Zum Inhalt springen Zur Navigation springen
Wann muss ein Datenschutzvorfall gemeldet werden?

Wann muss ein Datenschutzvorfall gemeldet werden?

Seit Inkrafttreten der DSGVO ist die Zahl der gemeldeten Datenschutzvorfälle immens gestiegen. Alleine im Jahr 2019 gab es europaweit mehr als 40.000 Datenpannen, wovon die meisten in Deutschland registriert wurden. Was die Auslöser von Datenschutzvorfällen und die gesetzlichen Anforderungen bei der Meldung sind, lesen Sie hier.

Auslöser eines Vorfalls

Die Pflicht zur Meldung von Datenschutzvorfällen ist in Art. 33 DSGVO geregelt

Demnach ist vonseiten eines Verantwortlichen eine Meldung bei der zuständigen Aufsichtsbehörde durchzuführen, falls eine Verletzung des Schutzes personenbezogener Daten eintritt. Doch was bedeutet eine Verletzung des Schutzes personenbezogener Daten? Hierzu hilft der Definitionskatalog in Art.4 Nr. 12 DSGVO. Eine solche liegt demnach vor bei einer Verletzung der Sicherheit, die zur

  • Vernichtung,
  • Verlust,
  • Veränderung,
  • unbefugten Offenlegung oder
  • zum unbefugten Zugang

von/zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Wann liegt eine Vernichtung und ein Verlust vor?

Nun eine Vernichtung ist anzunehmen, wenn die personenbezogenen Daten der Betroffenen faktisch nicht mehr oder nicht mehr in irgendeiner bekannten Form existieren, die für den Verantwortlichen von Nutzen sind. Ursache dessen kann z.B. das Zerstören einer Festplatte sein.

Beim Verlust von personenbezogenen Daten handelt es sich oftmals um die nicht mehr vorhandene Zugriffsmöglichkeit, beispielsweise ein gestohlener Laptop. Denn faktisch sind die personenbezogenen Daten auf dem Gerät, jedoch besteht keine Zugriffsmöglichkeit mehr für den Mitarbeiter bzw. dem Verantwortlichen.

Eine Verletzung besteht auch dann, wenn der Zustand nicht dauerhaft ist. Beide Begriffe verleiten dazu, dass sie endgültig verstanden werden. An dieser Stelle sollte klar darauf hingewiesen werden, dass die Verletzung auch bei vorübergehenden Einwirkungen besteht. Ein Verlust, sogar in besonderen Fällen eine Vernichtung, kann nämlich auch nur temporär sein.

Veränderung personenbezogener Daten

Diese liegt vor, wenn der Inhalt personenbezogener Daten umgestaltet wird. Ein in der Praxis häufig angewandte Methode ist die SQL-Injection. Dabei erfolgt ein Angriff über eine Web-Anwendung, um auf eine Datenbank zuzugreifen. Damit können Bankkonten, Adressen oder sonstige personenbezogene Daten entwendet werden.

In der EU wurde bislang noch kein bußgeldbewehrter Fall öffentlich – in den USA gibt es bereits Beispielfälle.

Unbefugte Offenlegung

Eine Offenlegung liegt meist vor, wenn Dritten die Möglichkeit zur Kenntnisnahme ermöglicht wird. Ein unbefugter Zugang zu personenbezogenen Daten ist anzunehmen, wenn eine hierzu nicht-autorisierte Person Kenntnis oder den Besitz an einem Gerät, auf dem diese personenbezogenen Daten verarbeitet werden, erlangt hat.

Hierbei wirkt der Dritte immer als Außenstehender bzw. verantwortliche fremde Person. Allerdings kann ebenfalls ein Mitarbeiter innerhalb eines Unternehmen als unbefugte Person qualifiziert werden und personenbezogene Daten offenlegen, indem ihm keine Zugriffsrechte eingeräumt wurden oder keine Autorisierung erfolgte.

