Umgang mit Datenpannen: Meldepflichten

By DatenschutzDatenpannen & Cyberangriffe
Beitragsbild zur Kategorie "Datenpannen & Cyberangriffe"

Datenpannen lassen sich nie ganz ausschließen, entscheidend ist, wie du damit umgehst. Die DSGVO verlangt ein strukturiertes Vorgehen, klare Meldeprozesse und dokumentierte Entscheidungen, ob eine Meldung erforderlich ist oder nicht.

Was ist eine Datenpanne?

Die DSGVO spricht von einer „Verletzung des Schutzes personenbezogener Daten“. Gemeint sind Vorfälle, bei denen personenbezogene Daten unbeabsichtigt oder unrechtmäßig vernichtet, verloren, verändert, unbefugt offenbart oder unbefugt zugänglich gemacht werden.

Typische Beispiele:

  • Versand einer E‑Mail an falsche Empfänger mit personenbezogenen Daten.
  • Verlust eines unverschlüsselten Laptops oder USB‑Sticks mit Kundendaten.
  • Ransomware‑Befall, der Kundendaten verschlüsselt und den Zugriff verhindert.
  • Fehlkonfiguration eines Cloud‑Speichers, sodass Daten öffentlich abrufbar sind.
  • Versehentliche Löschung von Daten ohne Wiederherstellungsmöglichkeit.

Wichtig: Auch die unbefugte Löschung oder Veränderung kann eine Datenpanne sein, nicht nur das „klassische Datenleck“. ​

Wann ist eine Datenpanne meldepflichtig?

Es gibt drei zentrale Fragen:

1. Liegt überhaupt eine Datenpanne vor?
2. Besteht ein Risiko für die Rechte und Freiheiten der betroffenen Personen?
3. Falls ja: Ist das Risiko „normal“ (Meldung nur an Behörde) oder „hoch“ (zusätzlich Information der Betroffenen)?

Meldepflicht an die Aufsichtsbehörde (Art. 33 DSGVO)

  • Eine Datenpanne muss „unverzüglich und möglichst binnen 72 Stunden“ nach Kenntnis bei der zuständigen Datenschutzaufsichtsbehörde gemeldet werden, wenn voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht.
  • Kein Meldedruck besteht nur, wenn man nachweisen kann, dass voraussichtlich kein Risiko besteht (z.B. Verlust eines vollständig und stark verschlüsselten Datenträgers mit robustem Schlüsselmanagement).

Meldepflicht gegenüber den Betroffenen (Art. 34 DSGVO)

  • Sind voraussichtlich hohe Risiken für die Betroffenen zu erwarten (z.B. Identitätsdiebstahl, Diskriminierung, wirtschaftliche Nachteile, besondere Kategorien von Daten), müssen die Betroffenen unverzüglich und in klarer Sprache informiert werden.
  • Die Information kann entfallen, wenn z.B. starke Verschlüsselung eingesetzt wurde oder nachträgliche Maßnahmen das hohe Risiko sehr wahrscheinlich beseitigen.

Die 72‑Stunden‑Frist beginnt, sobald in deinem Unternehmen jemand mit angemessener Sachkunde genügend Informationen hat, um von einer Datenpanne auszugehen, nicht erst, wenn der Vorfall „vollständig aufgeklärt“ ist.