Eine Datenpanne (Verletzung des Schutzes personenbezogener Daten) ist jede Sicherheitsverletzung, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt (Art. 4 Nr. 12 DSGVO).
Meldepflicht an die Aufsichtsbehörde (Art. 33 DSGVO)
Frist: Unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden.
Ausnahme: Nur wenn die Verletzung voraußichtlich KEIN Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Mindestinhalt der Meldung:
- Art der Verletzung mit ungefähren Zahlen (betroffene Personen und Datensätze)
- Kontaktdaten des Datenschutzbeauftragten
- Beschreibung der wahrscheinlichen Folgen
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen
Bei verspäteter Meldung ist die Verzögerung zu begründen. Schrittweise Bereitstellung der Informationen ist erlaubt (Art. 33 Abs. 4 DSGVO).
Benachrichtigung der Betroffenen (Art. 34 DSGVO)
Bei voraußichtlich hohem Risiko müßen die betroffenen Personen unverzüglich in klarer und einfacher Sprache benachrichtigt werden. Dies entfällt, wenn: geeignete Schutzvorkehrungen bestanden (z.B. die Daten waren verschlüßelt), kein hohes Risiko mehr besteht, oder die individuelle Benachrichtigung unverhältnismäßigen Aufwand erfordern würde (dann: öffentliche Bekanntmachung).
Dokumentationspflicht (Art. 33 Abs. 5 DSGVO)
ALLE Datenschutzverletzungen müßen dokumentiert werden - einschließlich der Fakten, Auswirkungen und ergriffenen Maßnahmen. Dies gilt auch für Verletzungen, die NICHT meldepflichtig sind.
Pflicht des Auftragsverarbeiters
Der Auftragsverarbeiter muss Datenschutzverletzungen UNVERZÜGLICH an den Verantwortlichen melden (Art. 33 Abs. 2 DSGVO) - nicht an die Aufsichtsbehörde.
Typische Datenpannen
Verlorene oder gestohlene Laptops/USB-Sticks, Fehlversand von E-Mails mit personenbezogenen Daten, Hackerangriffe, Ransomware-Attacken, versehentliche Veröffentlichung von Kundendaten, ungesicherter Cloud-Speicher.
Handlungsempfehlung
Etablieren Sie einen Breach-Notification-Prozess: Wer ist intern zu informieren? Wer entscheidet über die Meldung? Wie wird die 72-Stunden-Frist eingehalten? Halten Sie Meldungsvorlagen bereit.