In der Praxis wurde ein Großteil der Bußgelder aufgrund der unbefugten Offenlegung erlassen. Prominente Fälle waren Marriot, British Airways und auch deutsche Unternehmen Knuddels.

Rolle der Aufsichtsbehörde

Beim Melden eines Datenschutzvorfalls an die Aufsichtsbehörde nach Art.33 Abs. 1 DSGVO erhält die jeweilige Aufsichtsbehörde eine Doppelstellung. Sie können nämlich sowohl beratend als auch kontrollierend tätig werden.

Sollten in komplexen Situationen sowohl der Verantwortliche als auch der zuständige Datenschutzbeauftragte den potentiellen Datenschutzverstoß nicht einschätzen können, so können sie Beratung der Aufsichtsbehörde einholen. Dazu legitimiert Art. 57 Abs. 1 lit. c DSGVO die Aufsichtsbehörde. Eine Beratung kommt ebenfalls in Betracht, wenn es um die Auswahl und Umsetzung von Abhilfemaßnahmen einer Schutzzielverletzung oder zu Abmilderung der Folgen geht.

In der Regel erfolgt ein Kontrollverfahren der Aufsichtsbehörden nicht unmittelbar nach der Meldung eines Datenschutzvorfalls. Das Kontrollverfahren wird meist erst dann eingeleitet, wenn sich Anhaltspunkte dazu ergeben, dass der Verletzung unzureichende Schutzmaßnahmen nach Art.33 DSGVO zugrunde liegen. Beispielhaft dafür sind unzureichende Abhilfemaßnahmen, eine unzureichende Beschreibung der technisch-organisatorischen Maßnahmen oder das Überschreiten der Meldefrist der Auslöser eines Kontrollverfahrens sein.

Den Überblick behalten

Wichtig ist, dass Sie einen Prozess zur Reaktion auf einen Datenschutzvorfall innerhalb ihres Unternehmens implementiert haben. Dies ist insofern relevant, um die 72-Stunden-Frist einzuhalten. Dafür ist es entscheidend, dass die Mitarbeiter sensibilisiert sind und einen Datenschutzvorfall erkennen. Über eine genaue Beschreibung des Prozesses haben wir bereits in Vergangenheit berichtet.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • In einem Beitrag, der erklärt, wann ein Datenschutzvorfall gemeldet werden muss, wäre es durchaus wichtig, die Ausnahme des Artikel 33 Absatz 1 DSGVO zu besprechen. Meinen Sie nicht?

    • Da haben Sie recht. Die Einschätzung ist jedoch sehr Einzelfallbezogen, sodass wir dies an dieser Stelle nicht thematisiert haben. Ziel des Beitrags war es über die Verletzungsfaktoren hinzuweisen. Sicherlich kann in Zukunft, über einen weiteren Blogbeitrag über das Thema in Erwägung gezogen werden.

  • Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit nennt in seiner Publikation vom 25.11.2018 „Data-Breach-Meldung nach Art. 33 DSGVO“ sieht auch eine versehentliche Falschadressierung von Briefen/ E-Mails als meldepflichtige Datenschutzverletzung, die aufgrund menschlichen Versagens verursacht wurde. Wie sehen Sie das? Ist menschliches Versagen grundsätzlich eine Verletzung der Sicherheit, welche der Aufsichtsbehörde gemeldet werden muss?

    • Dabei handelt es sich um die Auffassung der Art.-29-Gruppe, welche wegweisend, jedoch nicht verpflichtend ist.

      Grundsätzlich hat in solch einem Fall eine Einzelabwägung aller Faktoren zu erfolgen.
      Solange der Schutz personenbezogener Daten verletzt wurde, liegt ein Datenschutzvorfall vor. Menschliches Versagen ist neben den unangemessenen technischen und organisatorischen Maßnahmen einer der größten Faktoren die einen Datenschutzvorfall erzeugen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.