dsgvo-meldung-datenpanne

Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde: So erfüllen Sie Ihre Meldepflicht bei einer Datenpanne nach DSGVO

Zu einer Datenpanne, d. h. einer Verletzung des Schutzes personenbezogener Daten, kann es in der Praxis schnell kommen. Dies kann ein Hackerangriff sein, ein Softwarefehler oder ein Mitarbeiterfehler: Gerade nach den neuen Verpflichtungen nach DSGVO kann es schnell zu einer Verletzung des Schutzes personenbezogener Daten kommen.

In diesem Fall treffen den Verantwortlichen umfangreiche Pflichten. Das Zeitfenster spielt eine große Rolle.

Meldepflicht

Gem. Art. 33 Abs. 1 DSGVO gibt es im Fall der Verletzung des Schutzes personenbezogener Daten eine Meldepflicht. Die Meldepflicht entfällt lediglich dann, wenn durch die Datenpanne es voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen kommt. Um dies beurteilen zu können, ist im Einzelfall zu prüfen, welche Gefahren sich aufgrund der Verletzung der Kriterien

  • Vertraulichkeit
  • Integrität
  • und Verfügbarkeit

der Daten für die Betroffenen ergeben können. Die Beweislast dafür liegt im Übrigen beim Verantwortlichen. Notwendig ist somit eine Risikoprognose.

Schnell muss es gehen

Gem. Art. 33 Abs. 1 DSGVO muss eine Meldung unverzüglich erfolgen, spätestens innerhalb von 72 Stunden nach Kenntniserlangung. 72 Stunden sind nur drei Tage. Sollte es somit zu einer Datenpanne kommen, muss auf jeden Fall schnell reagiert werden.

Die Frist beginnt mit positiver Kenntnis des Verantwortlichen. Wird aus irgendwelchen Gründen später gemeldet, muss die Verzögerung gem. Art. 33 Abs. 1 Satz 2 DSGVO begründet werden.

An wen ist zu melden?

Die Meldung muss an die gem. Art. 55 DSGVO zuständige Aufsichtsbehörde erfolgen. In der Regel ist dies die Landesdatenschutzbehörde in dem Bundesland, in dem das Unternehmen seinen Sitz hat. Ganz eindeutig lässt sich die Frage an dieser Stelle jedoch nicht beantworten. Dies gilt bspw. für den Fall, dass ein Unternehmen mehrere Niederlassungen in unterschiedlichen Bundesländern hat. Weiter unten in diesem Beitrag haben wir Informationen zu Formularen der einzelnen Behörden zusammengestellt.

Was ist zu melden?

Der Inhalt einer Meldung bei einer Datenpanne ist gegenüber der zuständigen Behörde durchaus umfangreich. Um sämtliche Pflichen zu verdeutlichen, hier die Norm:

Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.

(3) Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:
 a)  eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
 b)  den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
 c)  eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
 d)  eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(4) Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.

(5) Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.

Sämtliche der vorgenannten Informationen gem. Art. 33 Abs. 1 DSGVO sind binnen der Frist von 72 Stunden ab Kenntnis zu melden.

Wie ist zu melden?

Obwohl das Gesetz keine besonderen Vorgaben zur Art der Meldung macht, sollte nicht zuletzt aus Beweisgründen die Meldung in Textform, d. h. mindestens per E-Mail erfolgen. Hierbei ist zu berücksichtigen, dass Art. 33 Abs. 5 DSGVO dem Verantwortlichen eine Dokumentationspflicht auferlegt.

Die meisten Aufsichtsbehörden bieten Formulare zum Download an bzw. Online-Formulare.

Nachfolgend haben wir (Stand 01/2019) zusammengestellt, wie entsprechende Formulare der einzelnen Aufsichtsbehörden erreichbar sind. Ist eine Landesdatenschutzbehörde in der Liste nicht genannte, bietet diese nach unserer Kenntnis auch keine Formulare an.

