Wie die DSGVO den Umgang mit Datenpannen neu regelt

Wie die DSGVO den Umgang mit Datenpannen neu regelt

Wer eine Datenschutzverletzung beichtet, muss in den sauren Apfel beißen. Schließlich weiß jeder um die Folgen – im schlimmsten Fall sogar arbeitsrechtliche. Darum schweigen manche lieber. Doch dabei ist Vorsicht geboten: Denn seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Demzufolge kann das Verschweigen von Datenpannen noch größere Probleme nach sich ziehen.

Beispiel-Szenario: ein verschwundener Laptop

Ein Laptop samt Kundendaten ist verschwunden. Vielleicht wurde er vor ein paar Tagen einfach im Zug liegengelassen. Das Gerät selbst ist fünf Jahre alt und wurde nur hin und wieder benutzt – wirklich vermissen wird es also niemand. Die Kundendaten im EDV-System sind natürlich noch vorhanden, wer sollte da misstrauisch werden … Also lieber Stillschweigen bewahren? Seit Mai 2018 kann diese Taktik übel enden.

Unternehmen in der Meldepflicht

Schon vor Inkrafttreten der DSGVO waren Unternehmen dazu verpflichtet, bestimmte Datenpannen an die Datenschutzaufsicht zu melden. Ausgangspunkt dabei: unbefugt übermittelte Daten. Vereinfacht gesagt bedeutet das, dass die Daten zu Unrecht in die Hände von Außenstehenden gelangt sind – was aber nicht ausreichte, um eine Meldepflicht entstehen zu lassen. Vielmehr musste noch hinzukommen, dass „schwerwiegende Beeinträchtigungen“ für die Rechte der Personen drohen, um deren Daten es geht.

Bis dato oft keine Meldepflicht

Diese Einschränkung führte bisher dazu, dass im Endeffekt häufig keine Meldepflicht besteht. Analog zum oben genannten Beispiel: Ein Laptop geht verloren, die Daten darauf sind jedoch nach dem Stand der Technik verschlüsselt. Dann kann davon ausgegangen werden, dass keine schwerwiegenden Beeinträchtigungen drohen. Die Folge: keine Meldepflicht.

DSGVO für neue Meldepflicht-Regelungen

Die Regelungen zur Meldepflicht, die sich aus der Datenschutz-Grundverordnung ergeben, wenden das Blatt. Sie kennen o.g. Einschränkungen nicht. Vielmehr muss ein Unternehmen fortan jede „Verletzung des Schutzes personenbezogener Daten“ der Datenschutzaufsicht melden.

Diese Meldepflicht ist in keiner Weise eingeschränkt. Das bedeutet: Der Verlust eines Laptops mit personenbezogenen Daten muss auch dann gemeldet werden, wenn wahrscheinlich alles ausreichend verschlüsselt war.

Brisant: Meldefrist von 72 Stunden

Wer an die Datenschutzaufsicht meldet, hat eine Frist von 72 Stunden zu beachten. Wird sie grundlos überschritten, droht dem Unternehmen bereits ein Bußgeld. Ausreden à la „Unser Mitarbeiter hat uns die Panne intern verschwiegen“ zählen dabei nicht. Die Antwort der Aufsichtsbehörde könnte nämlich lauten: „Dann bringen Sie Ihren Mitarbeitern doch bei, Datenpannen umgehend zu melden.“

Meldungen per Online-Formular

In der Praxis wird es darauf hinauslaufen, dass eine Meldung an die Datenschutzaufsicht in der Zukunft häufiger notwendig ist. Die ersten Aufsichtsbehörden, etwa das Bayerische Landesamt für Datenschutzaufsicht, stellen dafür bereits Online-Formulare zur Verfügung.

Benachrichtigung der Betroffenen als Ausnahme

Ob den Betroffenen, um deren Daten es geht, „etwas passieren“ kann, spielt im Zusammenhang mit der Meldepflicht keine Rolle. Dieser Aspekt wird erst dann wichtig, wenn es um die Benachrichtigung der Betroffenen geht. Sie ist gesondert geregelt in Art. 34 der DSGVO: Die Betroffenen müssen demnach nur dann benachrichtigt werden, wenn ihnen „voraussichtlich ein hohes Risiko droht“.

Das Beispiel des verschlüsselten Laptops zeigt wieder, was das in der Praxis heißt: Sind die Daten auf dem Laptop nach dem Stand der Technik verschlüsselt, droht kein hohes Risiko, wenn er Unbefugten in die Hände gerät. Die Folge: Die Betroffenen müssen nicht benachrichtigt werden.

