Datenpanne melden: Wie, was, wann, wo?

Auch wer sensibel und verantwortungsvoll mit überlassenen Daten umgeht, ist nicht vor einer Datenpanne geschützt. Jedem kann es passieren, dass Daten verlorengehen oder gestohlen werden. Dann ist richtiges Handeln wichtig – auch im Hinblick auf ein eventuelles Bußgeld! Hier erfahren Sie, wie Sie mit einer Datenpanne richtig umgehen, an wen und wann sie gemeldet werden muss und wann überhaupt ein meldepflichtiger Verstoß vorliegt…

Was ist eine Datenpanne?

Damit Sie bei einer Datenpanne richtig reagieren können, müssen Sie erst einmal wissen, wann eine Datenpanne vorliegt. Gemäß Art. 4 DSGVO ist eine „Verletzung des Schutzes personenbezogener Daten“ eine

"Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden"

Einfach gesagt ist eine Datenpanne also ein Vorfall, bei dem personenbezogene Daten verlorengehen, unbefugt offengelegt oder zugänglich gemacht, verändert oder vernichtet werden und der ein Risiko für Betroffene darstellt. Hier einige Beispiele für eine Datenpanne:

Sie verlieren Ihr Smartphone, Ihren Laptop oder einen USB-Stick auf dem Kundendaten gespeichert sind
Sie werden Opfer eines Hackerangriffs und bei diesem werden Kundendaten erbeutet
Sie versenden eine wichtige E-Mail an Ihre Kundschaft und schreiben deren Mail-Adressen in „cc“ statt „bcc“, sodass alle Mail-Adressen für jede:n Empfänger:in sichtbar sind.

Welche Datenpannen müssen gemeldet werden und an wen?

Ein Hinweis vorab: Sie sollten jede Datenpanne dokumentieren, egal ob sie sich letztendlich als meldepflichtig herausstellt oder nicht. Zudem sollten Sie Ihre Überlegungen bezüglich einer Meldepflicht und Ihre Entscheidung ebenso dokumentieren, um diese später nachweisen zu können.

Gemäß DSGVO müssen Unternehmen Datenpannen an zwei „Stellen“ melden, und zwar

an die zuständige Datenschutzbehörde gemäß Art. 33 DSGVO, wenn die Datenpanne voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führt. Zuständig ist die gemäß Art. 55 DSGVO zuständige Aufsichtsbehörde des Bundeslandes, in dem Ihr Unternehmen seinen Sitz hat
Zusätzlich erfolgt eine Meldung an die betroffenen Personen gemäß Art. 34 DSGVO, wenn die Datenpanne voraussichtlich ein hohes Risiko für deren persönlichen Rechte und Freiheiten zur Folge hat.

Die DSGVO legt also ganz klar fest, wer den Verstoß melden muss und innerhalb welcher Frist diese Meldung erfolgen muss. Der Begriff der/des Verantwortlichen ist in Art. 4 Nr. 7 DSGVO eindeutig definiert. Es handelt sich dabei um „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Die Formulierungen der Datenschutzgrundverordnung zeigen zudem, dass bereits „normale“ Datenschutzverstöße an die zuständige Behörde gemeldet werden müssen. Für die Meldung an die Betroffenen muss jedoch ein „hohes“ Risiko bestehen. Die Meldepflicht an die Betroffenen entfällt gemäß Art. 34 Abs. 3, wenn

Sie geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen haben (zum Beispiel Verschlüsselung) oder
Sie nach dem Vorfall Maßnahmen getroffen haben, damit das hohe Risiko für die Betroffenen aller Wahrscheinlichkeit nach nicht mehr besteht oder
die Information der Betroffenen mit einem unverhältnismäßigen Aufwand verbunden wäre (weil es sich zum Beispiel um zu viele Betroffene handelt). Dann müssen Sie jedoch die betroffenen Personen anderweitig informieren, zum Beispiel durch öffentliche Bekanntmachung.

Die Einordnung, ob ein meldepflichtiger Verstoß vorliegt, oder nicht, ist nicht einfach. Daher sollten Sie auf jeden Fall den Rat einer Expertin oder eines Experten einholen, bevor Sie handeln. Für eine erste Einschätzung, ob ein „hohes“ Risiko für Betroffene besteht, hilft jedoch die Überlegung, welche Schäden die Betroffenen durch die Datenpanne erleiden könnte und welche Auswirkungen diese für sie haben könnten.

Wenn beispielsweise durch eine Sicherheitslücke Kundendaten unverschlüsselt im Netz landen, sind die Auswirkungen enorm, da jede:r die Daten abgreifen und sie weiterverwenden kann. Dann liegt in jedem Fall eine meldepflichtige Datenpanne – sowohl an die Datenschutzbehörde als auch an die Betroffenen – vor.

