Ein Datenschutzbeauftragter hat in erster Linie die Aufgabe sicherzustellen, dass Datenschutzbestimmungen im Unternehmen eingehalten werden. Wenn dies einmal nicht der Fall ist, muss abgewogen werden, ob die Datenschutzbehörde und die betroffenen Personen informiert werden müssen. Denn nicht jede Verletzung des Datenschutzes ist meldepflichtig. Anhand einiger Kriterien lässt sich entscheiden, ob Behörden und Verbraucher benachrichtigt werden müssen.
Welche diese sind und wie dabei vorgegangen werden sollte, erfahren Sie in diesem Artikel.
Was genau ist ein Datenschutzvorfall? Ein Datenschutzvorfall ist eine Unregelmäßigkeit in der Verarbeitung von personenbezogenen Daten, die ein Risiko für die Betroffenen darstellen. Darunter fallen beispielsweise die versehentliche oder unbewusste Veröffentlichung von personenbezogenen Daten im Internet, der unbefugte Zugang Dritter auf interne Daten nach einem Hacker-Angriff, als auch der Verlust eines USB-Sticks, Laptops oder anderer Hardware, auf der sich Daten befinden. Anzumerken ist: selbst wenn der Datenschutzvorfall nicht meldepflichtig ist, ist die Dokumentation eines solchen Vorfalles immer anzuraten, da dieser wichtig für die Bewertung des Datenschutzniveaus ist.
Doch wann ist ein Datenschutzvorfall meldepflichtig und wann nicht? Laut DSGVO liegt eine Datenschutzverletzung nur dann vor, wenn personenbezogene Daten betroffen sind. Das sind Daten, über die sich Individuen persönlich identifizieren lassen. Angenommen Sie sind ein Architekturunternehmen und streng geheime Zeichnungen werden im Rahmen eines Hackerangriffes offengelegt. Dies würde nicht als Verletzung des Schutzes von personenbezogenen Daten gelten und ist demnach auch nicht meldepflichtig. Gleiches gilt für den Diebstahl sonstiger vertraulicher Dokumente oder Software, sofern dort keine personenbezogenen Daten gespeichert sind.
In welchen Fällen ist die Benachrichtigung von Einzelpersonen vorgeschrieben? Die DSGVO sieht dies dann vor, wenn ein „hohes Risiko für die persönlichen Rechte und Freiheiten“ der Betroffnen besteht. Doch ab wann ist ein „hohes Risiko“ gegeben? In den Leitlinien für die Meldung bei Datenschutzverletzungen gemäß DSGVO werden als Beispiele die Daten genannt, die medizinische oder finanzielle Daten (Kreditkarten- und Kontodaten) betreffen. Wenn lediglich Kontaktinformationen wie Namen und E-Mail-Adressen betroffen sind, ist eine Benachrichtigung nicht zwingend erforderlich. Ist dies jedoch der Fall bei einer sehr großen Anzahl von Daten, müssten die betroffenen Personen als auch die Behörde informiert werden. Denn aus den Leitlinien der DSGVO geht hervor, dass die Größe bzw. Menge durchaus eine Rolle spielt. Unabhängig von der Anzahl der betroffenen Personen, ist ein Vorfall in jedem Fall dann meldepflichtig, wenn sehr sensible Daten öffentlich geworden sind. Dazu zählen neben Gesundheits- und Bonitätsdaten beispielsweise auch Informationen zur Ethnie oder sexuellen Orientierung. Im Grunde all diejenigen Daten, die im Falle eines Missbrauchs hohe Risiken für die Betroffenen mit sich bringen.
Was genau muss mitgeteilt werden? Ist nun ein meldepflichtiger Datenschutzvorfall eingetreten und Sie müssen Behörde als auch Einzelpersonen informieren, regelt Artikel 33 und 34 der DSGVO, was genau Sie mitteilen müssen.
1. Meldung an die Datenschutzbehörde
- Beschreibung der Datenpanne
- Welche Datenarten sind betroffen? (Nennung der Datenkategorien wie z.B. Bankverbindungsdaten, Gesundheitsdaten)
- Die Daten wie vieler Personen sind betroffen?
- Der Name und die Kontaktdaten des Datenschutzbeauftragten
- Zeitpunkt des Vorfalls, Zeitpunkt der Kenntnisnahme des Vorfalls
- Welche Folgen der Verletzung des Schutzes personenbezogener Daten halten Sie für wahrscheinlich (z.B. Kontoabbuchungen, Identitätsdiebstahl, Bloßstellung)?
- Welche Gegenmaßnahmen wurden vom Verantwortlichen ergriffen oder wurden vorgeschlagen?
- Einschätzung der Pflicht ob Betroffene informiert werden müssen. Falls nein, mit Begründung. Falls ja, wie und wann wurden die Betroffenen benachrichtigt und welche Gegenmaßnahmen haben Sie ihnen empfohlen?
- Wurde Strafanzeige erstattet?
Außerdem kann die Aufsichtsbehörde zusätzliche Informationen verlangen. Laut Artikel 34, müssen bei der Benachrichtigung von Einzelpersonen außerdem folgende Angaben gemacht werden:
2. Meldung an betroffene Einzelpersonen
- Art der Datenschutzverletzung
- Name und Kontakt des Datenschutzbeauftragten
- Beschreibung der voraussichtlichen Folgen
- Welche Gegenmaßnahmen wurden von den Verantwortlichen ergriffen um die Datenschutzverletzung zu beheben und die möglichen nachteiligen Auswirkungen abzumildern?
Die DSGVO empfiehlt eine persönliche Mitteilung der Betroffenen in Form einer SMS, E-Mail oder eines Briefes, anstelle einer Medienmeldung. Ebenfalls geeignet sind gut sichtbare Banner auf Webseiten oder Pressemeldungen.