Welche Meldepflichten bestehen bei einer Datenpanne?

Pannen mit Daten werden in Deutschland immer häufiger. Das belegen die Statistiken der Datenschutzbehörden. Über 80 Prozent der gemeldeten Pannen gehen auf Angriffe der Netzwerke von extern zurück.

Die verbleibenden knapp 20 Prozent der gemeldeten Pannen gehen von Mitarbeitern aus. Hier spielt das Homeoffice eine entscheidende Rolle. Denn bekanntermaßen ist konsequenter Datenschutz am Firmensitz deutlich einfacher sicherzustellen als in unzähligen Homeoffices, in denen die Mitarbeiter fast ausschließlich auf eigene Internetverbindungen angewiesen sind. Wenn es zu einer Panne kommt, bei der personenbezogene Daten betroffen sind, muss das Unternehmen so schnell wie möglich in Aktion treten.

Über 200 Milliarden Euro: So hoch belaufen sich die Schäden, die im vergangenen Jahr in Deutschland durch Cyberangriffe entstanden sind. Viele dieser Angriffe gingen auch mit Datenpannen im Sinne der DSGVO einher. Die Hacker haben es in vielen Fällen nicht nur darauf abgesehen, die Firmen-IT des „Opfer-Unternehmens“ anzugreifen oder lahmzulegen. Oft werden auch sensible, personenbezogene Daten gestohlen, was die Unternehmen meist erst in der Folge teuer zu stehen kommt. Vor allem geschieht dies durch den immensen Vertrauensverlust, den die Unternehmen bei ihren Kunden durch schlampigen Umgang mit Daten erleiden.

Meldung von Vorfällen mit Daten muss zügig erfolgen

Pannen mit Daten, die DSGVO-relevant sind, liegen immer dann vor, wenn personenbezogene Daten an die Öffentlichkeit gelangen oder von Unbefugten gestohlen werden. Die Definition einer Datenpanne findet sich in Art. 4 DSGVO, dort heißt es, dass eine Datenpanne vorliegt, wenn es zu einer „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ kommt.

Kommen beispielsweise Kundendaten über einen leichtfertigen E-Mail-Versand in die Hände unbefugter Empfänger, sollte sofort reagiert werden. Ganz wichtig ist eine sofortige Dokumentation der Datenpanne, unabhängig davon, ob sie sich später als meldepflichtig herausstellt oder nicht. Nach der Dokumentation erfolgt dann die Meldung, die ebenfalls in der DSGVO in Art. 33 definiert ist. Wenn die Datenpanne ein Risiko „für die Rechte und Freiheiten“ der betroffenen Personen darstellt. Dabei sollte im Zweifel der Begriff des Risikos eher weiter als zu eng ausgelegt werden. Zu melden ist an die oberste Datenschutzbehörde des Bundeslandes, in dem das Unternehmen seinen Sitz hat. In der Regel halten die Behörden auf Ihren Webseiten entsprechende Meldeformulare vor.

Allerdings ist mit der Meldung an die Behörde erst eine von zwei Meldepflichten erfüllt. Darüber hinaus müssen die Betroffenen Personen in Kenntnis davon gesetzt werden, dass durch einen Datenverlust ein Risiko für die persönlichen Rechte und Freiheiten eintreten könnte.

Im Fall der Fälle: schnell reagieren und melden

Im Falle eines Datenverlusts muss die Behörde spätestens innerhalb von 72 Stunden von dem Vorfall informiert werden. Die Frist beginnt mit dem vermutlichen Vorfall, bei dem die Daten abhandengekommen sind. Wird diese Frist nicht eingehalten, kann dies zu hohen Bußgeldern führen, ganz unabhängig von der Schwere und Relevanz der Datenpanne. Etwas großzügiger definiert die DSGVO die Meldepflicht gegenüber den Betroffenen. Hier muss die Information der Betroffenen „unverzüglich“ und „ohne schuldhaftes Zögern“ erfolgen, sonst droht ebenfalls ein Bußgeld.

Apropos Bußgeld: Eine Datenpanne zu verschweigen, ist in keiner Hinsicht eine gute Idee. Denn bekannt werden die meisten Datenpannen spätestens dann, wenn die Betroffenen Wind davon bekommen, dass ihre personenbezogenen Daten offenbar in die falschen Hände geraten sind. Wie einige bereits gefällten Urteile beweisen, verstehen die Datenschutzbehörden mit Meldungsverschleppung keinen Spaß. Bußgelder bis 20 Millionen Euro sind im Extremfall möglich, oder eine Summe, die vier Prozent des weltweiten Jahresumsatzes des Unternehmens entspricht. Schon die Datenpanne selbst ist imageschädigend genug. Noch schlimmer ist der Schaden für das Unternehmen natürlich, wenn die Betroffenen erfahren, dass die Verantwortlichen die Datenpanne verschleiern wollten.