Im Jahr 2020 verhängten die deutschen Datenschutzaufsichtsbehörden insgesamt 283 Bußgelder mit einer Gesamtsumme von 48.150.712 Euro (Einige dieser Bußgelder werden aktuell vor Gericht verhandelt). Nicht immer waren Verstöße gegen die Datenschutzgrundverordnung der Auslöser von Bußgeldverfahren, sondern des öfteren auch Datenpannen, die durch Mitarbeiter. Insgesamt wurden in Deutschland 26.057 Datenpannen für das Jahr 2020 gemeldet. Spitzenreiter war hier das BfDI der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit mit 9.985. Bayern folgt auf dem zweiten Platz mit 3.794 gemeldeten Datenpannen. Eine genaue Übersicht über verhängte Bußgelder und Datenpannen finden Sie hier.

Die Zahl der gemeldeten Datenpannen im Jahr 2020 wirkt für den Einen oder Anderen vielleicht nicht sonderlich hoch. Bei insgesamt ca. 3.5 Millionen Unternehmen in Deutschland, hätte rein rechnerisch also nur jedes 135. Unternehmen eine Datenpanne gemeldet. Die Dunkelziffer ist jedoch aus mehreren Gründen höher. Zum einen liegen zu den Bundesländern Thüringen und Mecklenburg-Vorpommern keine Angaben zu gemeldeten Datenpannen vor. Zum anderen unterscheidet die DSGVO zwischen meldepflichtigen und nicht meldepflichtigen Datenpannen. Dass vermutlich viele Unternehmen gar keinen Meldeprozess für mögliche Datenpannen implementiert haben bzw. sich mit der Thematik nicht wirklich auseinandersetzen, ist nicht außer Acht zu lassen. Damit Sie auf alle Eventualitäten vorbereitet sind, finden Sie im Folgenden einen Hilfestellung für den Umgang bei Datenpannen und wie Sie sich im Fall der Fälle verhalten müssen.

WAS IST EINE DATENPANNE?

Der Begriff „Datenpanne“ ist ein sehr weitläufiger Begriff, der in vielen Bereichen eingesetzt werden kann. Offiziell definiert man „eine Datenpanne oder ein Datenleck, als einen Vorfall, bei dem jemand einen unberechtigten Zugriff auf eine Datensammlung erhält.“ Daten im Sinne der DSGVO sind immer dann personenbezogen, wenn Personen dadurch klar identifiziert werden oder identifizierbar gemacht werden können. Eine Datenpanne im Sinne der DSGVO ist also immer personenbezogenen Ursprungs. In diesem Leitfaden ist der Begriff immer mit Personenbezug anzuwenden. Von einer Datenpanne im Sinne der DSGVO spricht man bei folgenden Situationen:

• Vernichtung von Daten: Hierzu gehört jegliche unbeabsichtigte oder rechtlich unzulässige Löschung
• Unbefugter Zugriff oder Zugang zu personenbezogenen Daten
• Unbefugte Weitergabe oder Offenlegung : Ein Dritter erhält die Daten, obwohl keine Rechtsgrundlage vorliegt
• Unbefugte Veränderung der Daten
• Verlust von Daten

WANN IST EINE DATENPANNE ZU MELDEN?

Die Meldung von Verletzungen des Schutzes von personenbezogenen Daten ist in der Datenschutzgrundverordnung klar geregelt. Die Verantwortliche Stelle meldet „unverzüglich oder möglichst binnen 72 Stunden, nachdem ihr die Verletzung bekannt wurde, an die zuständigen Aufsichtsbehörde.“ Die Meldepflicht entsteht zu dem Zeitpunkt, zu welchem der Verantwortliche von dem meldepflichtigen Ereignis Kenntnis erlangt hat. Während einer notwendigen „Aufklärungsphase“ besteht noch keine Meldepflicht. Das für den Anfang der Frist maßgebliche Ereignis ist das Bekanntwerden der Datenschutzverletzung. Die Frist tritt dann nicht sofort, sondern mit Anfang der nächsten Stunde in Lauf. Wird also eine Datenschutzverletzung um 16.20 Uhr bekannt, beginnt die 72- Stunden-Frist um 17.00 Uhr.

Doch wann ist eine Datenpanne tatsächlich meldepflichtig? Ob eine Meldepflicht besteht ist immer im Einzelfall zu prüfen und kann nicht pauschal mit ja oder nein beantwortet werden. Ziehen Sie daher im Fall der Fälle immer Ihren P29-Datenschutzbeauftragten hinzu. Er wird Sie fachkundig und abwägend dazu beraten und gemeinsam mit Ihnen die Risikoeinschätzung vornehmen.