Die neuen Spielregeln auf einen Blick

Die neuen Spielregeln gelten seit dem 25. Mai 2018 und lassen sich wie folgt zusammenfassen:

  • Jeder Mitarbeiter, dem eine Datenpanne unterläuft, muss schnellstmöglich seine Vorgesetzten informieren.
  • Nur so lässt sich vermeiden, dass dem Unternehmen ein Bußgeldverfahren droht.
  • Für die Meldung ist eine Frist von 72 Stunden zu beachten. Sie lässt sich nur einhalten, wenn jeder Mitarbeiter Datenpannen sofort intern meldet.
  • Eine Meldung an die Datenschutzaufsicht hat für sich allein noch keine negativen Konsequenzen. Es kann aber natürlich vorkommen, dass die Datenschutzaufsicht genauer nachforscht.
  • Eine Meldung an die Datenschutzaufsicht führt nicht automatisch dazu, dass die Betroffenen über die Datenpanne benachrichtigt werden. Eine solche Benachrichtigung der Betroffenen ist an relativ strikte Voraussetzungen geknüpft.
laptop, office, hand-3196481.jpg

Geschäftspartner als Datenrisiko

Die Zusammenarbeit mit Lieferanten und weiteren Geschäftspartnern ist oftmals lange, vertrauensvoll und erfolgsversprechend. Genau diese Umstände nutzen nun Cyberkriminelle aus und nutzen die Partner als Angriffsfläche. Angriffe über die Lieferkette sind dabei besonders riskant. Vertrauen ist unbezahlbar Marktforscher wie das Analystenhaus IDC betonen die Wichtigkeit des Vertrauens in Zeiten der Digitalen Transformation – heute mehr

Weiterlesen »
call center, customer service, business solutions-7040784.jpg

Was Sie bei Direktwerbung beachten sollten

In vielen Unternehmen gibt es klare Richtlinien für persönlich adressierte Werbekontakte, also für Direktwerbung. Hier erfahren Sie, warum Sie diese Vorgaben genau beachten müssen und warum Werbung per Telefon besonders tückisch sein kann. Der Begriff „Werbung“ greift weit Was ist eigentlich Werbung? Im alltäglichen Sprachgebrauch verstehen wir darunter Angebote von Waren oder Dienstleistungen. Direktes Ziel

Weiterlesen »
hacker, hacking, cyber security-1944688.jpg

Online-Erpressung, und jetzt? So verhalten Sie sich korrekt

Immer häufiger drohen Internetkriminelle Unternehmen mit gezielten Attacken, die wichtige IT-Systeme lahmlegen könnten. Sicherheitsbehörden warnen davor, den Online-Erpressern nachzugeben und Lösegeld zu bezahlen. Doch wie sollte man sich stattdessen verhalten? Cyber-Straftaten so verbreitet wie nie zuvor Wie das Bundeskriminalamt (BKA) im neuen Bundeslagebild Cybercrime mitteilt, hat die Anzahl erfasster Cyber-Straftaten im Jahr 2021 einen neuen

Weiterlesen »
fake, fake news, media-1903774.jpg

Datenrisiko im Duo: Misinformation und Desinformation

Ob schlecht recherchierte oder absichtlich fehlerhaft dargestellte Inhalte: Das World Wide Web ist reich an Falschinformationen. Dieser Umstand ist nicht nur ärgerlich, sondern auch ein echtes Datenrisiko – für die EU-Agentur für Cybersicherheit ENISA sogar eines der gravierendsten. Unglaublich! Aber auch wahr? Gerade das Internet ist der Ort, an dem sich zahlreiche „Sensationsmeldungen“ tummeln. Sie

Weiterlesen »
phone, display, apps-292994.jpg

Datenschutz bei Smartphone-Apps

Während der Corona-Pandemie haben mobile Geräte und Anwendungen noch weiter an Bekanntheit und Beliebtheit gewonnen. Die Zahl der installierten Smartphone- und Tablet-Apps steigt und steigt. Doch wie ist es bestellt um den Datenschutz bei den mobilen Anwendungen? Die Antwort ist nicht immer einfach. Eine App für jedes Thema Soziale Netzwerke, Online-Banking, Handyspiele, Lernplattformen, Büroanwendungen, Antivirenprogramme

Weiterlesen »
online banking, online, bank-3559760.jpg

Gilt das Auskunftsrecht auch bei Kontoauszügen?

Das wohl wichtigste Recht in der Datenschutz-Grundverordnung (DSGVO) ist das Recht auf Auskunft. Doch auch dieses Recht hat Grenzen. Gutes Beispiel: Kontoauszüge. Das Auskunftsrecht als oberes Gut Bekanntlich hat eine Person ein Recht auf Auskunft über alle Daten, die sie betreffen. Es ist klar, wie wichtig dieses Recht ist. Nur wenn jemand weiß, ob etwa

Weiterlesen »
Scroll to Top

Melden Sie sich für unseren Newsletter an.

Der Newsletter kann nur von Unternehmen bestellt werden, da wir nur im B2B Bereich tätig sind.

Für Newsletter registrieren