datenpanne meldepflicht passwörter bsi tom fido

Der richtige Umgang mit Datenpannen – Meldepflicht oder nicht?

Für den Verantwortlichen stellen sich im Zusammenhang mit den sogenannten „Datenpannen“ (die DS-GVO spricht von der „Verletzung des Schutzes personenbezogener Daten“) viele Fragen. Liegt überhaupt eine Datenpanne vor? Wenn ja, liegt eine Meldepflicht an die zuständige Aufsichtsbehörde vor oder genügt es, die Datenpanne intern zu dokumentieren und zu beheben? Sind betroffene Personen zu informieren? Wenn ja, dann wie? Und wann erfolgt eine Meldung rechtzeitig, ohne dass die Gefahr eines Bußgelds besteht?

Hier hilft der weise Spruch „ein Blick ins Gesetz (Art. 33 DS-GVOArt. 4 Nr. 12 DS-GVO) erleichtert die Rechtsfindung“ nur bedingt weiter, denn damit kennt man zwar die grundsätzlichen Voraussetzungen, weiß jedoch noch nicht, wie die Datenschutzaufsichtsbehörden oder gegebenenfalls die mit einer Entscheidung befassten Gerichte die Normen interpretieren werden. Und von denen hängt es schließlich ab, ob die gesetzlichen Bestimmungen als erfüllt oder nicht erfüllt anzusehen wären.

Eine abgestimmte Meinung der deutschen Aufsichtsbehörden zu den aufgeworfenen Fragen, die diese im Rahmen der Datenschutzkonferenz veröffentlicht hätten, gibt es aktuell zwar nicht, noch weniger eine europaweit abgestimmte. Jedoch können die Stellungnahmen zweier Aufsichtsbehörden dabei helfen, Hinweise darauf zu bekommen, wie sich die (deutschen) Aufsichtsbehörden diesbezüglich positionieren. Hierzu schauen wir uns die vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) und vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) publizierten Stellungnahmen etwas genauer an.

Die Informationen des HmbBfDI sind aufgrund der ausführlichen Erklärungen und der vielen Beispiele mit zahlreichen Quellennachweisen besonders zu empfehlen. So wird beispielsweise ausgeführt, dass ein gestohlener oder verloren gegangener aber wirksam verschlüsselter USB-Stick keine Melde- und Informationspflichten nach Art. 33 DS-GVO auslösen würde. Ebenso wie ein mehrminütiger Stromausfall, bei dem kein Datenzugriff zwischenzeitlich möglich war. Die meisten anderen Beispiele, die der HmbBfDI aufführt, führen jedoch zu einer Melde- und Informationspflicht. Folgende Beispiele werden genannt:

  • Datenzugriff durch eine Cyber-Attacke,
  • Versand eines Kontoauszuges an einen falschen Empfänger,
  • Zugriff der Hacker auf Nutzernamen, Passwörter und Kaufhistorie von Kunden eines Online-Shops,
  • Möglichkeit der Einsicht fremder Kundendaten durch einen anderen Kunden aufgrund eines Programmierfehlers in einem Kundenportal,
  • Versand von Werbe-E-Mails mit einem offenen Mailverteiler.

Es empfiehlt sich also, stets die Umstände des Einzelfalls genau zu prüfen und nicht pauschal bei jeder Datenschutzverletzung von einer melde- und/oder informationspflichtigen Datenpanne auszugehen. Andererseits ist es in Anbetracht der Tatsache, dass eine unterlassene oder nicht rechtzeitige Meldung ein Bußgeld zur Folge haben kann, besser, einmal zu viel als einmal zu wenig zu melden.

Haben Sie schon Prozesse für den Umgang mit „Datenpannen“ definiert? Kontaktieren Sie uns, wir helfen Ihnen gerne!


Diesen Beitrag teilen