Datenpanne melden

Wann und ob Sie eine Datenpanne melden, welche Details Sie in diesem Zusammenhang beachten müssen sind, zeigen wir Ihnen in unserem Beitrag.

Stellen Sie sich bitte vor, im Unternehmen gab es einen Sicherheitsvorfall. Zum Beispiel durch einen Hackerangriff. Damit liegt eine Verletzung des Schutzes von personenbezogenen Daten vor. Nun muss der Verantwortliche für sich und die Betroffenen aufarbeiten, was genau passiert ist, indem er die Folgen der Datenpanne einschätzt.

Pflichten im Zusammenhang mit Datenpannen

Beachten Sie in dem Zusammenhang zwei Arten von Pflichten:

  • Meldung des Vorfalls gegenüber der zuständigen Aufsichtsbehörde für Datenschutz
  • Benachrichtigung von Betroffenen

Die Meldung an die Aufsichtsbehörden erfolgt schon, sobald ein Risiko für die Betroffenen besteht.

Betroffene werden benachrichtigt, wenn voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten besteht.

Im Falle eines Hackerangriffs auf die Systeme des Unternehmens sind unter Umständen mehrere Dinge relevant.

  1. Da Unberechtigter Zugriff stattfand, nehmen Sie eine Beeinflussung der Vertraulichkeit an.
  2. Die Verfügbarkeit der personenbezogenen Daten könnte betroffen sein, wenn Sie darauf nicht mehr zugreifen können.
  3. Möglicherweise besteht auch eine Beeinflussung der Integrität durch Veränderung, die ggf. nicht mehr nachvollzogen werden kann.

Verlsut von personenbezogenen Daten dürfen Sie immer dann annehmen, wenn diese zum Beispiel verschlüsselt wurden und Sie keinen Zugriff mehr haben.

Eine Meldung des Vorfalls an die Aufsichtsbehörde müssen Sie dann innerhalb von 72 Stunden durchführen.

Wann genau eine Datenpanne meldepflichtig wird erfahren Sie in unserem Beitrag zu den Datenpannen.

Datenpanne an die Aufsichtsbehörde melden

Eine Datenpanne melden bei der Verantwortlichen Stelle entweder der Verantwortliche, oder ein speziell dafür Beauftragter an die zuständige Aufsichtsbehörde für Datenschutz. Zwar kann die Aufgabe übertragen werden, aber aufgrund der Brisanz einer solchen Meldung (wegen der möglichen Konsequenzen), haben die Beteiligten meist ein Interesse an der Mitwirkung der Geschäftsführer. Legen Sie die Bedingungen für die Durchführung von Meldung genau fest.

Bestehen im Zusammenhang mit der Meldung von Datenpannen Unsicherheiten, klärt ihr Datenschutzbeauftragter Sie sicher über die einzelnen Punkte im Meldeformular auf. Übrigens soll nicht zwangsläufig Ihr  Datenschutzbeauftragter Ihre Datenpanne melden – er kann, muss aber nicht und meistens möchte er das auch nicht.

Behalten Sie unbedingt die Meldefrist von 72 Stunden ab Kenntnisname der Datenpanne im Auge. Die Aufsichtsbehörden sind diesbezüglich sehr genau. Auf den internen Prüfformularen gibt es entweder „Meldung erfolgte innerhalb der Meldefrist – ja oder nein“. Nehmen Sie sich also nicht 73 oder 74 Stunden Zeit, sondern maximal 72 Stunden.

Die Aufsichtsbehörde bestätigt nach der Meldung den Empfang und vermerkt den Zeitpunkt der Meldung, sowie ob dies innerhalb der Frist geschehen ist oder nicht (s.o.).

Wie sieht eine Meldung an die Aufsichtsbehörde aus?

Bei der Meldung einer Datenpanne gegenüber einer Aufsichtsbehörde für den Datenschutz werden allerhand Fragen gestellt.

Etwas einfacher wird das Ganze, wenn Sie die Datenpanne bereits im Vorfeld mit System erfassen und für die Meldung der Panne nur noch die zusammengetragenen Informationen zum Vorfall in ein Formular „eingeben“ müssen.

Unsere Empfehlung: Nehmen Sie sich die Dokumentation zur Hand und tragen alles in Ruhe in das Formular der Aufsichtsbehörde ein.