Wann muss eine Datenpanne gemeldet werden?

Für die Meldung an die Datenschutzbehörde gibt es eine klare zeitliche Vorgabe: Sie müssen diese innerhalb von 72 Stunden melden! Diese Frist bezieht sich übrigens auch auf Feiertage oder Wochenenden. Besteht nur ein geringes Verletzungsrisiko bezüglich der personenbezogenen Daten, ist dagegen keine Meldung bei der Aufsichtsbehörde erforderlich. So ein Szenario liegt zum Beispiel vor, wenn Ihnen ein Datenträger mit sensiblen Daten verlorengegangen ist, den Sie vorher aber sicher verschlüsselt haben.

Auch die Meldung an Betroffene muss „unverzüglich“ erfolgen. Das bedeutet, Sie müssen diese so schnell wie möglich „ohne schuldhafte Verzögerung“ informieren. Sobald Ihnen die Datenpanne bekannt ist und Sie erkannt haben, dass sie ein hohes Risiko für andere darstellt, müssen Sie die Betroffenen also informieren.

Eine schnelle Meldung ist dabei nicht nur im Sinne der Betroffenen, sondern auch in Ihrem eigenen Interesse, denn auf diese Weise halten Sie Bußgelder möglichst gering und können die Folgen Ihres Datenschutzverstoßes gemeinsam mit den Expertinnen und Experten der Aufsichtsbehörden schneller eindämmen. Sind Sie aus gewichtigen Gründen nicht fähig, die Meldefrist von 72 Stunden einzuhalten, legen Sie Ihrer Meldung unbedingt eine nachvollziehbare Begründung bei. Dies kann zum Beispiel der Fall sein, wenn Sie nach einer Datenpanne schnell Gegenmaßnahmen ergreifen mussten. Im Zweifelsfall kümmern Sie sich um eine Erstmeldung innerhalb der gesetzlich vorgegebenen Frist und reichen eine zweite Meldung nach, wenn Sie weitere Informationen zum Vorfall in Erfahrung bringen konnten.

Wie muss eine Datenpanne gemeldet werden?

Die DSGVO schreibt nicht vor, dass Sie eine Datenpanne schriftlich melden müssen. Das sollten Sie aber allein aus Beweisgründen tun! Beschreiben Sie den Verstoß möglichst detailliert. Gemäß Art. 33 DSGVO muss die Meldung an die Datenschutzbehörde folgende Angaben enthalten:

eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten (wurden Daten gestohlen oder sind sie verloren gegangen?)
die Kategorie der Betroffenen (um wen handelt es sich bei den Betroffenen? Zum Beispiel Kunden und Kundinnen, Mitarbeiter:innen, Geschäftspartner:innen)
die ungefähre Anzahl der Betroffenen
den Namen und die Kontaktdaten der/des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle
eine Beschreibung der wahrscheinlichen Folgen der Datenpanne
eine Beschreibung der von Ihnen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne und zur Abmilderung ihrer möglichen Auswirkungen.

Hinweis

Bei manchen Datenschutzbehörden können Sie eine Datenpanne über ein Online-Formular melden (Hier finden Sie das Formular für Bayern und für Baden-Württemberg).

Bei der Meldung an Betroffene gilt gemäß Art. 34 Abs. 2 DSGVO, dass sie in „klarer und einfacher Sprache“ erfolgen und die letzten drei oben genannten Angaben aus der Meldung an die Datenschutzbehörde enthalten muss (Datenschutzbeauftragte:r, Beschreibung der Folgen und der Maßnahmen).

Bei allen behördlichen Vorgaben sollten Sie auch nicht vergessen, den Datenschutzverstoß der/dem Datenschutzbeauftragten Ihres Unternehmens zu melden. Arbeiten Sie möglichst eng mit ihr/ihm zusammen, denn sie/er kann die Risiken der Datenpanne fundiert einschätzen und mit Ihnen gemeinsam sinnvolle nächste Schritte planen.

Tipp:

Hier finden Sie einen Reaktionsplan zur Bewältigung von Datenpannen und eine Muster-Vorlage zur Dokumentation von Datenschutzvorfällen.

Welche Konsequenzen hat ein DSGVO-Verstoß?

Eines muss Ihnen stets bewusst sein: Die Meldung eines Verstoßes gegen die Datenschutzgrundverordnung ist stets mit Konsequenzen verbunden. Dabei werden jedoch so viele verschiedene Faktoren berücksichtigt, dass diese nicht einheitlich ausfallen. Wichtige Umstände sind unter anderem:

Wurde bewusst oder fahrlässig gehandelt?
Welche Folgen hat der Verstoß?
Wie gut hat das Unternehmen mit den Behörden kooperiert?

