datenpanne meldepflicht passwörter bsi tom fido

Der richtige Umgang mit Datenpannen – Meldepflicht oder nicht?

/von

Für den Verantwortlichen stellen sich im Zusammenhang mit den sogenannten „Datenpannen“ (die DS-GVO spricht von der „Verletzung des Schutzes personenbezogener Daten“) viele Fragen. Liegt überhaupt eine Datenpanne vor? Wenn ja, liegt eine Meldepflicht an die zuständige Aufsichtsbehörde vor oder genügt es, die Datenpanne intern zu dokumentieren und zu beheben? Sind betroffene Personen zu informieren? Wenn ja, dann wie? Und wann erfolgt eine Meldung rechtzeitig, ohne dass die Gefahr eines Bußgelds besteht?

Hier hilft der weise Spruch „ein Blick ins Gesetz (Art. 33 DS-GVOArt. 4 Nr. 12 DS-GVO) erleichtert die Rechtsfindung“ nur bedingt weiter, denn damit kennt man zwar die grundsätzlichen Voraussetzungen, weiß jedoch noch nicht, wie die Datenschutzaufsichtsbehörden oder gegebenenfalls die mit einer Entscheidung befassten Gerichte die Normen interpretieren werden. Und von denen hängt es schließlich ab, ob die gesetzlichen Bestimmungen als erfüllt oder nicht erfüllt anzusehen wären.

Eine abgestimmte Meinung der deutschen Aufsichtsbehörden zu den aufgeworfenen Fragen, die diese im Rahmen der Datenschutzkonferenz veröffentlicht hätten, gibt es aktuell zwar nicht, noch weniger eine europaweit abgestimmte. Jedoch können die Stellungnahmen zweier Aufsichtsbehörden dabei helfen, Hinweise darauf zu bekommen, wie sich die (deutschen) Aufsichtsbehörden diesbezüglich positionieren. Hierzu schauen wir uns die vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) und vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) publizierten Stellungnahmen etwas genauer an.

Die Informationen des HmbBfDI sind aufgrund der ausführlichen Erklärungen und der vielen Beispiele mit zahlreichen Quellennachweisen besonders zu empfehlen. So wird beispielsweise ausgeführt, dass ein gestohlener oder verloren gegangener aber wirksam verschlüsselter USB-Stick keine Melde- und Informationspflichten nach Art. 33 DS-GVO auslösen würde. Ebenso wie ein mehrminütiger Stromausfall, bei dem kein Datenzugriff zwischenzeitlich möglich war. Die meisten anderen Beispiele, die der HmbBfDI aufführt, führen jedoch zu einer Melde- und Informationspflicht. Folgende Beispiele werden genannt:

  • Datenzugriff durch eine Cyber-Attacke,
  • Versand eines Kontoauszuges an einen falschen Empfänger,
  • Zugriff der Hacker auf Nutzernamen, Passwörter und Kaufhistorie von Kunden eines Online-Shops,
  • Möglichkeit der Einsicht fremder Kundendaten durch einen anderen Kunden aufgrund eines Programmierfehlers in einem Kundenportal,
  • Versand von Werbe-E-Mails mit einem offenen Mailverteiler.

Es empfiehlt sich also, stets die Umstände des Einzelfalls genau zu prüfen und nicht pauschal bei jeder Datenschutzverletzung von einer melde- und/oder informationspflichtigen Datenpanne auszugehen. Andererseits ist es in Anbetracht der Tatsache, dass eine unterlassene oder nicht rechtzeitige Meldung ein Bußgeld zur Folge haben kann, besser, einmal zu viel als einmal zu wenig zu melden.

Haben Sie schon Prozesse für den Umgang mit „Datenpannen“ definiert? Kontaktieren Sie uns, wir helfen Ihnen gerne!

Das könnte Sie auch interessieren
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotVideoüberwachung im Unternehmen und Datenschutz
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglichDie Reichweite des Auskunftsanspruchs – der BGH hat geurteilt
tracking newsletter notwendige dienste cookies facebook gemeinsame verantwortlichkeitTracking im Newsletter – die Risiken
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-inAuftragsdatenverarbeitung unter der DSGVO
ds-gvo adv auftragsverarbeitung backups löschenAuftragsdatenverarbeitung unter der DSGVO im Vergleich zum BDSG
privacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japanSafe Harbor: Hamburger Aufsichtsbehörde wird aktiv
Bußgeld für Privatpersonen bei Datenschutzverstoßmail verschlüsselung einwilligungdatenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigert verschlüsselungKeine Auskunft nach Art. 15 DS-GVO „aus Datenschutzgründen“?