Datenpanne: Das ist zu tun und das ist zu befürchten

Eine Datenpanne im Betrieb ist schnell passiert. Ob es der falsche Empfänger einer E-Mail ist, ein technischer Fehler oder die unverschlüsselte Datenweitergabe im Internet, die Gründe für einen Datenvorfall sind oft eher banal.

Durchschnittliche Lesezeit: 3 Minuten

Ein Mann sitzt vor einem Laptop macht ein verzweifeltes Gesicht. Es gab eine Datenpanne.

Auch Datendiebstahl lässt sich heutzutage nicht hundertprozentig ausschließen. Wegen der weitreichenden Folgen ist aber jede unzulässige Datenverarbeitung sehr ernst zu nehmen. Daher stehen viele Unternehmer vor der Frage, wie in solch einem Fall zu verfahren ist und welche Konsequenzen drohen.

Feststellung der Datenpanne

Im ersten Schritt gilt es überhaupt festzustellen, fass ein Datenvorfall vorliegt. Aber wann ist von einer Datenpanne auszugehen? Von einer Datenpanne spricht man, wenn Unbefugte Zugriff auf die im Unternehmen verarbeiteten personenbezogenen Daten von Kunden, Mitarbeitern oder Dritten erhalten. Doch die Hintergründe für den unberechtigten Datenabfluss können vielschichtig sein: Fehler im Betriebsablauf, menschliches Versagen, technische Ausfälle oder auch Angriffe Dritter sind hier beispielhafte Ursachen.

Sensibilisierung der Mitarbeiter für Datenvorfälle

Wichtig ist es, Datenpannen schnell genug festzustellen, um fristgemäß einschreiten zu können. Daher empfiehlt es sich alle Mitarbeiter und sonstigen Beschäftigten des Unternehmens auch für das Thema Datenpannen zu sensibilisieren. Der Datenschutzbeauftragte ist gemäß Art. 39 Abs. 1 a) Datenschutzgrundverordnung (DSGVO) sowieso verpflichtet, eine jährliche Mitarbeiterschulung zum Datenschutz vorzunehmen. Hier kann ein umfänglicher Slot zum Vorgehen bei auftretenden Datenpannen integriert werden. Auch in der Unternehmensrichtlinie Datenschutz des Unternehmens sollte diesem Thema ein hervorgehobener Platz eingeräumt werden. Ein Notfallkonzept mit allen zuständigen Ansprechpartnern hilft im Ernstfall bei einer schnellen Erfassung und Behebung des Datenlecks.

Meldung gegenüber der Aufsichtsbehörde

Ist ein Datenvorfall festgestellt, gilt es schnell zu handeln. Denn gemäß Art. 33 DSGVO hat der Verantwortliche die Datenpanne binnen 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Dabei werden Sonn- und Feiertage eingerechnet. Diese Meldung übernimmt in der Regel der Datenschutzbeauftragte. Sie ist stets verpflichtend, es sei denn die Verletzung führt „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“. Um dieses Risiko bewerten zu können, nimmt der Datenschutzbeauftragte gemeinsam mit der Unternehmensführung eine Prognoseentscheidung vor, bei der er die mögliche Schadenshöhe für den Betroffenen gegen die Eintrittswahrscheinlichkeit abwägt. Eine Hilfestellung bietet hier das Kurzpapier Nr. 18, das von der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) herausgegeben wurde.

Information der Betroffenen

Auch eine Information sämtlicher von der Datenpanne betroffenen Personen kann gemäß Art. 34 Abs. 1 DSGVO erforderlich sein. D.h. Jeder, dessen personenbezogene Daten angegriffen sind, ist über den Datenvorfall aktiv in Kenntnis zu setzen. Die Unterrichtung muss neben dem geschehenen Vorfall folgende Informationen enthalten:

den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Von der Information der Betroffenen kann gemäß Art. 34 Abs.3 DSGVO nur in wenigen Ausnahmefällen abgesehen werden. So etwa, wenn Maßnahmen ergriffen wurden, die sicherstellen, „dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht.“ Worin solche Maßnahmen bestehen, sollte zumindest für die häufigsten Datenpannen vorab in einem Notfallkonzept festgelegt werden.

