Zum Inhalt springen Zur Navigation springen
Data Breach Notification: Datenpannen in der DSGVO

Data Breach Notification: Datenpannen in der DSGVO

Schon bisher sind Unternehmen verpflichtet, die Aufsichtsbehörden oder die Betroffenen bei Datenschutzverstößen in Form von Datenpannen oder sog. Data Breaches zu informieren. Diese Verpflichtungen werden mit der DSGVO deutlich verschärft.

Was ist ein Data Breach?

Ein Data Breach (z. Dt. Datenpannen) sind Verstöße, gegen die Datensicherheit und den Datenschutz, bei denen personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt werden. Ursachen dafür sind vielfältig und können z.B. in einem Hackerangriff, dem Verlust eines USB-Sticks, dem Diebstahl eines Smartphones oder in einem unbefugten Weitergeben durch Mitarbeiter – gleichgültig ob bewusst oder unbewusst – liegen.

Data Breaches sind oftmals mit erheblichen Risiken, wie z.B. einer Rufschädigung bis hin zu Kreditkartenmissbrauch oder einem Identitätsdiebstahl, für die Betroffenen sowie gravierenden Nachteilen für das Unternehmen verbunden.

Aktuelle Rechtslage bei Datenpannen

Bisher sind Datenpannen nach § 42a BDSG unter zwei Voraussetzungen meldepflichtig. Es müssen sog. „Risikodaten“ betroffen sein. Diese sind in § 42a Satz 1 BDSG abschließend aufgezählt und beinhalten u.a. besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG oder Daten zu Bank und Kreditkartenkonten.

Darüber hinaus müssen durch die Datenpanne schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des Betroffenen drohen, so dass die Anzahl meldepflichtigen Vorfälle bislang nicht sehr groß ist.

Rechtslage nach der DSGVO

Die DSGVO sieht ab Mai 2018 eine deutlich verschärftere Meldepflicht bei Data Breaches vor. Wann eine solche Verpflichtung besteht, richtet sich nach den Art. 33 DSGVO für Meldungen an die Aufsichtsbehörde und Art. 34 DSGVO für Meldungen an die Betroffenen.

Meldungen an die Aufsichtsbehörde

Künftig muss grundsätzlich jede Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde gemeldet werden. Eine Beschränkung auf die oben bezeichneten Risikodaten kennt die DSGVO nicht. Eine Ausnahme besteht nach Art 33 Abs. 1 DSGVO nur dann, wenn die Datenpanne

voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Es ist also stets eine Risikoabwägung durchzuführen. Hierbei sollte in jedem Falle der Risikokatalog des Erwägungsgrundes 75 DSGVO berücksichtigt und die Abwägung dokumentiert werden

Meldungen an die Betroffenen

Ergibt die durchzuführende Risikoabwägung, dass durch die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, sind diese nach Art. 34 DSGVO zu benachrichtigen.

Ausnahmen von der Pflicht zur Benachrichtigung bestehen nach Art. 34 Abs. 3 DSGVO, wenn

  • geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, durch die die, betroffenen Daten für Unbefugte nicht zugänglich sind (z.B. Verschlüsselung),
  • durch nachfolgende Maßnahmen sichergestellt wurde, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
  • die direkte Information der Betroffenen mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall ist jedoch eine öffentliche Bekanntmachung gefordert.

Formale Anforderungen an die Data Breach Notification

Hinsichtlich der formalen Anforderungen an die Data Breach Notification werden in den Art. 33, 34 DSGVO jeweils Mindestanforderungen geregelt. Notwendig ist bei der Meldung an die Aufsichtsbehörde:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die letzten drei Punkte sind auch bei der Benachrichtigung der Betroffenen zu berücksichtigen. Zudem ist in diesen Fällen die Meldung in einer klaren und einfachen Sprache zu verfassen.

Meldefristen

Sowohl die Data Breach Notification an die Aufsichtsbehörde als auch die Benachrichtigung der Betroffenen haben, wie bisher nach § 42a BDSG unverzüglich, also ohne schuldhaftes Zögern, nach Kenntniserlangung zu erfolgen.

