datenpanne meldepflicht passwörter bsi tom fido

Der richtige Umgang mit Datenpannen – Meldepflicht oder nicht?

/von

Für den Verantwortlichen stellen sich im Zusammenhang mit den sogenannten „Datenpannen“ (die DS-GVO spricht von der „Verletzung des Schutzes personenbezogener Daten“) viele Fragen. Liegt überhaupt eine Datenpanne vor? Wenn ja, liegt eine Meldepflicht an die zuständige Aufsichtsbehörde vor oder genügt es, die Datenpanne intern zu dokumentieren und zu beheben? Sind betroffene Personen zu informieren? Wenn ja, dann wie? Und wann erfolgt eine Meldung rechtzeitig, ohne dass die Gefahr eines Bußgelds besteht?

Hier hilft der weise Spruch „ein Blick ins Gesetz (Art. 33 DS-GVOArt. 4 Nr. 12 DS-GVO) erleichtert die Rechtsfindung“ nur bedingt weiter, denn damit kennt man zwar die grundsätzlichen Voraussetzungen, weiß jedoch noch nicht, wie die Datenschutzaufsichtsbehörden oder gegebenenfalls die mit einer Entscheidung befassten Gerichte die Normen interpretieren werden. Und von denen hängt es schließlich ab, ob die gesetzlichen Bestimmungen als erfüllt oder nicht erfüllt anzusehen wären.

Eine abgestimmte Meinung der deutschen Aufsichtsbehörden zu den aufgeworfenen Fragen, die diese im Rahmen der Datenschutzkonferenz veröffentlicht hätten, gibt es aktuell zwar nicht, noch weniger eine europaweit abgestimmte. Jedoch können die Stellungnahmen zweier Aufsichtsbehörden dabei helfen, Hinweise darauf zu bekommen, wie sich die (deutschen) Aufsichtsbehörden diesbezüglich positionieren. Hierzu schauen wir uns die vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) und vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) publizierten Stellungnahmen etwas genauer an.

Die Informationen des HmbBfDI sind aufgrund der ausführlichen Erklärungen und der vielen Beispiele mit zahlreichen Quellennachweisen besonders zu empfehlen. So wird beispielsweise ausgeführt, dass ein gestohlener oder verloren gegangener aber wirksam verschlüsselter USB-Stick keine Melde- und Informationspflichten nach Art. 33 DS-GVO auslösen würde. Ebenso wie ein mehrminütiger Stromausfall, bei dem kein Datenzugriff zwischenzeitlich möglich war. Die meisten anderen Beispiele, die der HmbBfDI aufführt, führen jedoch zu einer Melde- und Informationspflicht. Folgende Beispiele werden genannt:

  • Datenzugriff durch eine Cyber-Attacke,
  • Versand eines Kontoauszuges an einen falschen Empfänger,
  • Zugriff der Hacker auf Nutzernamen, Passwörter und Kaufhistorie von Kunden eines Online-Shops,
  • Möglichkeit der Einsicht fremder Kundendaten durch einen anderen Kunden aufgrund eines Programmierfehlers in einem Kundenportal,
  • Versand von Werbe-E-Mails mit einem offenen Mailverteiler.

Es empfiehlt sich also, stets die Umstände des Einzelfalls genau zu prüfen und nicht pauschal bei jeder Datenschutzverletzung von einer melde- und/oder informationspflichtigen Datenpanne auszugehen. Andererseits ist es in Anbetracht der Tatsache, dass eine unterlassene oder nicht rechtzeitige Meldung ein Bußgeld zur Folge haben kann, besser, einmal zu viel als einmal zu wenig zu melden.

Haben Sie schon Prozesse für den Umgang mit „Datenpannen“ definiert? Kontaktieren Sie uns, wir helfen Ihnen gerne!

Das könnte Sie auch interessieren
gesetz rechtliche verpflichtung double opt in schrems standardvertragsklauseln scc c2p einwilligung drittstaaten transfersBußgeld in Österreich wegen Verstoßes gegen Double-Opt-In Pflicht
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichSerie Rechtsgrundlagen: Das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bVerfahrensverzeichnis vs. Verzeichnis der Verarbeitungen
rechte- und rollenkonzept einsicht personalakte beschäftigungsverhältnisDas Rechte- und Rollenkonzept
bdsg-neu bdsg ds-gvo eu-dsgvo dsanpug-eu 203 stgb berufsgeheimnistraeger voßhoff kelber bundesdatenschutzbeauftragter ttdsgTTDSG passiert Bundesrat – endlich verbindliche Regelungen für Cookies
nudging cookie banner tracking edsa taskforceNudging Cookie-Banner – alles im grünen oder doch grauen, dunkelgrauen Bereich?
Bußgeld für Privatpersonen bei Datenschutzverstoßmail verschlüsselung einwilligungdatenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselungKeine Auskunft nach Art. 15 DS-GVO „aus Datenschutzgründen“?