Was ist eine Datenschutzverletzung und welche Folgen hat sie?
Als Datenpanne („data breach“) kann ein Vorfall verstanden werden, durch den Unbefugten der Zugriff auf Daten möglich wird (z.B. Verlust eines Datenträgers, Hackerangriff etc.). Dadurch kann den betroffenen Personen ein physischer, materieller oder immaterieller Schaden entstehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten, Identitätsdiebstahl oder Betrug, finanzielle Verluste, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.
Daher sieht die DSGVO für den Fall einer solchen Verletzung des Schutzes personenbezogener Daten folgende Melde- und Benachrichtigungspflichten vor:
- Meldung an die zuständige Aufsichtsbehörde, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt sowie
- Benachrichtigung der betroffenen Person, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.
Wird dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt, so muss er diese unverzüglich dem Verantwortlichen melden.
Meldung an die Aufsichtsbehörde bei Datenschutzverletzung
Eine Verletzung des Schutzes von personenbezogenen Daten (z.B.: Hack oder unrecht-mäßige Veröffentlichung von Kundendaten, …) muss ggfs., nachdem diese dem Verantwortlichen bekannt wurde, vom Verantwortlichen unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Eine Information an die betroffene Person ist mitunter ebenfalls erforderlich. Erfolgt die Meldung erst nach Ablauf von 72 Stunden, so ist diese Verzögerung zu begründen.
Ein Auftragsverarbeiter hat eine Verletzung unverzüglich dem Verantwortlichen zu melden.
Die Meldung hat zumindest folgende Informationen zu enthalten:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
- Wenn möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der personenbezogenen Datensätze,
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten,
- eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Der Verantwortliche muss alle Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit im Zusammenhang stehenden Fakten (Auswirkungen, ergriffene Abhilfemaßnahmen) dokumentieren. Diese Dokumentation dient der Aufsichtsbehörde zur Überprüfung der korrekten Einhaltung der Meldepflicht.
Benachrichtigung der betroffenen Person
Die betroffene Person ist im Falle eines voraussichtlich hohen Risikos unverzüglich von der Datenschutzverletzung zu benachrichtigen. Diese Benachrichtigung muss zumindest die o.g. Informationen für die Meldung an die Aufsichtsbehörde enthalten.
Eine Benachrichtigung der betroffenen Person ist nicht erforderlich, wenn
- auf die von der Verletzung betroffenen personenbezogenen Daten geeignete technische und organisatorische Sicherheitsvorkehrungen angewandt wurden (insbesondere wenn dadurch unbefugte Personen keinen Zugang zu diesen Daten haben, etwa durch Verschlüsselung),
- der Verantwortliche durch nachträgliche Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Person aller Wahrscheinlichkeit nach nicht mehr besteht, oder
- die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall muss jedoch eine öffentliche Bekanntmachung erfolgen, oder eine ähnliche Maßnahme ergriffen werden, damit die betroffenen Personen vergleichbar wirksam informiert werden.
Sanktionen bei eine Datenschutzverletzung
Mit Inbetriebsetzung der DSGVO werden die Vorschriften zu Datenpannen (data breach) deutlich verschärft. Jede Datenschutzverletzung gilt dann als Datenpanne; eine Beschränkung auf bestimmte Datenkategorien gibt es nicht mehr.
Für Unternehmen gibt es mit der DSGVO für Datenschutzverletzungen auch verschärft Melde- und Benachrichtigungspflichten und deutlich höhere Sanktionen. Es drohen Geldbußen von bis zu EUR 10 Mio. oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.
- Relevante Artikel der DSGVO: Art 33, Art 34
- Relevante Erwägungsgründe: 85 – 88
- Relevanter Paragraph der BDSG-neu: § 29