Meist ergeben sich nach abschließender Bewertung des Sachverhalts Bußgelder im vier- bis fünfstelligen Bereich. Andere Folgen lassen sich weniger präzise beziffern – etwa der Vertrauensverlust Ihrer Kundschaft. Streben Sie daher eine transparente Kommunikation und eine enge Zusammenarbeit mit den Behörden an.

Was passiert, wenn eine Datenpanne nicht gemeldet wird?

Wer eine Datenpanne nicht oder verspätet meldet, riskiert ein Bußgeld beziehungsweise ein höheres Bußgeld für das Datenschutzvergehen. Gemäß Art. 83 Nr. 4 DSGVO sind Bußgelder bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Vorjahresumsatzes möglich. Bei Festlegung der Bußgeldhöhe beziehen die Behörden das Verhalten und die Kooperationsbereitschaft eines Unternehmens mit ein. Dazu gehört auch, wie transparent das Unternehmen mit dem Verstoß umgeht und inwieweit es seinen Melde- und Informationspflichten nachgekommen ist.

Ein gutes Beispiel dafür ist der Fall Knuddels.de. Das Soziale Netzwerk aus Karlsruhe musste ein Bußgeld von 20.000 Euro zahlen, weil es die Daten seiner Nutzer:innen nicht ausreichend gesichert hatte. In einer Pressemitteilung teilte die zuständige Datenschutzbehörde in Baden-Württemberg mit, dass das Bußgeld nur nicht höher ausfiel, weil Knuddels sehr gut mit der Datenschutzbehörde kooperierte, transparent mit dem Verstoß umging und seiner Meldepflicht nachkam.

Zusätzlich droht Ihrem Unternehmen nach Art. 82 auch ein Anspruch auf Schadenersatz, wenn Sie die Meldung bei der Aufsichtsbehörde unterlassen.

Tipp:

Weitere Fälle, in denen Bußgelder wegen DSGVO-Verstößen verhängt wurden, können Sie in unserem DSGVO-Faktencheck nachlesen.

DSGVO-Verstöße von Anfang an vermeiden

Setzen Sie von Beginn an auf einen regelkonformen Umgang mit Daten. Am besten schaffen Sie in Ihrem Unternehmen kontinuierlich Wissen und Verständnis für das Thema Datensicherheit – von der Führungsebene bis zur/zum einzelnen Mitarbeiter:in. Das gelingt beispielsweise durch das Festlegen klarer Abläufe und durch regelmäßige Schulungen. Dabei hilft Ihnen ein:e qualifizierte:r Datenschutzbeauftragte:r. Sie/er unterstützt Sie bei der regelkonformen Speicherung und Verarbeitung personenbezogener Daten und steht Ihnen in allen Fragen rund um die DSGVO zur Seite.

Neue Berechnungsformel für DSGVO-Bußgelder zum selber rechnen:

DSGVO-Verstoß: Berufshaftpflicht schützt bei Abmahnungen

Die Höhe eines Bußgeldes können Sie also selbst positiv mit Ihrem Verhalten bei einer Datenpanne beeinflussen. Leider sind es nicht nur Bußgelder, die beim Thema DSGVO ein Loch in die Unternehmenskasse reißen können, sondern auch Abmahnungen. Denn solange sich Gerichte darüber uneinig sind, ob DSGVO-Verstöße abmahnbar sind oder nicht und bis diesbezüglich Rechtssicherheit besteht, werden weiterhin (Pseudo-)Wettbewerber und Abmahnanwälte ihr Unwesen treiben.

Bei Abmahnungen wegen eines DSGVO-Verstoßes sind Sie mit der Berufshaftpflicht über exali.de auf der sicheren Seite. Denn dann prüft der Versicherer auf eigene Kosten, ob die Forderung berechtigt ist und bezahlt im Ernstfall die Schadenersatzsumme. Das Gleiche gilt für den Fall, dass auf Grund Ihres Versäumnisses ein anderer ein Bußgeld erhält (beispielsweise Ihr Kunde). Dann bezahlt der Versicherer das Bußgeld in Form von Schadenersatz an Ihren Kunden oder Ihre Kundin zurück.

Hinweis

Straf- und Bußgelder, die ein Gericht oder eine Datenschutzbehörde wegen einer Datenrechtsverletzung gegen Sie verhängt, sind im Rahmen Ihrer Berufshaftpflicht versichert (sofern dies nach geltendem Recht möglich ist).