Trotz aller Vorkehrungen ist es passiert: Ihr Unternehmen hat einen Datenschutzvorfall verursacht. Das heißt, dass personenbezogene Daten vernichtet, verloren, verändert oder unbefugten Dritten offengelegt wurden. Vorstellbar sind folgende Situationen:
- Notebook wird in der Bahn liegen gelassen
- USB-Stick mit Patientendaten wird aus der Handtasche heraus gestohlen
- Lieferadressen werden in Datenbank den falschen Kunden zugeordnet
- Einbruch in den Serverraum, samt Entwendung der Backup-Festplatten
- Zugriff auf interne Mitarbeiterdatenbank durch SQL-Injection
- Empfänger von Rund-Mails werden in CC statt BCC gesetzt
Alle Situationen sind zunächst nur Datenschutzvorfälle und nicht in jedem Fall bei der Aufsichtsbehörde meldepflichtig.
Meldepflichtige Datenschutzverletzung
Ein Datenschutzvorfall wird erst zu einer meldepflichtigen Datenschutzverletzung bzw. Datenschutzpanne, wenn voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Person besteht. Darüber kann man für einen konkreten Einzelfall natürlich wieder trefflich streiten.
Frist
Das verantwortliche Unternehmen muss die Datenschutzverletzung binnen 72 Stunden ab Kenntnisnahme bei der zuständigen Aufsichtsbehörde melden. Die Frist ist sehr knapp, insbesondere wenn die Datenpanne vor dem Wochenende oder Feiertagen bekannt wird. Schafft man die Meldung nicht innerhalb dieser Frist, muss die Verzögerung begründet werden.
Inhalt der Meldung
Die Meldung muss mindestens folgende Informationen enthalten:
- Beschreibung der Art der Verletzung
- Kategorien der betroffenen Personen
- ungefähre Zahl der betroffenen Personen
- Kategorien personenbezogener Daten
- ungefähre Zahl der betroffenen personenbezogenen Datensätze
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
- Beschreibung der wahrscheinlichen Folgen der Verletzung
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung
- gegebenenfalls Maßnahmen zur Abmilderung der möglichen nachteiligen Auswirkungen
Die Berliner Aufsichtsbehörde hat ein entsprechendes Meldeformular samt Ausfüllhilfe als Vorlage bereitgestellt.
Benachrichtigung betroffene Person
Unter Umständen müssen die von der Datenschutzverletzung betroffenen Personen benachrichtigt werden gem. Art. 34 DSGVO. Voraussetzung dafür ist, dass ein hohes Risiko für die Rechte und Freiheiten besteht.
Folgende Angaben sind mitzuteilen:
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
- Beschreibung der wahrscheinlichen Folgen der Verletzung
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung
- gegebenenfalls Maßnahmen zur Abmilderung der möglichen nachteiligen Auswirkungen
Ausnahmen
Wie so oft gibt es auch hier folgende Ausnahmen von der Benachrichtungspflicht:
- das verantwortliche Unternehmen hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und auf die Verletzung angewandt (z. B. Verschlüsselung)
- das verantwortliche Unternehmen hat Maßnahmen getroffen, um das hohe Risiko auszuräumen
- die Benachrichtigung ist mit unverhältnismäßig hohem Aufwand verbunden (stattdessen muss öffentliche Bekanntmachung erfolgen)
Benachrichtigung Muster
Wenn Sie eine betroffene Person über eine Datenschutzverletzung benachrichtigen müssen, eignet sich nachfolgende Beispiel- bzw. Mustervorlage: