Manchmal braucht es nur ein kurzer Moment der Unaufmerksamkeit und schon ist es passiert: Eine Datenschutz-Anzeige landet in Ihrem Briefkasten.
Welche Schritte sind zu tun, wenn es zu einer Datenschutzpanne gekommen ist?
Das Wichtigste zum Thema “DSGVO-Verstoß”
Als Unternehmer ist es kaum möglich, zusätzlich zum Hauptgeschäft das erforderliche Fachwissen über die DSGVO zu erlangen, kontinuierlich auf dem neuesten Stand zu bleiben und zusätzlich Bedarf noch angemessene Datenschutzmaßnahmen umzusetzen.
Sie haben bereits eine Datenschutzanzeige erhalten?
Wenn Ihnen bereits eine Datenschutzanzeige vorliegt, so bedeutet dies, dass Sie die erforderlichen Maßnahmen nicht vollständig umgesetzt haben.
Möglicherweise wurden auch Kundendaten versehentlich an die falsche Person weitergeleitet oder Mitarbeiter haben ohne Zustimmung Kontakt über Facebook aufgenommen.
Was auch immer die Ursache ist, jetzt ist schnelles Handeln gefragt.
Zuerst sollten Sie abwägen, ob der Verstoß gegen den Datenschutz Risiken für die betroffene Person birgt und deren Rechte oder persönliche Freiheit verletzt werden.
Als Hilfe zur Risikobeurteilung dient dabei das Kurzpapier Nr. 18 der Datenschutzkonferenz (DSK)
Ist dies nicht der Fall, können Sie erleichtert sein, müssen jedoch den Vorfall dokumentieren und Maßnahmen ergreifen, um das Risiko eines erneuten Vorfalls zu minimieren.
Ist dies der Fall, sollten Sie den Datenschutzvorfall unverzüglich, innerhalb von maximal 72 Stunden Ihrer zuständigen Datenschutzaufsichtsbehörde melden.
Auch wenn diese Frist bereits abgelaufen ist, sollten Sie die Meldung in der zuständigen Behörde einreichen und eine plausible Begründung für die Verspätung angeben.
Was muss ich melden?
- Um welche Kategorien von Datenschutzverletzung handelt es sich?
- Wie viele Personen sind betroffen
- welche Daten sind in falsche Hände geraten?
- Beschreiben Sie auch die Auswirkungen des Verstoßes auf die betroffene Person(en).
- Außerdem müssen Sie darlegen, welche Schritte zur Behebung des Verstoßes oder zur Begrenzung des Schadens ergriffen werden. Dokumentieren Sie alle Informationen, Schritte und Maßnahmen, um das Handeln der Aufsichtsbehörde nachvollziehbar zu machen.
Die Aufsichtsbehörde wird Ihnen nach Artikel 33 der DSGVO weitere Informationen anfordern. Geben Sie daher Name und Kontaktdaten Ihres Datenschutzbeauftragten an sowie genaue Angaben zum Verstoß gegen die DSGVO.
Mögliche Fehlerquellen
- Ist Ihr Impressum oder die Datenschutzerklärung unvollständig?
- Arbeiten Sie mit Diensten, die nicht DSGVO-konform sind, zum Beispiel mit US-amerikanischen Diensten?
- Wurden personenbezogene Daten versehentlich an Unbefugte weitergeleitet?
- Es ist wichtig festzulegen, ab wann ein "hohes" Risiko vorliegt und nicht nur ein "mittleres", um feststellen zu können, ob die Meldepflicht gemäß Art. 34 Absatz 1 DS-GVO gilt.
Beispiele von Datenschutzverstöße aus der Praxis:
Wenn Bankdaten unbefugt an Dritte gelangen, kann dies ein hohes Risiko darstellen und somit eine Benachrichtigung der Betroffenen erforderlich machen. Das hohe Risiko entfällt jedoch insbesondere dann, wenn alle Empfänger glaubhaft versichern können, dass sie alle Unterlagen vernichtet haben, bzw. diese unversehrt zurückgegeben wurde ohne Anfertigen einer Kopie.
In diesem Fall ist keine weitere Benachrichtigung der Betroffen nötig. Wenn alle diese Feststellungen innerhalb der Meldefrist getroffen werden konnten, müssen Sie lediglich eine Meldung an die Aufsichtsbehörde mit Angabe dieser Umstände abgeben.