Konsequenzen bei pflichtwidrigem Verhalten

Kommt der Verantwortliche den Pflichten auf Meldung und Information aus Art. 33, 34 DSGVO nicht nach, drohen ernsthafte Konsequenzen. Dann nach Art. 83 Abs. 4 DSGVO können Geldbußen bis zu zehn Millionen Euro oder 2% des weltweit im Vorjahr erwirtschafteten Jahresumsatzes – je nachdem welcher Betrag höher ist – verhängt werden. Aber auch die Betroffenen haben gegebenenfalls einen Anspruch auf Schadensersatz. Daher kann dies bei größeren Datenpannen, von denen mehrere Personen betroffen sind, zu einem weiteren erheblichen Schaden beim Unternehmer führen. Mit einem hinreichend ausgebildeten Datenschutzbeauftragten, der sich dem Thema Datenpannen umfassend annimmt, können diese Konsequenzen minimiert werden.

Gut zu wissen!

Nach Art. 33, 34 der Datenschutzgrundverordnung (DSGVO) sind im Falle von Datenpannen unverzüglich konkrete Maßnahmen zu ergreifen. Neben einer Risikoanalyse, zählen dazu die Meldung an die zuständige Aufsichtsbehörde und die Information der Betroffenen. Wer diese Verpflichtungen nicht ernst nimmt, muss mit erheblichen Geldbußen und Schadensersatzansprüchen rechnen.

Das große Datenschutz-Paket

29,90 €

Inhalte Verbergen

1 Feststellung der Datenpanne

2 Sensibilisierung der Mitarbeiter für Datenvorfälle

3 Meldung gegenüber der Aufsichtsbehörde

4 Information der Betroffenen

5 Konsequenzen bei pflichtwidrigem Verhalten

Unsere Top-Vorlagen zum Thema

Vertrag Auftragsverarbeitung nach DSGVO

Das große Datenschutz-Paket

Ratgeber Sicherheit Passwort

Sicherheitshinweise für Administratoren

Sicherheitshinweise für Administratoren

AGB Dienstleistungen

User suchten auch nach folgenden Themen

Ein Richterhammer symbolisiert, dass der Streit um den Entzug des Pflichtteil oft vor Gericht endet.

Erbrecht

Pflichtteil entziehen – das ist zu beachten

4 Minuten

Der Pflichtteil beträgt die Hälfte des gesetzlichen Erbteils. Wollen Sie durch ein Testament den Pflichtteil entziehen? Dann müssen Sie diese Punkte beachten. Denn der Gesetzgeber lässt den Pflichtteilsentzug nur in Ausnahmefällen zu.

Eine junge Frau hält Geldscheine in der Hand.

Arbeitsrecht

Muss ein Praktikum bezahlt werden?

2 Minuten

Einmal in einen neuen Beruf reinschnuppern oder einfach Erfahrungen in der Arbeitsfeld sammeln – ein Praktikum ist für viele Berufswege unumgänglich. Wie sieht es aber mit der Vergütung aus? Wann wird ein Praktikum bezahlt?

Ein neuer Mieter unterschreibt einen Mietvertrag. Damit ist die Übergabe des Mietvertrags besiegelt.

Mietrecht

Nachmieter für Übernahme eines Mietvertrages vorschlagen

3 Minuten

Häufig kommt es vor, dass ein Mietverhältnis schneller aufgelöst werden soll, als die Kündigungsfrist es verlangt. Um dies tatsächlich umsetzen zu können besteht beispielsweise die Möglichkeit einen Nachmieter vorzuschlagen.

Eine blonde Frau mit gelben T-Shirt hält Geldscheine in der Hand.

Arbeitsrecht

Minijob Erhöhung: Verdienstgrenze wurde angehoben

2 Minuten

Die Erhöhung des Mindestlohns hat weitreichende Auswirkungen auf die Vergütung von Minijobs. Lesen Sie hier alles, was Sie über die Erhöhung der Verdienstgrenze Minijob wissen müssen.

Man blickt von oben auf einen Tisch mit mehreren Unterlagen und einen Laptop. Um den Tisch sitzen einige Personen, die einen Businessplan erstellen wollen.

Unternehmensmanagement

Businessplan erstellen – so geht´s

9 Minuten

Sie möchten mit Ihrem Geschäftskonzept Ihr eigenes Unternehmen gründen? Dann brauchen Sie einen wasserdichten Businessplan.

Jetzt anfordern und 5 eur gutschein sichern!*

Der kostenlose Formblitz-Newsletter