Was ist zu tun, wenn es zu einer Datenpanne gekommen ist?

Eine Datenpanne kann verschiedene Gründe haben. Sei es ein Angriff von Außen, durch einen Hacker, oder ein interner Fehler, wie eine falsch geleitete Mail. Auch bei größter Vorsicht und Verantwortung kann eine Datenpanne passieren. Wichtig ist, wie man damit umgeht, um das schlimmste zu vermeiden. 

Wem muss eine Datenpanne gemeldet werden?

Die DSGVO gibt vor, was bei einer Datenpanne zu tun ist. So regelt der Artikel 33 DSGVO, dass bei einer Verletzung des Schutzes personenbezogener Daten der Verantwortliche der zuständigen Behörde die Verletzung melden muss. Die Meldung muss innerhalb von 72 Stunden, nachdem die Verletzung bekannt geworden ist, geschehen. Wenn die Frist von 72 Stunden nicht eingehalten werden kann, dann muss eine Begründung erfolgen, weshalb eine Einhaltung der Frist nicht möglich war. 

Die Meldung muss die Art der Datenpanne beschreiben, sowie, soweit möglich, Angaben darüber machen, welche Art von Daten möglicherweise in fremde Hände gelangt ist und wie viele Datensätze und Personen davon betroffen sind. Außerdem soll in der Meldung eine Beschreibung der wahrscheinlichen Folgen der Datenpanne und eine Beschreibung der ergriffenen Maßnahmen erfolgen. Zusätzlich muss angegeben werden, wer Datenschutzbeauftragter ist und somit Anlaufstelle für weitere Informationen. 

Wenn nicht alle Informationen sofort zur Verfügung gestellt werden können, können sie auch nachgereicht werden. Dabei darf es aber nicht zu unangemessenen weiteren Verzögerungen kommen. Zudem müssen alle Datenschutzverletzungen, die im Zuge dieser Panne passiert sind, dokumentiert werden. 

Meldung an betroffene Personen

Wenn ein hohes Risiko besteht, dass persönliche Rechte und Freiheiten von Personen betroffen sind, müssen diese Personen unverzüglich benachrichtigt werden. Gesetzlich vorgeschrieben ist, dass die Benachrichtigung in klarer und einfacher Sprache die Verletzung des Schutzes der persönlichen Daten beschreibt. Auch muss die betroffene Person auch die Kontaktdaten für einen Ansprechpartner erhalten und die wahrscheinlichen Folgen der Datenpanne, sowie die ergriffenen Schutzmaßnahmen. 

Das Gesetz sieht allerdings drei Situationen vor, in denen eine Benachrichtigung der betroffenen Person nicht notwendig ist. 

• Zum einen dann, wenn technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, sodass die betroffenen Daten für unbefugte Personen unzugänglich sind, etwa durch Verschlüsselungen.
• Auch, wenn die verantwortliche Person bereits durch Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Person nicht mehr besteht.
• Wenn die Benachrichtigung mit einem unverhältnismäßig hohem Risiko verbunden ist, genügt es außerdem auch aus, wenn die Person ebenso wirksam mit einer öffentlichen Bekanntmachung informiert wird. 

Diese Bußgelder drohen

Bei Verstößen kennt die DSGVO keine Gnade und es drohen Bußgelder. Die Bußgelder werden von der Behörde, bezogen auf den Einzelfall, nach den Bedingungen der DSGVO festgelegt. Dabei wird mit einbezogen, ob die Datenpanne durch Fahrlässigkeit entstanden ist, oder gar vorsätzlich. Auch wie das Unternehmen mit der Datenschutzbehörde kooperiert und ob die Fristen und Pflichten zu Meldung eingehalten werden, sind für die Höhe des Bußgeldes entscheidend. Im schlimmsten Falle kann ein Bußgeld bis zu 20.000.000 Euro, oder 4 Prozent des erzielten Jahresumsatzes des vorausgegangenen Geschäftsjahres drohen.