Der Verantwortliche konnte sofort denjenigen identifizieren und stoppen, der sich unrechtmäßig Zugang zu personenbezogenen Daten verschafft hat und verhindern, dass die Daten in irgendeiner Weise weiterverwendet werden.
Falls es sich jedoch um sehr sensible Daten gehandelt hat, insbesondere von wenigen Personen, sodass der Täter sie möglicherweise behalten hat (zum Beispiel Informationen über Erkrankungen), liegt trotzdem ein schwerwiegender Verstoß gegen die Vertraulichkeit vor und somit besteht eine Benachrichtigungspflicht.
Erstellen Sie einen Notfallplan
In Ihrem Notfallplan sollten folgende Punkte enthalten sein: Identifizierung risikobehafteter Bereiche in Ihrem Unternehmen in Bezug auf mögliche Datenschutzpannen sowie Kontaktdaten aller relevanten Ansprechpartner - vom Webseitenbetreuer bis zum Datenschutzbeauftragten.
Außerdem sollte festgelegt werden wie das Risiko für betroffene Personen abgeschätzt werden kann und welche Schritte je nach Situation zu befolgen sind.
Um eine Datenschutzpanne zu vermeiden, ist es zudem ratsam, regelmäßige Schulungen für Ihre Mitarbeiter anzubieten. Die Schulungen sollten ein grundlegendes Verständnis des Schutzes personenbezogener Daten schaffen und auf Fragen zu speziellen Themen der Verarbeitung von Daten Leitlinien geben .
Dadurch wird nicht nur die Datensicherheit verbessert, sondern auch das Risiko einer Datenschutzanzeige verringert.
Was ist der Unterschied zwischen Datenschutzverstoß, Datenpanne und Datenschutzverletzung?
Es gibt verschiedene Begriffe im Zusammenhang mit den Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen.
Manche bezeichnen allgemein einen Verstoß gegen den Datenschutz als "Datenschutzverstoß", während andere von einer "Datenschutzverletzung" oder einer "Datenpanne" sprechen.
Was bedeutet ein Datenschutzverstoß?
Ein Verstoß gegen den Datenschutz kann, muss aber nicht zwangsläufig auch eine Verletzung des Datenschutzes bedeuten. Der Begriff des Datenschutzverstoßes wird oft als Oberbegriff verwendet und umfasst grundsätzlich Verstöße gegen datenschutzrechtliche Bestimmungen der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) oder des Bundesdatenschutzgesetzes (BDSG).
Je nach Schweregrad des Verstoßes kann dies sowohl eine Straftat (gemäß § 44 BDSG) als auch eine Ordnungswidrigkeit (gemäß § 43 BDSG) darstellen.
Wenn zum Beispiel trotz bestehender Pflicht kein betrieblicher Datenschützer gemäß § 38 BDSG ernannt wird, handelt es sich dabei um einen solchen Verstoß.
Was ist eine Datenpanne?
Eine Datenpanne, auch bekannt als Data Breach, tritt auf, wenn die Sicherheit von Informationen beeinträchtigt wurde und deren Vertraulichkeit, Integrität oder Verfügbarkeit verletzt wurden.
Einfacher ausgedrückt handelt es sich hierbei um Ereignisse, bei denen eines der folgenden drei Dinge geschieht:
- Jemand erlangt Kenntnis über Informationen oder Daten, die er nicht wissen sollte.
- Informationen oder Daten werden ungewollt verändert.
- Informationen oder Daten sind nicht mehr zugänglich.
Was ist eine Datenschutzverletzung?
Die Begriffe Datenpanne, Data Breach oder Datenschutzverstoß sind Synonyme für den spezifischeren Fall einer Datenschutzverletzung. Eine Datenschutzverletzung im Sinne von Artikel 33 und Artikel 4 Nr. 12 DSGVO bezieht sich genau genommen auf eine Verletzung des Schutzes personenbezogener Daten.
Gemäß Artikel 33 der Datenschutz-Grundverordnung (DSGVO) ist es erforderlich, jede Datenpanne oder Verletzung des Schutzes personenbezogener Daten zu melden, die mit den bereits genannten Risiken einhergeht.