Eine Meldepflicht liegt voraussichtlich nicht vor, sollte die Verletzung nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führen. Auch muss abgewogen werden, ob ein Schadenseintritt für den betroffenen Personenkreis überhaupt möglich ist. Das Risiko lässt sich folgendermaßen definieren:

Risiko = Erhöhte Eintrittswahrscheinlichkeit eines drohenden physischen, psychischen, materiellen oder immateriellen Schadensereignisses

Bei der Risikoabschätzung muss unter anderem die Art der Datenschutzverletzung, die Sensibilität und der Umfang der personenbezogenen Daten, die Identifikationsmöglichkeiten, die potentielle Konsequenzen und die Anzahl der Betroffenen berücksichtigt werden. Ergibt sich bei der Einzelbewertung zusätzlich eine besondere Schwere, ist von einem hohen Risiko für die Betroffenen auszugehen, was eine Meldung unvermeidbar macht. Für Fälle mit besagtem hohem Risiko müssen gem. DSGVO die betroffenen Personen informiert werden. Auch das ist von Fall zu Fall unterschiedlich und ist durch Einbeziehen Ihres Datenschutzbeauftragten zu beurteilen.

WAS IST ZU TUN, WENN SIE VON EINER DATENPANNE ERFAHREN ODER SIE SELBST EINE HABEN?

Bestenfalls hat jedes Unternehmen seinen eigens definierten Prozess, wie mit solchen Vorfällen umzugehen ist. Befehlsketten oder klar definierte Handlungsketten sparen Zeit und vermeiden Chaos. In Sachen des 72 Stunden-Zeitraums ist das Wichtigste der Faktor Zeit. Natürlich gibt es Datenpannen, welche nach wenigen Stunden beurteilt werden können. Es kann jedoch auch das Gegenteil eintreten und es auf jede zusätzliche Stunde ankommen kann. Der Prozess muss jedem Mitarbeiter geläufig sein. So könnte ein solcher Prozess aussehen:

1. Der Mitarbeiter benachrichtigt seinen verantwortlichen Datenschutzkoordinator.
2. Der Datenschutzkoordinator informiert seinen Abteilungsleiter und den Datenschutzbeauftragten
3. Zusammen mit dem Datenschutzbeauftragten wird entschieden ob es sich um eine meldepflichtige Datenpanne handelt und ob darüber hinaus ein hohes Risiko für die Rechte der Betroffenen besteht.
4. Ist die Datenpanne nicht meldepflichtig, wird diese trotzdem dokumentiert (z.B. in PRIVACYSOFT) inkl. der Entscheidung warum keine Meldung durchgeführt wurde.
5. Bei einer meldepflichtigen Datenpanne wird die Unternehmensführung darüber informiert.
6. Der verantwortliche Datenschutzkoordinator meldet die Datenpanne bei der zuständige Aufsichtsbehörde und informiert ggf., in Rücksprache mit der Unternehmensleitung, die Betroffenen. Ihr P29-Datenschutzbeauftragter steht Ihnen hierbei selbstverständlich mit Rat und Tat zur Seite. Hier finden Sie eine Liste aller Aufsichtsbehörden und den Meldeportalen: Übersicht Behörden Meldeportale

Der Inhalt der Meldung an die Aufsichtsbehörde ist meist durch ein bereitgestelltes Online-Formular vordefiniert. Zur besseren Einschätzung Ihres Datenschutzbeauftragten, lohnt es sich jedoch bereits zum Zeitpunkt der Datenpanne folgende Infos zu dokumentieren und in Erfahrung zu bringen:

1. Beschreibung der genauen Verletzung (Bsp.: Ist es zu einem Datenverlust gekommen?)
2. Welche Kategorien von personenbezogenen Daten sind betroffen? (Bsp.: Mitarbeiter oder Kunden?)
3. Ungefähre Anzahl der Betroffenen, Kategorien von Datensätzen und/oder Anzahl der betroffenen Datensätze (Bsp. Datensätze von 561 Kunden und 5 Mitarbeitern)
4. Mögliche Folgen für die Betroffenen (Bsp. Finanzieller Nachteil, da Abrechnungsdaten offengelegt wurden)
5. Beschreibung der Maßnahmen die direkt eingeleitet wurden, um das Risiko direkt zu minimieren
6. Beschreibung der Maßnahmen, um die Datenpanne zu beheben
7. Maßnahmen die nach der Meldung eingeleitet werden/wurden (Bsp. Schulung und Sensibilisierung der Mitarbeiter)

Auch bei einer nicht meldepflichtigen Datenpanne muss die Datenpanne sachgerecht dokumentiert werden. Aus diesem Grund sind auch dann die oben genannten Schritte durchzuführen. Ziehen Sie hierzu auch Ihren P29-Datenschutzbeauftragten hinzu.