verletzung, welche Daten und Datenarten, wie viele Personen und Datensätze betroffen sind. 
    • Name und Kontaktdaten des zuständigen Datenschutzbeauftragten 
    • Beschreibung der Folgen, die wahrscheinlich sind 
    • Beschreibung der Maßnahmen, die zur Abwendung bzw. Abmilderung der Folgen bereits ergriffen wurden oder geplant sind
  5. Datenpanne im Rahmen der Dokumentationspflicht dokumentieren, um der Aufsichtsbehörde damit eine Kontrolle zu ermöglichen.
  6. Die von der Datenpanne betroffene Person muss ebenfalls unverzüglich (so schnell wie möglich) und in klarer und einfacher Sprache darüber informiert werden, dass der Schutz ihrer Daten verletzt wurde (s. Benachrichtigungspflicht gegenüber dem Betroffenen nach Art. 34 DSGVO). Was dabei zu beachten ist, erklärt die „Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop“.

Ein Verstoß gegen die Melde- und Berichtspflicht gemäß DSGVO stellt eine Ordnungswidrigkeit dar und kann mit einem Bußgeld von bis zu 10 Mio. Euro oder bis zu 2 % des weltweiten Vorjahresumsatzes geahndet werden. (juse)

Erleichtern Sie sich die Umsetzung des Datenschutzrechts mit vorgefertigten Checklisten, Merkblättern und Mustervorlagen!

Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop

mehr erfahren

Quelle: „Dokumentenmappe: Datenschutz für Internetauftritt & Online-Shop“

War der Artikel hilfreich?
finde ich gut 0