In Bayern erfolgt die Meldung einer Datenpanne über die Seite des bayerischen Landesamtes für Datenschutzaufsicht für Nicht-öffentliche Stellen und unter Der Bayerische Landesbeauftragte für den Datenschutz für öffentliche Stellen.

Füllen Sie die Kategorien nach bestem Wissen und Gewissen aus.

Art der Meldung einer Datenpanne

Bei der Art der Meldung einer Datenpanne sind zwei Punkte relevant. Einmal ob es sich um eine

  • Neumeldung oder eine
  • Folgemeldung handelt.

Benennen Sie dazu den Vorfall, also ob es sich um einen Cyberangriff, Schadsoftware, Diebstahl, Verlust, eine Fehlversendung, o.ä. handelt.

Verantwortliche Organisation

Hier tragen Sie lediglich Name und Anschrift der verantwortlichen Stelle ein. Sind Sie Betreiber einer kritischen Infrastruktur (KRITIS) geben Sie das hier noch entsprechend an.

Meldende Person

Tragen Sie hier Name, Vorname, Telefonnummer, E-Mail-Adresse und die Funktion der meldenden Person ein.

Ansprechpartner

Hier legen Sie fest, wie Ansprechpartner informiert werden sollen, und ob Sie eine automatische Meldebestätigung erhalten möchten.

Zudem füllen Sie aus, ob der Ansprechpartner auch gleichzeitig die meldende Person ist.

Details zur Datenschutzverletzung

Einzutragen sind hier

  • Zeitraum,
  • Zeitpunkt,
  • eventueller Grund für eine verspätete Meldung,
  • Beschreibung des Vorfalls,
  • ob sich die Datenschutzverletzung bei einem Auftragsverarbeiter ereignet hat,
  • Anzahl der betroffenen Personen oder eine Schätzung,
  • Art der betroffenen Daten und
  • Kategorien der betroffenen Daten.

Da hierzu in der Praxis immer wieder Schwierigkeiten aufkommen: Verantwortliche müssen wissen, wie viele Personen und Datensätze von einem Sicherheitsvorfall betroffen sind, und um welche Daten es dabei geht. Diese Kenntnisse sammeln Sie im Rahmen Ihrer DSGVO Dokumentationspflichten (u.a. Verzeichnis von Verarbeitungstätigkeiten).

Folgen der Datenschutzverletzung

Bei den Folgen geben Sie an, ob der Verlust der Vertraulichkeit, die Einschränkung der Verfügbarkeit oder/und Verlust der Integrität der Daten vorliegt.

Dazu wählen Sie noch die möglichen Folgen aus. Das können wirtschaftliche Nachteile, Imageverlust, Lebensgefährdung, ein finanzieller Schaden, usw. sein.

Ein weiterer wichtiger Punkt ist die Einschätzung des Risikos für die Betroffenen / aus Sicht der betroffenen Personen (NICHT für das Unternehmen!) – es besteht

  • kein Risiko
  • ein normales Risiko
  • ein hohes Risiko

Bei einem angenommenen hohen Risiko geben Sie auch an, ob die Benachrichtigung der Betroffenen bereits erfolgt ist.

Tipp: Eine Benachrichtigung sollten Sie in Abstimmung mit der Aufsichtsbehörde koordinieren. Im Zweifel wird die Ihnen sagen, dass / ob Sie Betroffene benachrichtigen müssen.

Maßnahmen

Im vorletzten Schritt geht es um die Maßnahmen in Folge der Datenpanne. Das bedeutet die Maßnahmen, die Sie zur Abhilfe der Folgen / Risiken ergreifen, bzw. ergriffen haben.

Außerdem geben Sie an, ob Sie auch andere Behörden auch über den Vorfall informiert haben.

Meldung absenden

Jetzt müssen Sie die Meldung nur noch absenden. Im Nachgang erhalten Sie eine Eingangsbestätigung. Legen Sie diese Bestätigung und alle sonstige Korrespondenz zu dieser Meldung zu Ihrer Dokumentation legen.

Haben Sie noch Fragen?

Wenn für Sie noch Antworten offen sind, wie Sie mit der Meldung von Datenpannen bei Aufsichtsbehörden für Datenschutz umgehen, helfen wir Ihnen gerne dabei.