Jedoch wird in Art. 33 Abs. 1 DSGVO für die Meldung an die Aufsichtsbehörde im Gegensatz zum BDSG ein gesetzlicher Richtwert von 72 Stunden für den Ablauf der Unverzüglichkeit angenommen. Erfolgen Data Breach Notifications erst nach Ablauf dieser Frist, muss die Verzögerung gesondert begründet werden.

Dokumentationspflichten

DSGVO-typisch werden dem Verantwortlichen nach Art. 33 Abs. 5 DSGVO in Bezug auf die Data Breach Notification außerdem Dokumentationspflichten hinsichtlich aller Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen auferlegt.

Sanktionen

Verstöße gegen die Pflichten aus Art. 33, 34 DSGVO, z.B. bei unterlassener oder nicht rechtzeitiger Meldung oder Verletzungen der Dokumentationspflicht, können durch die Aufsichtsbehörde mit einem Bußgeld von bis zu 10.000.000,00 EUR oder 2% des weltweit erzielten Jahresumsatzes sanktioniert werden.

Kein Verwertungsverbot

Gemäß § 42a Satz 6 BDSG dürfen Informationen aus der Meldung einer Datenpanne in einem Straf- oder Ordnungswidrigkeitsverfahren nur mit Zustimmung des Verantwortlichen verwendet werden. Eine solche Einschränkung ist jedoch in der DSGVO nicht geregelt. Es besteht daher grundsätzlich die Möglichkeit, dass Verantwortliche durch Erfüllung der Meldepflicht selbst die Grundlage für ein Bußgeldverfahren gegen sich schaffen.

Empfehlungen für Unternehmen

Die Bedeutung von Meldungen, zumindest an Aufsichtsbehörden, und damit die Fallzahlen dürften mit Wirksamwerden der DSGVO deutlich steigen, da dann die Meldepflicht unabhängig von der Art der personenbezogenen Daten besteht.

Dies führt unweigerlich zu einer Mehrbelastung der ohnehin schon sehr beanspruchten Aufsichtsbehörden, die derzeit Möglichkeiten zur Bewältigung des erwarteten Aufwandes prüfen. Das BayLDA etwa bereitet derzeit einen Online-Service für verantwortliche Stellen zur effizienten Datenpannenmeldung vor.

Angesichts der kurzen Fristen für eine solche Meldung, der gesteigerten Anforderungen an Dokumentation sowie die Höhe der drohenden Bußgelder sollte die Übergangszeit genutzt werden, um effiziente Prozesse zu implementieren, durch die Datenpannen schnell erkannt und die entsprechenden Meldepflichten umgesetzt werden können.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Haben Meldungen an die Aufsichtsbehörde nur bei Verstößen bzgl. externen Kundendaten oder auch im Bereich Arbeitnehmerdatenschutz zu erfolgen oder greift hier die Ausnahme nach Art 33 Abs. 1 DSGVO „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“?

    Punkt Verwertungsverbot: Laut DSGVO kann der Verantwortliche durch die Erfüllung der Meldepflicht selbst die Grundlage für ein Bußgeldverfahren schaffen. Man wird quasi dafür bestraft, dass man seinen Pflichten nachkommt. Wird das einige nicht dazu verleiten, solche Verstöße nicht zu melden? Was passiert dann?

    Generell stellt sich die Frage was ist, wenn man als Verantwortlicher von Unternehmensseite genötigt wird, den Verstoß unter den Teppich zu kehren?

    • 1. Der Verordnungstext differenziert bei den Meldepflichten nicht zwischen Kunden oder Mitarbeitern oder sonstigen Betroffenen. Sicherlich drohen auch bei Abhandenkommen von Mitarbeiterdaten Risiken für Rechte und Freiheiten natürlicher Personen, etwa wenn Bankverbindungs-, Gehalts-, oder Gesundheitsdaten abhandenkommen.

      2. Da ja auch die unterlassene Meldung mit einem Bußgeld geahndet werden kann, sollten Verantwortliche Datenpannen nicht unter den Teppich kehren. Wenn im Rahmen der Meldung durch die Aufsichtsbehörde weitere Verstöße gegen die DSGVO festgestellt werden, z.B. weil die Meldung Hinweise auf nichtgetroffene technische und organisatorische Maßnahmen offenbart, ist der Umstand der Meldung ein einem Bußgeldverfahren, falls ein solches überhaupt eingeleitet wird, nach Art. 83 Abs. 2 h) DSGVO gebührend zu berücksichtigen.

  • Ist ja alles sehr schön und eindeutig geschrieben! Meine persönliche Meinung ist jedoch, das dieses Gesetz leider wiedermal an der Realität vorbei schrammt. Wir haben in Europa, weder eine einheitliche IT-Sicherheitspolitik, noch sind die meisten Unternehmen in der Lage einen Angriff auf ihre Systeme von Dritten richtig zu deuten. Eine Auswertung der Datensätze benötigt wesendlich mehr wie die gesetzte Frist von 72h usw.

  • Besteht eine Anzeigepflicht für den Auftragsverarbeiter?

    Wenn ich es richtig verstehen, sind Verstöße (Unter Abwägung des Risikos eines tatsächlichen Verstoßes, insb. nach Erwägungsgrund 75 DSGVO) innerhalb von 72 Stunden der Aufsichtsbehörde zu melden. Dies ist unabhänging davon, ob ich Auftragsverarbeiter oder Verantwortlicher bin. Ist es zu einer Datenpanne gekommen, so ist dies zu melden.

    Außerdem muss der Auftragsverarbeitende gem. Art 28 III h S. 2 und Art. 33 DSGVO den Verantwortlichen unverzüglich informieren, wenn der Verdacht besteht, dass dieser gegen die Datenschutzbestimmungen verstößt.

    Zu meiner Frage: Muss der Auftragsverarbeiter auch der Aufsichtsbehörde melden, dass er zumindest glaubt, dass sein Auftraggeber (der Verantwortliche) möglicherweise gegen die Verordnung verstößt? Oder ist er lediglich dazu verpflichtet, den Verantwortlichen zu informieren, damit dieser die Aufsichtsbehörde in Kenntnis setzen kann?

    Zudem möchte ich mich für diesen hervorragenden Beitrag bedanken!

    • Nach Art. 33 Abs. 2 DSGVO muss der Auftragsverarbeiter den Vorfall dem Verantwortlichen melden. Der Verantwortliche meldet den Vorfall gemäß Abs. 1 der Aufsichtsbehörde. Daraus ergibt sich, dass sich die Meldepflicht des Auftragsverarbeiters nur auf den Verantwortlichen bezieht, m.a.W.: Der Auftragsverarbeiter wendet sich selbst NICHT an die Behörde.

      Herzlichen Dank für Ihr Lob!

  • Werden die 72 Stunden irgendwo genauer definiert?
    Was ist beispielsweise wenn die ‚Panne‘ an einem langen Wochenende wie Pfingsten oder Weihnachten passiert. Würde dies als Begründung für eine verspätete Meldung zählen?

    • Die 72 Stunden gelten ab dem Zeitpunkt, zu dem die Verletzung bekannt wurde, nicht zu dem sie passiert ist. Wenn Sie an einem langen Wochenende die Verletzung feststellen können, können Sie sie auch dann melden. Daher würde das als Begründung sicherlich nicht akzeptiert werden.

  • Im Text steht folgender Absatz: „Kein Verwertungsverbot Gemäß § 42a Satz 6 BDSG dürfen Informationen aus der Meldung einer Datenpanne in einem Straf- oder Ordnungswidrigkeitsverfahren nur mit Zustimmung des Verantwortlichen verwendet werden. Eine solche Einschränkung ist jedoch in der DSGVO nicht geregelt. Es besteht daher grundsätzlich die Möglichkeit, dass Verantwortliche durch Erfüllung der Meldepflicht selbst die Grundlage für ein Bußgeldverfahren gegen sich schaffen.“

    Wie sieht es mit §42 Abs. 4 und §43 Abs. 4 BDSG-neu aus? Sind diese Regelungen denn nicht gleichwertig zu denen von § 42a Satz 6 BDSG-alt sind?

    • § 42 Abs. 4 BDSG bezieht sich auf strafrechtliche Konsequenzen. Da grundrechtlich verbürgt ist, dass sich niemand einer Straftat selbst bezichtigen muss, gilt diese Regelung für jeden Bürger.

      § 43 Abs. 4 BDSG bezieht sich auf das Bußgeldverfahren. Die Experten streiten sich wegen Erwägungsgrund 87 DSGVO darüber, ob der deutsche Gesetzgeber dazu befugt ist, eine solche Regelung zu erlassen. Wenn die Regelung, wie einige annehmen, aus diesem Grund unwirksam ist, darf eine Aufsichtsbehörde nicht allein deshalb von einem Bußgeld absehen, weil sie im Rahmen einer Meldung nach Art. 33 DSGVO oder einer Benachrichtigung nach Art. 34 DSGVO von einem Verstoß erfahren hat.

      • Also gibt es doch mit § 43 Abs. 4 BDSG-neu ein gesetzliches Verwertungsverbot. Dass einige Experten bestreiten, dass das wirksam ist, ist doch etwas ganz anderes als das was der Text behauptet, nämlich dass das Verwertungsverbot mit der DSGVO gefallen wäre. Außerdem kann ich auch gar nicht nachvollziehen, wie man aus Erwägungsgrund 87 DSGVO irgendetwas in der Art herleiten könnte. Satz 3 spricht davon, dass bei einer Meldung die Aufsichtsbehörde tätig werden kann. Daraus soll man schließen, dass ein Verwertungsverbot unzulässig ist? Solche Auslegungsspitzfindigkeiten sind doch typisch deutsch. Die DSGVO ist eine europäische Regelung, keine deutsche! German Angst ist daher fehl am Platz.

  • Guten Abend,
    kann mir jemand sagen, was nach einer Meldung bei der Aufsichtsbehörde geschieht? Haben die Behörden dann eine Prüfpflicht? Steht dies irgendwo in der DSGVO?

    • Dies ist in Art. 57 Abs.1 lit.f DSGVO geregelt:
      Hiernach muss sich die Aufsichtsbeschwerde mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist.

  • Was ist, wenn in einem kleinen gemeinnützigen Verein ohne nennenswertes Vereinsvermögen aus Unachtsamkeit ein Datenschutzverstoß passiert, z.B. eine Mail an die Mitglieder versehentlich mit offenem Verteiler verschickt wurde? Kann man bei einer Meldung bei der Aufsichtsbehörde auf Milde hoffen? Oder unterlässt man die Meldung besser, weil das Bußgeld den Verein so oder so in die Insolvenz treiben würde und die einzige Hoffnung auf Überleben darin besteht, die Sache unter den Teppich zu kehren?

    • Bitte beachten Sie das wir im Rahmen dieses Blogs keine Rechtsberatung leisten dürfen. Ein weiteres taktisches Vorgehen besprechen Sie am besten mit einem Fachanwalt für IT-Recht, der Erfahrungen im Datenschutzrecht hat.

      Es sei aber gesagt, dass gem. Art. 83 Abs. 1 DSGVO die Verhängung von Geldbußen verhältnismäßig sein muss. Bei der der Entscheidung über die Verhängung einer Geldbuße müssen die Behörde zudem die im Artikel 83 Abs. 2 a)- k) aufgezählten Punkte berücksichtigen. In einer jüngst veröffentlichten Übersicht zu Datenpannen gibt der LfDI BaWü an, dass er seit Anfang des Jahres bereits knapp 1.000 solcher Benachrichtigungen erhielt. Die Welt berichtete im gleichen Zeitraum, dass in Baden-Württemberg in 7 Fällen Bugelder in Gesamthöhe von 203.000 Euro verhängt wurden.

    • Selbst bei einem Bußgeld, das es für einen erstmaligen Verstoß in diesem Fall sicherlich nicht geben wird, müssen Sie keine Angst haben. Die Bußgelder müssen immer auch „verhältnismäßig“ sein. Das bedeutet, das Vermögen bzw. der Umsatz Ihres Vereins wird bei der Bewertung einer Bußgeldhöhe immer mit berücksichtigt. Sinn und Zweck der DS-GVO ist ja nicht, Unternehmen oder Vereine in den Ruin zu treiben.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.