DSZ GmbH - datenschutzzentrale

Datenschutzpanne

Bei einer Datenschutzpanne erhalten nicht Berechtigte Zugriff auf Daten. Durch diesen Zugriff werden Betriebsgeheimnisse und/ oder personenbezogene Daten Unberechtigten bekannt. Im weiteren Sinne umfasst eine Datenpanne auch das unerwünschte Löschen von Daten.

Daten können dabei auch physisch abhanden kommen, z.B. durch den Verlust von Datenträgern oder auch Papierakten oder auch die falsche Entsorgung.

Solche Pannen haben oft negative Folgen für Unternehmen und natürlich auch bei den Betroffenen, wenn es um personenbezogene Daten geht. Es drohen wirtschaftliche Nachteile und Imageschäden für Unternehmen, den Betroffenen können durch Datenschutzverletzungen finanzielle und persönliche Schäden entstehen, z.B. durch Identitätsdiebstahl.

Wann liegt eine Datenpanne vor?

Bei den Datenpannen wird es sicherlich eine hohe Dunkelziffer geben, da es kleine und auch große Lecks gibt, deren Zahl man nicht genau schätzen kann. Zumal die Firmen auch nicht verpflichtet sind, bei jedem Datenleck eine Meldung bei der Aufsichtsbehörde einzureichen, sondern nur, wenn es für die Betroffenen mit Risiken verbunden ist.

Eine Verletzung personenbezogener Daten liegt nach Artikel 4 Nr. 12 DSGVO vor, wenn diese Daten verlorengegangen sind bzw. vernichtet, verändert oder unbefugt offengelegt wurden. Seit Wirksamwerden der DSGVO besteht eine umfassendere Meldepflicht bei Datenpannen als früher nach dem Bundesdatenschutzgesetz. Die Artikel 33 und 34 regeln diese Meldepflicht. Nun ist jede Datenpanne, die voraussichtlich zu einem Risiko für den Betroffenen führt, innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden. Darüber hinaus müssen im Falle eines hohen Risikos für die persönlichen Rechte und Freiheiten von Betroffenen einer Datenschutzverletzung auch diese Personen benachrichtigt werden. Das ist nur unter den Bedingungen des Artikels 34 Absatz 3 DSGVO nicht zwingend nötig. Wenn Sie als Datenverarbeiter fungieren, so unterliegen Sie im Übrigen der Dokumentationspflicht für den Vorfall.

Meldung von Datenpannen

Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem die Firma oder der Verein seinen Sitz hat. Die Meldung an die Behörden muss binnen 72 Stunden erfolgen, zudem müssen die Betroffenen unverzüglich informiert werden. Die DSGVO schreibt für die Benachrichtigung keine bestimmte Form vor, wir empfehlen dies aber aus Beweisgründen und im Zuge der Dokumentationspflicht. Mittlerweile kann man die Meldung einer Datenschutzverletzung auch online durchführen. Hier gibt es vom Bayrischen Landesamt für Datenschutzaufsicht folgenden Link: https://www.lda.bayern.de/de/datenpanne.html. Dem Betroffenen selber muss man keine umfassenden Informationen über die Datenschutzverletzung geben, herausgegebene Informationen sollten aber in klarer und verständlicher Sprache verfasst werden.

Wenn Sie die Panne nicht melden, haben die Datenschutzbehörden bei den Sanktionen einen Ermessensspielraum. Sie können nur eine Verwarnung aussprechen oder aber eine Geldbuße verhängen. Gemäß Artikel 83 Absatz 4a DSGVO sind Bußgelder in Höhe von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres möglich. Wenn man die bisher ausgesprochenen Strafen der Datenschutzbehörde betrachtet, werden solch hohe Bußgelder auch verteilt.