Laut Art. 4 Nr. 12 DSGVO handelt es sich um Verstöße gegen die Datensicherheit und den Datenschutz, bei denen unberechtigterweise personenbezogene Daten möglicherweise oder tatsächlich bekannt werden.
Die Ursachen dafür können vielfältig sein, wie zum Beispiel Hackerangriffe, der Verlust eines USB-Sticks, der Diebstahl von Smartphone, Laptop, Tablet oder das unbefugte Weitergeben durch Mitarbeiter – sei es absichtlich oder unbeabsichtigt.
Gemäß Art. 4 Nr. 12 DSGVO kann es sich vorsätzliche als auch zufällige Ereignisse handeln.
Die Datenschutz-Grundverordnung fasst sämtliche Verstöße gegen den Schutz personenbezogener Daten unter dem Terminus "Verletzung des Schutzes personenbezogener Daten" zusammen.
Welche Datenschutz-Behörden sind zuständig?
In Deutschland gibt es verschiedene Aufsichtsbehörden mit unterschiedlichem Zuständigkeitsbereich. Dazu gehören der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), die jeweilige Landesdatenschutzbehörde sowie spezifische Datenschutzbehörde.
Es liegt in der Verantwortung der Datenschutzbehörde, angemessen auf Ihre Beschwerde einzugehen und Sie über den Fortschritt sowie die Ergebnisse Ihrer Beschwerde zu informieren. Dies schließt mögliche gerichtliche Schritte mit ein.
Die Datenschutzbehörde wird Ihnen spätestens nach drei Monaten einen Zwischenstand zum Verfahrensablauf mitteilen. Dabei hat die Datenschutzbehörde weitreichende Befugnisse zur Überprüfung und ist unabhängig von anderen Einflüssen, lediglich dem Gesetz unterworfen.
Im Allgemeinen ist bei einer Beschwerde gegen Unternehmen in erster Linie die Landesdatenschutzbehörde zuständig.
Der BfDI ist zuständig für:
- Behörden auf Bundesebene
- sonstige öffentliche Stellen des Bundes
- gemeinsame Einrichtungen nach dem Sozialgesetzbuch II ("Jobcenter")
- Telekommunikationsunternehmen
- Postdienstleistungsunternehmen
- Unternehmen, die dem Sicherheitsüberprüfungsgesetz unterliegen
- bundesweit tätige gesetzliche Kranken-, Pflege-, Renten-, und Unfallversicherungsträger
Die Landesdatenschutzbehörden sind zuständig für:
- Behörden auf Ebene des jeweiligen Bundeslandes
- sonstige öffentliche Stellen des jeweiligen Bundeslandes oder einer Kommune
- Unternehmen und sonstige nicht-öffentliche Stellen, die nicht in den Zuständigkeitsbereich des BfDI fallen
Eine spezifische Datenschutzbehörde gibt es für:
- Kirchliche Träger (kirchlicher Datenschutzbeauftragter)
- Rundfunk (Rundfunkdatenschutzbeauftragter)
- Presse (Presserat)
Meldepflicht in der DSGVO: was Sie wissen müssen
Die DSGVO verringert die Anforderungen für die Meldepflicht an die zuständige Aufsichtsbehörde, während Benachrichtigungen an betroffene Personen weniger häufig erforderlich sind. Es gibt jedoch Ausnahmen:
- Eine Meldung an die Aufsichtsbehörde ist immer dann erforderlich, wenn gegen die Bestimmungen der DSGVO verstoßen wurde. Es sei denn, es besteht eine "voraussichtliche Nichtgefährdung" der betroffenen Person.
- Eine benachrichtigungspflichtige Person muss nur informiert werden, wenn ein erhebliches Risiko für ihre Rechte und Freiheiten besteht.
Neben der zuvor genannten Frist ist es gemäß DSGVO erforderlich, bei einer Meldung an die zuständige Aufsichtsbehörde bestimmte Informationen anzugeben:
- Eine Erklärung über die Art des Verstoßes gegen den Schutz personenbezogener Daten, sofern möglich mit Angabe der Kategorien und ungefähren Anzahl betroffener Personen sowie Kategorien und ungefährer Anzahl betroffener personenbezogener Datensätze.
