Datenpanne entdeckt. Was sind da schon 72 Stunden?


Datenpannen passieren. Jeden Tag. Was aber muss passieren, wenn Sie eine solche entdecken? Tip 1: Ruhe bewahren. Tipp 2: Tief durchatmen. Tipp 3: Nicht in Panik verfallen. Tipp 4: Möglichst SOFORT reagieren, Ihren Anwalt informieren, Ihren Datenschutzbeauftragten zu einem 4-Augen-Gespräch bitten. Handelt es sich, nach eingehender Sachverhaltsprüfung, tatsächlich um eine Datenpanne, bleiben Ihnen "nur" 72 Stunden Zeit, bis Ihre Meldung bei der Aufsichtsbehörde eingetroffen sein muss. Jetzt das Aber: Keine Regel ohne Ausnahme. Mehr dazu erfahren Sie im Laufe dieses Berichts.



Rechtmäßigkeit der 72-Stunden-Frist

Zunächst kommt der einfachste Schritt im Falle einer Datenpanne, die Rechtmäßigkeit, wie sie im Art. 33 DSGVO Abs. 1 festgeschrieben ist:


Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Sie merken: Reagieren müssen Sie in jedem Fall.


Nur: Wann liegt eigentlich eine Verletzung des Schutzes personenbezogener Daten vor? Man könnte die Meinung vertreten, es handele sich um jede Verletzung der Datenpflichten. Ist es aber nicht. Schauen wir uns das einmal etwas genauer an. Beispielsweise steht in der englischen Fassung der DSGVO: "In the case of a personal data breach, the controller shall ..." Übersetzt man das Wort "breach" in umgangssprachlich, spricht es "eher" für eine Verletzung der Datensicherheit! Darunter versteht man z. B. einen Einbruch oder einen unberechtigten Datenklau und Zugang zu personenbezogenen Daten.

Ein Blick in Art. 4 Nr. 12 DSGVO bringt Licht ins Dunkle.


Eine Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Dies belegt, dass es nicht um einen Verstoß gegen das DatenschutzRECHT geht, sondern tatsächlich um eine Verletzung der DatenSICHERHEIT. Dem Datenschutzbeauftragten obliegt die Verpflichtung, im Sinne der Datensicherheit zu handeln. Was bedeutet, im Sinne der Integrität, Vertraulichkeit und Verfügbarkeit personenbezogener Daten.


Hierbei kommt immer auch eine vorherige Risikobewertung ins Spiel. Führt diese Bewertung nun zum Ergebnis, es läge gar kein Risiko vor, kann auch die Meldung einer vermeintlichen Datenschutzpanne entfallen. Näher beschrieben wird diese Tatsache im sogenannten Erwägungsgrund 85 DSGVO.


Danach kann eine Verletzung des Schutzes personenbezogener Daten, soweit nicht rechtzeitig und angemessen reagiert wird,


einen physischen, materiellen oder immatriellen Schaden für natürliche Personen nach sicht ziehen, etwa der Verlust der Kontrolle über ihre personenbezogenen Daten oder die EEinschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit vom Berufsgeheimnis unterliegenden Daten oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen für die betroffene Person führen.

Im Umkehrschluss bedeutet das: "Je höher das Risiko ist, umso geringer muss die Wahrscheinlichkeit sein, um eine Meldepflicht auszulösen!"


Sie Sie als Verantwortlicher oder Datenschutzbeauftragter unsicher, empfiehlt sich in jedem Fall "... in dubio pro Meldung!"


Wann gebinnt eigentlich die 72-Stunden-Frist?

Zunächst einmal unmittelbar nach Kenntnisnahme einer voraussichtlichen Datenpanne. Geht man nach der europäischen Fristen-Verordnung, beginnt der Fristlauf erst nach der nächsten vollen Stunde. Beispiel: Ist Ihnen eine Datenschutzpanne um 14.03 Uhr gemeldet worden, beginnen die 72 Stunden er ab 15:00 Uhr! Sie hätten u. U. wichtige Minuten gewonnen.


Zum Schluss kläre ich noch die Frage, wie der Inhalt Ihrer Meldung aussehen MUSS. (siehe Art. 33 Abs. 3 DSGVO):


  • Angabe der Datenkategorien

  • Ungefähre Zahl der betroffenen Personen

  • Betroffene Kategorien

  • Ungefähre Zahl der betroffenen Datensätze

  • Name und Kontaktdaten des Datenschutzbeauftragten

  • Sonstige Stelle für weiterführende Informationen

  • Beschreibung der wahrscheinlichen Folgen der Verletzung

  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung

  • Gegebenenfalls Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen


Ergänzende Hinweise:

  • Der Verantwortliche kann die Informationen schrittweise zur Verfügung stellen

  • Die Verletzung ist detailliert zu dokumentieren, einschließlich aller mit der Verletzung einhergehenden Fakten

  • Diese Dokuentation ist auf Nachfrage der Aufsichtsbehörde zur Überprüfung vorzulegen.


Ergibt sich neben der Meldepflich auch die Betroffenenpflicht, ihn über die Verletzung seiner personenbezogenen Daten zu informieren. muss diese in klarer und einfacher Sprache abgefasst werden. Unbedingt beachten: Eine Betroffenenmeldung sollte zuvor mit der Aufsichtsbehörde abgesprochen werden!


Fallbeschreibung Meldepflicht Aufsichtsbehörde Informationspflicht an Betroffene

Gestohlener Nein Nein

USB-Stick mit wirk-

sam verschlüsselten

Daten


Datenzugriff Cyber- Ja Ja, abhängig von Art der Daten

Attacke


Mehrminütiger Strom- Nein Nein

ausfall ohne Zugriff

auf Daten


Ransomeware Ja, in der Regel Ja, in der Regel

Attacke, die Kunden-

daten verschlüsselt

(Erpressungstrojaner)


Kontoauszug an Ja Ja, wenn häufig passiert

falschen Kunden

verschickt


Hacker erbeuten Ja Ja

Nutzernamen, Pass-

wörter und Kaufhistorie

eines Onlineshops


Werbemail mit Ja, bei großer Empfängerzahl Ja, außer bei wenigen

offenem Mailverteiler oder sensiblem Inhalt Betroffenen ohne sensiblem

Inhalt



Mein Motto: Datenschutz lernen, verstehen und anwenden!
















2 Ansichten

Fuggerstraße 6

89250 Senden

Montag - Freitag:

09.00 - 13.00 Uhr

14.00 - 18.00 Uhr

0 73 07 . 93 60 40 7

0 73 07 . 93 60 40 8

Notfall: 0176 . 71 14 84 36

Copyright 2020 Contana Datenschutzservice e. K.

Diese Website stellt keine Rechtsberatung gemäß Rechtsdienstleistungsgesetz (RDG) dar, die ausnahmslos Rechtsanwätinnen bzw. Rechtsanwälten vorbehalten ist und ausgeübt werden dürfen. Die Inhalte der Website dienen vielmehr der unverbindlichen Information.

Wir übernehmen deshalb keine Gewähr auf Richtigkeit und Vollständigkeit.