Baden-Württemberg
Der Landesbeauftragte für den Datenschutz Baden-Württemberg 

Online-Formular: https://www.baden-wuerttemberg.datenschutz.de/datenpanne-melden/

Bayern
Bayerisches Landesamt für  Datenschutzaufsicht  

Online-Formular: https://www.lda.bayern.de/de/datenpanne.html

Berlin
Berliner Beauftragte für Datenschutz und Informationsfreiheit Formular zum Download: https://datenschutz-berlin.de/datenpannenformular.html

Hamburg
Der Hamburgische Beauftragte für Datenschutz und Informationssicherheit

Online-Formular: https://datenschutz-hamburg.de/pages/databreach/

Hessen
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit 

Formular zum Download: https://datenschutz.hessen.de/service/meldungen-von-verletzungen-des-schutzes-personenbezogener-daten

Mecklenburg-Vorpommern
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern  

Online-Formular: https://www.datenschutz-mv.de/kontakt/meldung-einer-datenpanne/

Niedersachsen
Die Landesbeauftragte für den Datenschutz Niedersachsen 

Online-Formular: https://www.lfd.niedersachsen.de/startseite/fortbildung_service/meldung_einer_datenpanne_art_33_dsgvo/meldung-von-datenschutzverletzungen-nach-artikel-33-ds-gvo-164616.html

Nordrhein-Westfalen
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen 

Formular zum Download: https://www.ldi.nrw.de/mainmenu_Aktuelles/Formulare-und-Meldungen/Inhalt2/Meldeformular—Verletzung-des-Schutzes-personenbezogener-Daten/Meldeformular—Verletzung-des-Schutzes-personenbezogener-Daten.html

Rheinland-Pfalz
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz 

Online-Formular: https://www.datenschutz.rlp.de/de/themenfelder-themen/online-services/meldeformular-datenpanne-art-33-ds-gvo/

Saarland
Unabhängiges Datenschutzzentrum Saarland  

Online-Formular: https://datenschutz.saarland.de/ueber-uns/aktuelles/nachricht/datenpanne-melden-fuer-verantwortliche/

Sachsen-Anhalt
Landesbeauftragter für den Datenschutz Sachsen-Anhalt Online-Formular: https://datenschutz.sachsen-anhalt.de/nc/service/online-formulare-des-landesbeauftragten/datenschutzverletzung/

Schleswig-Holstein
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 

Formular zum Download: https://www.datenschutzzentrum.de/meldungen/

Thüringen
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit 

Formular zum Download: https://www.tlfdi.de/tlfdi/wir/infomaterial-mustervordrucke/mustervordrucke/

Bund
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) 

Online-Formular: https://www.bfdi.bund.de/DE/Service/Datenschutzverstoesse/datenschutzverstoesse_node.html

Vorbereitet sein

Für Sie als Unternehmen ist es sinnvoll, wenn Sie sich bereits jetzt mit dem Thema “mögliche Datenpanne” auseinandersetzen.

  • Wer ist in diesen Fällen in Ihrem Unternehmen zuständig?
  • Welche Behörde ist zuständig?

Das Ausfüllen der Formulare ist ein durchaus sensibler Vorgang. So gibt es Angaben, die auf jeden Fall erforderlich sind. Andere Informationen sind freiwillig. Um sich nicht selbst ans Messer zu liefern, sollte auf bestimmte Informationen im Rahmen des rechtlich Zulässigen verzichtet werden.

Einfach nicht reagieren?

Eine Datenpanne einfach auszusitzen, in der Hoffnung, dass es Niemanden auffallen wird, ist keine Alternative. Ein Verstoß gegen die Meldepflicht gem. Art. 83 Abs. 4 a) DSGVO ist mit einer Geldbuße von bis zu 10 Mio. Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes bedroht.

Selbst eine fristgerecht gemeldete Datenpanne schützt nicht vor einem Bußgeld. So war gegen einen Social-Media-Anbieter aus Deutschland nach einer Datenpanne im September 2018 ein Bußgeld von 20.000,00 Euro verhängt worden trotz, wie es die Behörde ausdrückte, beispielhafter Transparenz.

Ohne diese Transparenz, schlimmstenfalls mit dem Nachweis, dass Sie als Unternehmen versucht haben, die Datenpanne zu verschleiern, kann es jedoch noch erheblich teurer werden.

Wir beraten Sie bei einer Datenpanne und der Meldung von Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde. Auf Grund der weitreichenden Konsequenzen empfehlen wir, bei einer Datenpanne immer einen Spezialisten beizuziehen.

Stand: 08.01.2019

Es beraten Sie: Rechtsanwalt Andreas Kempcke (zertifizierte Datenschutzbeauftragte TÜV)

https://ssl-vg03.met.vgwort.de/na/1e71a25603ff4f10b924754b5a67905a