Meldepflichten bei Datenpannen
Was Verantwortliche bei einer Datenpanne tun müssen: die 72-Stunden-Meldepflicht gegenüber der Aufsichtsbehörde und die Benachrichtigungspflicht gegenüber Betroffenen nach Art. 33 und 34 DSGVO.
Eine Datenpanne (im Fachjargon: Verletzung des Schutzes personenbezogener Daten) liegt vor, wenn eine Verletzung der Sicherheit zu einer unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von oder zum unbefugten Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt. Typische Beispiele sind Ransomware-Angriffe, versehentlich versendete E-Mails mit unverschlüsselten Dateianhängen oder der Diebstahl eines unverschlüsselten Laptops.
Meldepflicht an die Aufsichtsbehoerde
Gemäß Art. 33 DSGVO ist der Verantwortliche verpflichtet, eine Datenpanne unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, bei der zuständigen Aufsichtsbehörde zu melden. Erfolgt die Meldung nach 72 Stunden, sind die Gründe für die Verzögerung mitzuteilen. Die Meldung entfällt, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die Meldung bei der Aufsichtsbehörde muss mindestens folgende Angaben enthalten: eine Beschreibung der Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen sowie die betroffenen Datensätze, Name und Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der wahrscheinlichen Folgen der Verletzung und eine Beschreibung der getroffenen oder vorgeschlagenen Maßnahmen zur Behebung.
Benachrichtigung Betroffener
Übersteigt das Risiko eine hohe Schwelle, greift zusätzlich die Benachrichtigungspflicht nach Art. 34 DSGVO. Der Verantwortliche muss dann auch die betroffenen Personen unverzüglich in klarer und einfacher Sprache über die Datenpanne informieren. Auf die Benachrichtigung kann unter bestimmten Voraussetzungen verzichtet werden, etwa wenn die betroffenen Daten durch geeignete technische Maßnahmen verschlüsselt waren.
Erwägungsgrund 85 zur DSGVO betont die Bedeutung einer schnellen Reaktion: Ohne rechtzeitige Reaktion können Verletzungen des Schutzes personenbezogener Daten zu physischen, materiellen oder immateriellen Schäden für natürliche Personen führen. Verantwortliche sollten daher über einen dokumentierten Incident-Response-Prozess verfügen, der die Erkennung, interne Meldung, Risikobewertung, Dokumentation und externe Meldung regelt.
Pflichten des Auftragsverarbeiters
Für Auftragsverarbeiter gilt nach Art. 33 Abs. 2 DSGVO eine besondere Pflicht: Sie müssen Datenpannen unverzüglich dem Verantwortlichen melden — ohne die 72-Stunden-Frist, die nur für den Verantwortlichen gegenüber der Aufsichtsbehörde gilt. Alle Datenpannen, auch solche, die nicht gemeldet werden müssen, sind intern zu dokumentieren.