datenpanne meldepflicht passwörter bsi tom fido

Der richtige Umgang mit Datenpannen – Meldepflicht oder nicht?

/von

Für den Verantwortlichen stellen sich im Zusammenhang mit den sogenannten „Datenpannen“ (die DS-GVO spricht von der „Verletzung des Schutzes personenbezogener Daten“) viele Fragen. Liegt überhaupt eine Datenpanne vor? Wenn ja, liegt eine Meldepflicht an die zuständige Aufsichtsbehörde vor oder genügt es, die Datenpanne intern zu dokumentieren und zu beheben? Sind betroffene Personen zu informieren? Wenn ja, dann wie? Und wann erfolgt eine Meldung rechtzeitig, ohne dass die Gefahr eines Bußgelds besteht?

Hier hilft der weise Spruch „ein Blick ins Gesetz (Art. 33 DS-GVOArt. 4 Nr. 12 DS-GVO) erleichtert die Rechtsfindung“ nur bedingt weiter, denn damit kennt man zwar die grundsätzlichen Voraussetzungen, weiß jedoch noch nicht, wie die Datenschutzaufsichtsbehörden oder gegebenenfalls die mit einer Entscheidung befassten Gerichte die Normen interpretieren werden. Und von denen hängt es schließlich ab, ob die gesetzlichen Bestimmungen als erfüllt oder nicht erfüllt anzusehen wären.

Eine abgestimmte Meinung der deutschen Aufsichtsbehörden zu den aufgeworfenen Fragen, die diese im Rahmen der Datenschutzkonferenz veröffentlicht hätten, gibt es aktuell zwar nicht, noch weniger eine europaweit abgestimmte. Jedoch können die Stellungnahmen zweier Aufsichtsbehörden dabei helfen, Hinweise darauf zu bekommen, wie sich die (deutschen) Aufsichtsbehörden diesbezüglich positionieren. Hierzu schauen wir uns die vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) und vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) publizierten Stellungnahmen etwas genauer an.

Die Informationen des HmbBfDI sind aufgrund der ausführlichen Erklärungen und der vielen Beispiele mit zahlreichen Quellennachweisen besonders zu empfehlen. So wird beispielsweise ausgeführt, dass ein gestohlener oder verloren gegangener aber wirksam verschlüsselter USB-Stick keine Melde- und Informationspflichten nach Art. 33 DS-GVO auslösen würde. Ebenso wie ein mehrminütiger Stromausfall, bei dem kein Datenzugriff zwischenzeitlich möglich war. Die meisten anderen Beispiele, die der HmbBfDI aufführt, führen jedoch zu einer Melde- und Informationspflicht. Folgende Beispiele werden genannt:

  • Datenzugriff durch eine Cyber-Attacke,
  • Versand eines Kontoauszuges an einen falschen Empfänger,
  • Zugriff der Hacker auf Nutzernamen, Passwörter und Kaufhistorie von Kunden eines Online-Shops,
  • Möglichkeit der Einsicht fremder Kundendaten durch einen anderen Kunden aufgrund eines Programmierfehlers in einem Kundenportal,
  • Versand von Werbe-E-Mails mit einem offenen Mailverteiler.

Es empfiehlt sich also, stets die Umstände des Einzelfalls genau zu prüfen und nicht pauschal bei jeder Datenschutzverletzung von einer melde- und/oder informationspflichtigen Datenpanne auszugehen. Andererseits ist es in Anbetracht der Tatsache, dass eine unterlassene oder nicht rechtzeitige Meldung ein Bußgeld zur Folge haben kann, besser, einmal zu viel als einmal zu wenig zu melden.

Haben Sie schon Prozesse für den Umgang mit „Datenpannen“ definiert? Kontaktieren Sie uns, wir helfen Ihnen gerne!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
verschlüsselung supportende windows 7https-Verschlüsselung immer und auf allen Seiten!
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenAufsichtsbehörden prüfen Datenübermittlungen ins Ausland
standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogenDatenschutz-Folgenabschätzung und Standard-Datenschutzmodell
ds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoActive Sourcing und Datenschutz
betriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildungFachkunde und Weiterbildung des Datenschutzbeauftragten
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungScannen und Kopieren von Ausweisen