DSGVO: Was ist eine Datenpanne und wie reagiere ich richtig?

Eine Datenpanne und ein Angriff auf die Sicherheit im Netz wird anhand einer Vektorgrafik dargestellt.

Kaum ein Online-Shop kann sich davon freisprechen: Früher oder später sehen sich die allermeisten Händler*innen mit einer Datenpanne konfrontiert.

Doch was ist eine Datenpanne eigentlich genau und wie reagiere ich richtig, wenn es zu einer solchen Datenpanne in meinem Unternehmen kommt? Eine Antwort wird im folgenden Beitrag erläutert.

Die Datenpanne nach der DSGVO

Gemäß Art. 4 Nr. 12 DSGVO ist eine Datenpanne eine die Datensicherheit betreffende Verletzung des Schutzes personenbezogener Daten 

  • die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig,
  • oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Eine solche Datenpanne reicht dabei von dem Versenden einer E-Mail oder eines Paketes an einen falschen Empfänger, über das Beschädigen einzelner Datensätze durch bspw. ein Software-Fehler, bis hin zum gänzlichen Verlust oder Vernichtung aller gespeicherten Daten, bspw. durch einen Hackerangriff oder ein zerstörtes Speichermedium.

Was müssen Unternehmer*innen tun, wenn eine Datenpanne aufgetreten ist?

Die viel wichtigere Frage ist jedoch: Wie habe ich mich nach einer solchen Datenpanne entsprechend den Vorschriften der DSGVO zu verhalten? Die DSGVO schreibt dem verantwortlichen Unternehmen hier gleich zwei Handlungsmaßnahmen vor.

  • Meldung der Verletzung personenbezogener Daten an die zuständige Datenschutzbehörde
  • Benachrichtigung der von der Datenpanne betroffenen Personen

Die Meldepflicht besteht unabhängig davon, ob ein Schaden bereits eingetreten ist oder nicht.

Eine Meldung hat hierbei an die Aufsichtsbehörde zu erfolgen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt; eine Benachrichtigung an die betroffene Person nur, wenn die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Spätestens bei der Risikoermittlung sollten Sie Ihre*n Datenschutzbeauftragte*n einbeziehen.

New call-to-action

Aber auch ohne vorliegendes Risiko müssen Verantwortliche zumindest den Vorfall dokumentieren und, sofern angebracht, ihre technischen und organisatorischen Schutzmaßnahmen überprüfen und anpassen.

Risiko / Pflichten

Interne Dokumentationspflicht

Meldepflicht an Aufsichtsbehörde

Benachrichtigungspflicht an Betroffene

Kein oder geringes Risiko

Ja

Nein

Nein

Risiko

Ja

Ja

Nein

Hohes Risiko

Ja

Ja

Ja

Demnach hat bei Vorliegen einer Datenpanne, in welcher Form auch immer, eine Risikoeinschätzung zu erfolgen, ob die Gefahr der Verletzung von Grundrechten bzw. Grundfreiheiten möglich erscheint.

Rechte und Freiheiten natürlicher Personen

Der Begriff Risiko wird in der DSGVO nicht definiert. Lediglich aus den Erwägungsgründen des Gesetzes ergeben sich Anhaltspunkte, was genau unter dem Risikobegriff zu verstehen ist. Die Datenschutzbehörden der Länder beschreiben den Begriff folgendermaßen:

„Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.

Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die
Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.“

Liegt die Verletzung von personenbezogenen Daten vor, sind für eine Risikobeurteilung insbesondere folgende Fragen zu stellen: 

  • Was und in welcher Form ist eine Datenpanne aufgetreten?
  • Welche Schäden können für die betroffene Person eintreten?
  • Durch welche Handlung und Umstände kann ein solches Schadensereignis eintreten?

So führt beispielsweise der Verlust von Kreditkartendaten durch ein Serverleck zum Risiko eines Kreditkartenmissbrauchs und ggf. zu einem materiellen Schaden in Form einer unbefugten Kreditkartennutzung.

Die Risikoanalyse obliegt dabei dem für die Datenverarbeitung verantwortlichen Unternehmer, sollte aber unter Zuhilfenahme datenschutzrechtlicher Unterstützung durch Fachpersonal durchgeführt werden. Sie müssen bei einer Datenpanne Rechenschaft ablegen und detailliert darlegen können, ob ein Risiko besteht oder nicht.

Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Gemäß Art. 33 DSGVO ist der Verantwortliche dazu verpflichtet, die Datenpanne unverzüglich an die zuständige Aufsichtsbehörde zu melden. Für Datenverarbeitungen innerhalb Deutschlands sind dabei die jeweiligen Landesdatenschutzbehörden zuständig. Die Meldung muss innerhalb von 72 Stunden erfolgen. Maßgeblicher Zeitpunkt für die Bestimmung des Fristbeginns ist die Kenntnis des Verantwortlichen von der Verletzung des Schutzes personenbezogener Daten. Welche Aufsichtsbehörde für Sie zuständig ist, richtet sich danach, in welchem Bundesland Sie ihre Hauptniederlassung haben. Die Aufsichtsbehörden haben für die elektronische Abgabe von Meldungen auf ihren Webseiten Portale eingerichtet, sodass ein postalischer Versand nicht zwingend erforderlich ist (bspw. Nordrhein-Westfalen, Baden-Württemberg oder Bayern).

Die Meldung sollte in jedem Fall folgende Informationen enthalten:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze,
  • den Namen und die Kontaktdaten des*der Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten,
  • eine Beschreibung der von dem*der Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die konkreten erforderlichen Inhalte einer Meldung können auch den jeweiligen Meldeportalen entnommen werden. Da im Regelfall nicht alle notwendigen Informationen bereits 72 Stunden nach Bekanntwerden des Vorfalls vorhanden sind, können auch unvollständige Erstmeldungen abgegeben werden, welche beizeiten zu ergänzen sind.

Meldung an die Kundschaft

In bestimmten Fällen müssen Sie die Datenpanne auch den betroffenen Kund*innen melden. Wann das so ist, regelt Art.34 DSGVO. Voraussetzung ist, dass die Verletzung voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Sie müssen also eine Prognose treffen, ob ein solcher Fall eintreten wird. Hier muss die Benachrichtigung unverzüglich erfolgen und zudem in einer klaren und einfachen Sprache übermittelt werden.

Inhaltlich soll die Benachrichtigung an Betroffene folgenden Mindestinhalt umfassen:

  • den Namen und die Kontaktdaten des*der Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten und
  • eine Beschreibung der von dem*der Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Ausnahmen von der Benachrichtigungspflicht an die betroffene Person

Eine Benachrichtigung an Kund*innen ist in den folgenden Fallkonstellationen nicht erforderlich: 

  • Der*die für die Datenverarbeitung Verantwortliche hat vor dem Eintritt der Verletzung „geeignete technische und organisatorische Sicherheitsvorkehrungen“ getroffen (bspw. unbefugter Zugriff auf einen Datenträger, auf dem sich ausschließlich verschlüsselte personenbezogene Daten befinden). Es liegt zwar eine Datenpanne vor, jedoch kommt es aufgrund der zuvor gewählten technischen Sicherheitsmaßnahmen nicht zu einer Verletzung des Schutzes personenbezogener Daten.
  • Der*die für die Datenverarbeitung Verantwortliche hat nach dem Eintritt einer Datenpanne durch geeignete Maßnahmen sichergestellt, dass ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nicht mehr besteht. Hierbei ist jedoch zu beachten, dass dem*der Verantwortlichen aufgrund der unverzüglichen Meldepflicht an die betroffenen Personen für „Eindämmungsmaßnahmen“ der Datenpanne nur ein kleines Zeitfenster verbleibt
  • Die Benachrichtigung der betroffenen Personen ist mit einem unverhältnismäßigen Aufwand verbunden. In diesem Falle hat stattdessen eine öffentliche Bekanntmachung über dafür geeignete Kommunikationskanäle oder durch ähnliche Maßnahmen zu erfolgen.

Unser Tipp

In jedem Fall müssen Sie sich an die oben genannten Vorschriften halten, denn ein Verstoß gegen die Meldepflicht kann für den Verantwortlichen einen Ersatzanspruch für materielle und immaterielle Schäden gem. Art. 82 DSGVO begründen. Ein solcher Verstoß kann zudem von Mitbewerbern oder auch Verbraucherschutzverbänden abgemahnt bzw. beklagt werden – mehr darüber können Sie auch diesem Beitrag des Shopbetreiber-Blogs entnehmen. Darüber hinaus kann die Aufsichtsbehörde bei einem Verstoß gegen Art. 34 DSGVO gegen den Verantwortlichen eine Geldbuße verhängen. Bereiten Sie sich daher am besten schon jetzt für den Fall der Fälle vor und beugen Sie mögliche Datenpannen im Unternehmen vor.

Sollte es dennoch zum Eintritt einer Verletzung von personenbezogenen Daten kommen, sollten Sie Maßnahmen ergreifen, die es Ihnen erleichtern, die oben genannten Vorschriften innerhalb der vorgeschriebenen Zeit einzuhalten. So können Sie sich bspw. schon jetzt informieren, wer die für Sie zuständige Aufsichtsbehörde ist und einen Prozess beschreiben, wie intern mit der Betreuung einer Datenpanne umgegangen wird.

19.07.24
Land auswählen: