Was tun bei Datenpannen?

4 Bewertungen

Werden personenbezogene Daten an unberechtigte Personen übermittelt, hatten unberechtigte Personen Zugriff auf Daten einer öffentlichen Stelle oder wurden deren Daten verfälscht, gelöscht oder verschlüsselt, dann ist schnelles Handeln erforderlich. Technische und organisatorische Maßnahmen sind zu ergreifen, um das Datenleck so schnell als möglich zu schließen. Der Verantwortliche ist darüber hinaus verpflichtet, den daraus möglicherweise folgenden Schaden für die betroffenen Personen zu minimieren.

Die „Verletzung des Schutzes personenbezogener Daten“ als Anknüpfungspunkt für Maßnahmen nach der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) sieht bei „Verletzungen des Schutzes personenbezogener Daten“ verschiedene Pflichten vor. Nach Art. 4 Nr. 12 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Hiernach begründet nicht jede Handlung oder Unterlassung eine Datenschutzverletzung, so sie nur irgendwie rechtswidrig ist. Es muss sich bei ihr vielmehr um eine „Verletzung der Sicherheit“ (von personenbezogenen Daten) handeln. Ein Verhalten ist als Verletzung der Sicherheit zu werten, wenn die betreffende Person normative – insbesondere organisatorische – Vorgaben nicht beachtet oder technische Vorkehrungen überwindet, die der Verantwortliche jeweils nach Art. 32 DSGVO getroffen hat. Ein Verschulden ist nicht erforderlich.

Der Bayer. Landesbeauftragte für den Datenschutz nennt auf der Internetseite für Meldungen von Verletzungen des Schutzes personenbezogener Daten Beispiele, die gegebenenfalls eine solche Verletzung darstellen können:

  • ein unverschlüsseltes Gerät oder Unterlagen mit personenbezogenen Daten gingen verloren,

  • besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO wurden unverschlüsselt per E-Mail versandt,

  • Hackerangriff, Schadsoftware, Phishing,

  • Unterlagen oder Datenträger wurden nicht datenschutzgerecht entsorgt,

  • ein Missbrauch von Zugriffsrechten erfolgte (also ein nichtberechtigter Abruf durch eigene Mitarbeiter).


Neben einer solchen „Sicherheitsverletzung“ setzt das Entstehen der Meldepflicht gegenüber der Aufsichtsbehörde nach Art. 33 DSGVO oder der Pflicht zur Benachrichtigung des Betroffenen nach Art. 34 DSGVO voraus, dass auch ein „Risiko“ bzw. ein „hohes Risiko“ für die "Rechte und Freiheiten natürlicher Personen“ hervorgerufen worden ist.


Die Verpflichtung zur Dokumentation des Vorfalls

Der Verantwortliche – also die betroffene öffentliche Stelle – ist verpflichtet, die Verletzung des Schutzes personenbezogener Daten, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen umfassend zu dokumentieren (Art. 33 Abs. 5 Satz 1 DSGVO). Diese Dokumentation muss z. B. der Datenschutzaufsichtsbehörde die Überprüfung der Einhaltung der Meldepflicht ermöglichen (Art. 33 Abs. 5 Satz 2 DSGVO).


Die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Datenschutzaufsichtsbehörde

Eine Verletzung des Schutzes personenbezogener Daten, die zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, ist der Datenschutzaufsichtsbehörde – also für bayerische öffentliche Stellen in der Regel dem Bayer. Landesbeauftragten für den Datenschutz – zu melden (Art. 33 Abs. 1 DSGVO).

Für die Meldepflicht müssen damit zwei Voraussetzungen vorliegen: Eine Verletzung des Schutzes personenbezogener Daten und ein Risiko für die Rechte und Freiheiten natürlicher Personen.

Die Meldung muss unverzüglich und möglichst binnen 72 Stunden erfolgen, nachdem dem Verantwortlichen die Verletzung des Schutzes personenbezogener Daten bekannt wurde. Erfolgt die Meldung nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. Sind dem Verantwortlichen noch nicht alle Informationen über den Vorfall bekannt, kann die Meldung auch schrittweise erfolgen.

Die Meldung an den Landesbeauftragten kann online über ein Formular im Internet abgegeben werden:
https://www.datenschutz-bayern.de/service/data_breach.html.



Die Benachrichtigung der betroffenen Person von einer Verletzung des Schutzes personenbezogener Daten

Führt eine Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen, sind die betroffenen Personen unverzüglich zu benachrichtigen (Art. 34 Abs. 1 DSGVO).

Auch für die Pflicht zur Benachrichtigung der betroffenen Personen müssen damit zwei Voraussetzungen vorliegen: Eine Verletzung des Schutzes personenbezogener Daten und ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen.

