Wie die DSGVO den Umgang mit Datenpannen neu regelt

Wer eine Datenschutzverletzung beichtet, muss in den sauren Apfel beißen. Schließlich weiß jeder um die Folgen – im schlimmsten Fall sogar arbeitsrechtliche. Darum schweigen manche lieber. Doch dabei ist Vorsicht geboten: Denn seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Demzufolge kann das Verschweigen von Datenpannen noch größere Probleme nach sich ziehen.

Beispiel-Szenario: ein verschwundener Laptop

Ein Laptop samt Kundendaten ist verschwunden. Vielleicht wurde er vor ein paar Tagen einfach im Zug liegengelassen. Das Gerät selbst ist fünf Jahre alt und wurde nur hin und wieder benutzt – wirklich vermissen wird es also niemand. Die Kundendaten im EDV-System sind natürlich noch vorhanden, wer sollte da misstrauisch werden … Also lieber Stillschweigen bewahren? Seit Mai 2018 kann diese Taktik übel enden.

Unternehmen in der Meldepflicht

Schon vor Inkrafttreten der DSGVO waren Unternehmen dazu verpflichtet, bestimmte Datenpannen an die Datenschutzaufsicht zu melden. Ausgangspunkt dabei: unbefugt übermittelte Daten. Vereinfacht gesagt bedeutet das, dass die Daten zu Unrecht in die Hände von Außenstehenden gelangt sind – was aber nicht ausreichte, um eine Meldepflicht entstehen zu lassen. Vielmehr musste noch hinzukommen, dass „schwerwiegende Beeinträchtigungen“ für die Rechte der Personen drohen, um deren Daten es geht.

Bis dato oft keine Meldepflicht

Diese Einschränkung führte bisher dazu, dass im Endeffekt häufig keine Meldepflicht besteht. Analog zum oben genannten Beispiel: Ein Laptop geht verloren, die Daten darauf sind jedoch nach dem Stand der Technik verschlüsselt. Dann kann davon ausgegangen werden, dass keine schwerwiegenden Beeinträchtigungen drohen. Die Folge: keine Meldepflicht.

DSGVO für neue Meldepflicht-Regelungen

Die Regelungen zur Meldepflicht, die sich aus der Datenschutz-Grundverordnung ergeben, wenden das Blatt. Sie kennen o.g. Einschränkungen nicht. Vielmehr muss ein Unternehmen fortan jede „Verletzung des Schutzes personenbezogener Daten“ der Datenschutzaufsicht melden.

Diese Meldepflicht ist in keiner Weise eingeschränkt. Das bedeutet: Der Verlust eines Laptops mit personenbezogenen Daten muss auch dann gemeldet werden, wenn wahrscheinlich alles ausreichend verschlüsselt war.

Brisant: Meldefrist von 72 Stunden

Wer an die Datenschutzaufsicht meldet, hat eine Frist von 72 Stunden zu beachten. Wird sie grundlos überschritten, droht dem Unternehmen bereits ein Bußgeld. Ausreden à la „Unser Mitarbeiter hat uns die Panne intern verschwiegen“ zählen dabei nicht. Die Antwort der Aufsichtsbehörde könnte nämlich lauten: „Dann bringen Sie Ihren Mitarbeitern doch bei, Datenpannen umgehend zu melden.“

Meldungen per Online-Formular

In der Praxis wird es darauf hinauslaufen, dass eine Meldung an die Datenschutzaufsicht in der Zukunft häufiger notwendig ist. Die ersten Aufsichtsbehörden, etwa das Bayerische Landesamt für Datenschutzaufsicht, stellen dafür bereits Online-Formulare zur Verfügung.

Benachrichtigung der Betroffenen als Ausnahme

Ob den Betroffenen, um deren Daten es geht, „etwas passieren“ kann, spielt im Zusammenhang mit der Meldepflicht keine Rolle. Dieser Aspekt wird erst dann wichtig, wenn es um die Benachrichtigung der Betroffenen geht. Sie ist gesondert geregelt in Art. 34 der DSGVO: Die Betroffenen müssen demnach nur dann benachrichtigt werden, wenn ihnen „voraussichtlich ein hohes Risiko droht“.

Das Beispiel des verschlüsselten Laptops zeigt wieder, was das in der Praxis heißt: Sind die Daten auf dem Laptop nach dem Stand der Technik verschlüsselt, droht kein hohes Risiko, wenn er Unbefugten in die Hände gerät. Die Folge: Die Betroffenen müssen nicht benachrichtigt werden.

Die neuen Spielregeln auf einen Blick

Die neuen Spielregeln gelten seit dem 25. Mai 2018 und lassen sich wie folgt zusammenfassen:

  • Jeder Mitarbeiter, dem eine Datenpanne unterläuft, muss schnellstmöglich seine Vorgesetzten informieren.
  • Nur so lässt sich vermeiden, dass dem Unternehmen ein Bußgeldverfahren droht.
  • Für die Meldung ist eine Frist von 72 Stunden zu beachten. Sie lässt sich nur einhalten, wenn jeder Mitarbeiter Datenpannen sofort intern meldet.
  • Eine Meldung an die Datenschutzaufsicht hat für sich allein noch keine negativen Konsequenzen. Es kann aber natürlich vorkommen, dass die Datenschutzaufsicht genauer nachforscht.
  • Eine Meldung an die Datenschutzaufsicht führt nicht automatisch dazu, dass die Betroffenen über die Datenpanne benachrichtigt werden. Eine solche Benachrichtigung der Betroffenen ist an relativ strikte Voraussetzungen geknüpft.
Nach oben scrollen

Melden Sie sich für unseren Newsletter an.

Der Newsletter kann nicht von Privatpersonen bestellt werden, da wir nur im B2B Bereich tätig sind.

[cleverreach form=343453]