- Der Name und die Kontaktinformationen des Datenschutzbeauftragten oder anderweitiger Ansprechpartner für weitere Informationen.
- Eine Beschreibung der wahrscheinlichen Folgen des Verstoßes gegen den Schutz personenbezogener Daten.
- Eine Darstellung der vom Verantwortlichen ergriffenen oder vorgeschlagen Maßnahmen zur Behebung des Verstoßes gegen den Schutz personenbezogener Daten und gegebenenfalls Maßnahmen zur Minimierung möglicher nachteiliger Auswirkungen.
Sollten Sie nicht in der Lage sein, der Meldepflicht nachzukommen und die Informationen gleichzeitig zur Verfügung zu stellen, können Sie diese Informationen allmählich ohne unnötige Verzögerung bereitstellen.
Es wird deutlich, dass es nicht ausreicht, sich allein auf die Meldefrist zu konzentrieren. Es ist erforderlich, den gesamten Meldungsprozess zu überprüfen und anzupassen.
Der verantwortliche Akteur muss jede Datenschutzverletzung dahingehend prüfen, ob die Datenpanne voraussichtlich keine Gefahr für den Betroffenen darstellt.
Dies gilt auch bei einer Datenpanne mit besonders sensiblen Daten.
Wer haftet im Unternehmen bei Datenschutzverstößen?
Bei Datenschutzverstößen ist die Frage, wer im Unternehmen muss dafür haften? In der Regel wird die Abmahnung gegenüber dem Unternehmen selbst ausgesprochen. Bei Einzelunternehmen haftet der Unternehmer als Verantwortlicher selbst.
Bei juristischen Personen und Vereinen können neben den verantwortlichen Geschäftsführern auch interne Datenschutzbeauftragte und leitende Mitarbeiter in die Haftungsfallen geraten. Insbesondere bei Freiheitsstrafen gemäß dem neuen Bundesdatenschutzgesetz sind es per se Personen und nicht das Unternehmen, die betroffen sind.
Es ist wichtig zu Wissen, dass Einzelunternehmer, Geschäftsführer, interne Datenschutzbeauftragte sowie leitende Angestellte auch persönlich für Datenschutzverstöße haften können.
Um diesem Risiko vorzubeugen und ein Bußgeld zu vermeiden, sollten Unternehmen frühzeitig einen externen Datenschutzbeauftragten (DSB) bestellen.
Für Unternehmen ab einer gewissen Größe gilt die Verpflichtung zur Ernennung eines Datenschutzbeauftragten. Ein Datenschutzbeauftragter in Ihrem Unternehmen ist unverzichtbar, wenn es um Datenschutzanzeigen geht. Er hilft Ihnen dabei, den Umfang und das Ausmaß des Datenschutzverstoßes einzuschätzen und übernimmt die Kommunikation mit der Aufsichtsbehörde.
Der Datenschutzbeauftragte kümmert sich außerdem um die Planung und Umsetzung von Maßnahmen zur Schadensbegrenzung und Prävention von ähnlichen Vorfällen.
Im Vergleich zu einem Mitarbeiter, der zum internen Datenschutzbeauftragten ernannt wird, bringt ein externer DSB das notwendige Fachwissen und die Kapazitäten mit, um den Datenschutz in Ihrem Unternehmen zu etablieren, zu optimieren und zu kontrollieren.
Als externer Datenschutzbeauftragter konzipieren wir ein auf Ihr Unternehmen zugeschnittenes Datenschutzmanagementsystem, mit dem Sie und Ihre Mitarbeiter den Datenschutz DSGVO-konform umsetzen können. Sie können sich auf Ihr Kerngeschäft konzentrieren und das Risiko einer Datenschutzanzeige verringert sich erheblich.
Der 7-Schritte-Plan nach der Datenschutzanzeige
Sie müssen die Frage leider mit „ja“ beantworten?
Nun müssen Sie diese innerhalb von 72 Stunden diese 7 Dinge tun:
- Melden Sie den Datenschutzverstoß umgehend der zuständigen Aufsichtsbehörde. Das gilt auch dann, wenn schon mehr als 72 Stunden seit dem Datenschutzverstoß vergangen sind.