Von der Benachrichtigung der betroffenen Person kann unter bestimmten Voraussetzungen auch abgesehen werden (Art. 34 Abs. 3 DSGVO)

  • wenn durch vorangegangene technische und organisatorische Sicherheitsvorkehrungen (z.B. eine Verschlüsselung) eine Kenntnisnahme durch Dritte ausgeschlossen ist,

  • durch nachfolgende Maßnahmen sichergestellt ist, dass eine Beeinträchtigung der Rechte und Freiheiten nicht mehr besteht oder

  • dies mit einem unverhältnismäßigen Aufwand verbunden ist. In diesem Fall muss die Information der betroffenen Personen durch öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen.


Falls eine Benachrichtigungspflicht besteht sind die betroffenen Personen umfassend über den Vorfall und die möglichen Folgen zu informieren (Art. 34 Abs. 2 DSGVO).


Das „Risiko für die Rechte und Freiheiten natürlicher Personen“

Die Frage, ob eine Verletzung des Schutzes personenbezogener Daten zu einem „Risiko“ bzw. einem „hohen Risiko“ für die Rechte und Freiheiten natürlicher Personen führt , ist damit entscheidend für die Meldepflicht nach Art. 33 DSGVO und die Benachrichtigungspflicht nach Art. 34 DSGVO. Kriterien dafür sind

  • die Höhe des durch den Vorfall möglicherweise entstehenden datenschutzrechtlichen Schadens für die betroffene Person und

  • die Wahrscheinlichkeit, mit der dieser Schaden eintreten könnte.


Ist der mögliche Schaden und die Wahrscheinlichkeit des Schadenseintritts gering, kann sowohl von einer Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO als auch von einer Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO abgesehen werden.

Beispiel:

Erfolgt eine Übermittlung wenig sensibler personenbezogener Daten versehentlich an eine falsche Behörde, kann zumindest dann davon ausgegangen werden, dass diese Verletzung des Schutzes personenbezogener Daten nicht zu einem Risiko oder gar hohen Risiko für die betroffene Person führt, wenn die Empfangsbehörde kein eigenes Verwertungsinteresse an der Information hat.

Dagegen führen ein möglicher hoher datenschutzrechtlicher Schaden und eine nicht nur unerhebliche Wahrscheinlichkeit des Eintritts dieses Schadens sowohl zu einer Meldepflicht als auch zu einer Pflicht zur Benachrichtigung der betroffenen Personen.

Beispiel:

Es wird festgestellt, dass Gesundheitsdaten über das Internet frei zugänglich waren und ein entsprechender Zugriff ist auch erfolgt.


Die Meldepflicht des Auftragsverarbeiters

Wird dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt, meldet er diese Verletzung unverzüglich dem Verantwortlichen (Art. 33 Abs. 2 DSGVO). Der Auftragsverarbeiter muss und darf nicht entscheiden, ob die Verletzung des Schutzes personenbezogener Daten zu einem (hohen) Risiko für die Rechte und Freiheiten personenbezogener Daten führt, diese Entscheidung obliegt dem Verantwortlichen.


Meldepflicht im bayerischen Behördennetz

Datenpannen grundsätzlicher Art, die auch für andere öffentliche Stellen von Bedeutung sein könnten, müssen von öffentlichen Stellen, die an das bayerische Behördennetz angeschlossen sind, dem Landesamt für die Sicherheit in der Informationstechnik gemeldet werden (Art. 11 Abs. 2 BayEGovG).


Orientierungshilfe des Bayer. Landesbeauftragten für den Datenschutz

Der Bayer. Landesbeauftragte für den Datenschutz hat eine ausführliche Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ herausgegeben:
https://www.datenschutz-bayern.de/datenschutzreform2018/OH_Meldepflichten.pdf

 

Anton Knoblauch
Mitautor  DATENSCHUTZ  IN  BAYERN

Wilde / Ehmann / Niese / Knoblauch

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Vierteljahrespreis‎ 49,99 €
Online-Produkt
Ehmann

Die 150 wichtigsten Praxisthemen

Jahrespreis‎ 49,99 €
Online-Produkt
Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.

Sicherheitskontrolle: Bitte rechnen Sie die Werte aus und tragen Sie das Ergebnis in das dafür vorgesehene Feld ein. *

0 Kommentare zu diesem Beitrag
Login
 
Wie können wir Ihnen weiterhelfen?
Kostenlose Hotline: 0800-2183-333
Kontaktformular

Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.

Kontaktformular
Beste Antworten. Mit den kostenlosen rehm Newslettern.
Jetzt aus zahlreichen Themen wählen und gratis abonnieren  

Kundenservice

  • +49 0800-2183-333
  • Montag - Donnerstag:    8-17 Uhr
  • Freitag:                           8-15 Uhr
  • Sie können uns auch über unser Kontaktformular Ihre Fragen und Anregungen mitteilen.

Verlag und Marken

Unsere Themen und Produkte

 

Service

 

Rechtliches

Zahlungsarten 

Rechnung Bankeinzug   MastercardVisa

PayPal Giropay Sofortüberweisung