Datenpanne: Was muss bis wann, wo und wie gemeldet werden?

Die Statistiken der Landes-Datenschutzbehörden in Deutschland weisen kontinuierlich steigende Zahlen auf, was die Meldung von Datenpannen angeht. Über 80 Prozent der gemeldeten Pannen gehen auf Angriffe der Netzwerke von extern zurück.

Die verbleibenden knapp 20 Prozent der gemeldeten Pannen gehen von Mitarbeitern aus. Hier spielt das Homeoffice eine entscheidende Rolle. Denn bekanntermaßen ist konsequenter Datenschutz am Firmensitz deutlich einfacher sicherzustellen, als in unzähligen Homeoffices, in denen die Mitarbeiter fast ausschließlich auf eigene Internetverbindungen angewiesen sind. Kommt es zur Datenpanne, sollte das betroffene Unternehmen schnell und besonnen reagieren.

Die Zahl ist alarmierend: Allein in Deutschland sind Unternehmen durch Cyberangriffe in diesem Jahr Schäden entstanden, die die 200-Milliarden-Euro-Grenze überschreiten. Viele dieser Angriffe gingen auch mit Datenpannen im Sinne der DSGVO einher. Die Hacker haben es in vielen Fällen nicht nur darauf abgesehen, die Firmen-IT des „Opfer-Unternehmens“ anzugreifen oder lahmzulegen. Oft werden auch sensible, personenbezogene Daten gestohlen, was die Unternehmen meist erst in der Folge teuer zu stehen kommt. Denn wenn beispielsweise Kundendaten in die falschen Hände geraten, führt das zu Vertrauens- und Imageverlust bei den betroffenen Kunden, die sich eine weitere Bindung an das Unternehmen in der Regel gründlich überlegen.

Datenpanne melden: Das ist zu beachten

DSGVO-relevante Datenpannen sind Vorfälle, bei denen personenbezogene Daten öffentlich gemacht werden oder in falsche Hände gelangen. Die Definition einer Datenpanne findet sich in Art. 4 DSGVO, dort heißt es, dass eine Datenpanne vorliegt, wenn es zu einer „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ kommt.

Kommen beispielsweise Kundendaten über einen leichtfertigen E-Mail-Versand in die Hände unbefugter Empfänger, sollte sofort reagiert werden. Ganz wichtig ist eine sofortige Dokumentation der Datenpanne, unabhängig davon, ob sie sich später als meldepflichtig herausstellt oder nicht. Nach der Dokumentation erfolgt dann die Meldung, die ebenfalls in der DSGVO in Art. 33 definiert ist, wenn die Datenpanne ein Risiko „für die Rechte und Freiheiten“ der betroffenen Personen darstellt. Dabei sollte im Zweifel der Begriff des Risikos eher weiter als zu eng ausgelegt werden. Zu melden ist an die oberste Datenschutzbehörde des Bundeslandes, in dem das Unternehmen seinen Sitz hat. In der Regel halten die Behörden auf Ihren Webseiten entsprechende Meldeformulare vor.

Allerdings ist mit der Meldung an die Behörde erst eine von zwei Meldepflichten erfüllt. Zusätzlich müssen nämlich auch die Betroffenen selbst gemäß DSGVO Art. 34 darüber informiert werden, dass die Datenpanne ein Risiko für deren persönliche Rechte und Freiheiten darstellt.

Meldung von Datenpannen: Fristen unbedingt einhalten

Kommt es zur Datenpanne, muss die oben beschriebene Meldung an die zuständige Behörde binnen 72 Stunden erfolgen, berechnet vom tatsächlichen Vorfall, also beispielsweise der fälschlich versendeten E-Mail mit Kundendaten. Wird diese Frist nicht eingehalten, kann dies zu hohen Bußgeldern führen, ganz unabhängig von der Schwere und Relevanz der Datenpanne. Etwas großzügiger definiert die DSGVO die Meldepflicht gegenüber den Betroffenen. Hier muss die Information der Betroffenen „unverzüglich“ und „ohne schuldhaftes Zögern“ erfolgen, sonst droht ebenfalls ein Bußgeld.

Apropos Bußgeld: Eine Datenpanne zu verschweigen, ist in keiner Hinsicht eine gute Idee. Denn bekannt werden die meisten Datenpannen spätestens dann, wenn die Betroffenen Wind davon bekommen, dass ihre personenbezogenen Daten offenbar in die falschen Hände geraten sind. Wie einige bereits gefällte Urteile beweisen, verstehen die Datenschutzbehörden mit Meldungsverschleppung keinen Spaß. Bußgelder bis 20 Millionen Euro sind im Extremfall möglich, oder eine Summe, die vier Prozent des weltweiten Jahresumsatzes des Unternehmens entspricht. Schon die Datenpanne selbst ist imageschädigend genug. Kommt zusätzlich noch ans Licht, dass das Unternehmen die Panne verschleiern wollte, steigt der Imageschaden ins Unermessliche.