- Nennen Sie der Aufsichtsbehörde den Namen und die Kontaktdaten Ihres Datenschutzbeauftragten.
- Legen Sie der Aufsichtsbehörde in groben Zügen dar, um welche Art von Datenschutzverstoß es sich handelt und wann dieser vorgefallen ist. Liefern Sie außerdem eine Einschätzung, wie hoch die Zahl der Betroffenen ist und um welche Datensätze es geht. Dazu können Sie sich mit Ihrem Datenschutzbeauftragten abstimmen.
- Geben Sie an, welche Folgen der Datenschutzverstoß für die betroffenen Personen Auch dazu berät Sie Ihr Datenschutzbeauftragter.
- Falls für die Betroffenen durch den Datenschutzverstoß ein Risiko besteht hinsichtlich der unbefugten Enthüllung ihrer Identität, müssen Sie diese darüber informieren. Wenn in dieser Hinsicht kein Risiko besteht oder die Daten ausreichend verschlüsselt waren, sodass kein Unbefugter darauf zugreifen kann, müssen Sie bis auf die Aufsichtsbehörde niemanden über den Datenschutzverstoß aufklären.
- Erläutern Sie der Aufsichtsbehörde, welche Maßnahmen zur Schadensbegrenzung oder Behebung des Schadens Sie ergreifen wollen und wie Sie die Ursache für den Datenschutzverstoß untersuchen Dokumentieren Sie alle geplanten Schritte und Maßnahmen sorgfältig und nachvollziehbar.
- Außerdem spricht es für Sie, wenn Sie der Aufsichtsbehörde einen Plan vorlegen können, wie ein Datenschutzverstoß ähnlicher Art in Ihrem Unternehmen künftig verhindert werden kann.
Sie müssen nicht gleich bei der ersten Meldung des Datenschutzverstoßes alle diese Informationen liefern. Wichtig ist, dass Sie innerhalb der ersten 72 Stunden den Datenschutzverstoß melden und grob beschreiben.
Alle weiteren Informationen können Sie nachreichen. So können Sie nach der ersten Meldung an die Aufsichtsbehörde in Ruhe den Vorfall analysieren und die Anzahl der betroffenen Personen und der Datensätze sowie die Folgen des Datenschutzverstoßes abschätzen.
Übrigens: Diese 7 Schritte fallen nicht nur dann an, wenn Sie eine Datenschutzanzeige erhalten haben. Auch ohne Datenschutzanzeige sollte Ihnen ein Datenschutzverstoß in Ihrem Unternehmen nicht entgehen. Wird ein größerer Datenschutzverstoß aufgedeckt, sollten Sie diesen auch aus eigenem Antrieb der Aufsichtsbehörde melden.
Notfallplan bei einer Datenschutzanzeige
Eine DSGVO-Abmahnung flattert in den Briefkasten und Sie sind völlig überfordert? Mit einem Notfallplan im Falle einer Datenschutzanzeige sind Sie gut vorbereitet und können sofort richtig reagieren. Halten Sie im Notfallplan die Antwort auf folgende Fragen fest:
- An welchen Stellen ist Ihr Unternehmen in technischer und organisatorischer Hinsicht anfällig für Sicherheitslücken und Datenschutzverstöße?
- Wie kann auf mögliche Datenschutzverstöße reagiert werden?
- Wie kann das Risiko für Betroffene im Falle eines Datenschutzverstoßes eingeschätzt werden? Hier lohnt sich die Erstellung einer Datenschutzfolgenabschätzung.
- Welche Maßnahmen können zur Schadensbegrenzung umgesetzt werden?
- Wer ist der Ansprechpartner für Mitarbeiter, denen ein Datenschutzverstoß aufgefallen ist? Gibt es eine interne Meldestelle für den Hinweisgeberschutz? Der Ansprechpartner ist in der Regel in der Datenschutzbeauftragte.
Stellen Sie den Notfallplan als Dokument allen involvierten Mitarbeitern zur Verfügung. So wissen Sie und Ihre Mitarbeiter, was im Falle einer Datenschutzanzeige oder internen Aufdeckung eines Datenschutzverstoßes zu tun ist und können der Aufsichtsbehörde alle wichtigen Informationen schneller liefern.