Datenschutzvorfall: So erfüllen Sie die Meldepflicht und halten die Frist ein
Ein Datenschutzvorfall erfordert schnelles Handeln: Ist ein Vorfall meldepflichtig? Innerhalb welcher Frist muss die Meldung geschehen? Wie läuft die Meldung ab und was muss sie beinhalten? Wir beantworten alle Fragen und geben Ihnen eine Schritt-für-Schritt-Anleitung zur Meldung von Datenschutzvorfällen. Wir unterstützen Sie gerne bei der Meldung, der Kommunikation mit Aufsichtsbehörden und der Prävention zukünftiger Vorfälle. Vereinbaren Sie jetzt ein unverbindliches Erstgespräch!
Was ist ein Datenschutzvorfall?
Eine Verletzung des Schutzes personenbezogener Daten ("Datenschutzvorfall" oder umgangssprachlich "Datenpanne") liegt vor, wenn die Sicherheit personenbezogener Daten dergestalt verletzt wird, dass personenbezogene Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, unbeabsichtigt oder unrechtmäßig verändert oder vernichtet werden, verloren gehen, Unbefugten offengelegt oder zugänglich werden. Dies kann beispielsweise durch technische Störungen, menschliche Fehler oder gezielte Angriffe wie Hackerangriffe oder Phishing-Attacken geschehen. Datenschutzvorfälle können in den unterschiedlichsten Ausprägungen und Konstellationen vorkommen und erfordern eine genaue Untersuchung, um das Ausmaß des Vorfalls zu bestimmen und festzustellen, ob Meldepflichten gegenüber Aufsichtsbehörden, betroffenen Personen und/oder Vertragspartnern bestehen.
Wann ist ein Datenschutzvorfall meldepflichtig?
Voraussetzung ist also zunächst, dass die Sicherheit der Daten verletzt wird - nicht jeder Verstoß gegen das Datenschutzrecht ist auch gleich ein Datenschutzvorfall. Mündet diese Sicherheitsverletzung auch in eine oder mehrere der genannten Verletzungserfolge (z.B. unbefugte Offenlegung), liegt ein Datenschutzvorfall vor. Nach Artikel 33 DSGVO muss ein Datenschutzvorfall grundsätzlich an die zuständige Datenschutz-Aufsichtsbehörde gemeldet werden. Hiervon kann nur in Ausnahmefällen abgewichen werden
Wann muss ein Datenschutzvorfall nicht gemeldet werden?
Eine Ausnahme von der Meldepflicht gibt es nur dann, wenn der Datenschutzvorfall "voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen" führt. Dies könnte beispielsweise der Fall sein, wenn die betroffenen Daten durch geeignete Schutzmaßnahmen, wie ausreichende Verschlüsselung unzugänglich für unbefugte Dritte sind. Hier ist zwar nicht gefordert, dass ein Risiko vollständig ausgeschlossen werden kann, die Anforderungen an die Risikoprüfung sind jedoch streng, sodass eine belastbare Argumentation erforderlich ist, wenn von einer Meldung mangels Risiko abgesehen werden soll.
Müssen auch die betroffenen Personen informiert werden?
Neben der Meldung an die Aufsichtsbehörde kann auch eine Meldung an die von dem Datenschutzvorfall betroffenen Personen selbst notwendig sein. Das ist dann der Fall, wenn der Datenschutzvorfall voraussichtlich mit einem hohen Risiko für ihre Rechte und Freiheiten einhergeht. Dies ist vor allem bei möglichem Identitätsdiebstahl, finanziellen Verlusten, Rufschädigung oder anderen schwerwiegenden Folgen denkbar.
Welche Frist gibt es für die Meldung eines Datenschutzvorfalls?
Unternehmen oder Organisationen, die für die Verarbeitung der Daten verantwortlich sind, müssen den Vorfall unverzüglich und spätestens innerhalb von 72 Stunden nach Bekanntwerden der Verletzung an die zuständige Datenschutzaufsichtsbehörde melden.
Unverbindliches Erstgespräch zum Thema Datenschutzvorfall
Führen Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Rechtsanwält:innen, um gemeinsam Ihre Situation und Ihren Beratungsbedarf zu erörtern und – falls nötig – schnell zu handeln!
Wie läuft die Meldung eines Datenschutzvorfalls ab?
Die Meldung eines Datenschutzvorfalls sollte strukturiert und effizient erfolgen, um den Anforderungen der DSGVO gerecht zu werden:
1. Erkennung und Bewertung des Vorfalls
Sobald ein Datenschutzvorfall bemerkt wird, müssen die zuständigen Stellen im Unternehmen informiert werden. Dies umfasst regelmäßig Ansprechpartner aus der IT, Informationssicherheit, den Datenschutzbeauftragten und die Geschäftsführung. Die zuständigen Ansprechpartner bewerten den Datenschutzvorfall insbesondere hinsichtlich der damit einhergehenden Risiken. Dabei wird u.a. geprüft, welche Daten betroffen sind, wie schwerwiegend die Auswirkungen sind und ob ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Teil der Bewertung ist dabei auch die Frage, ob der Vorfall gegenüber der Aufsichtsbehörde und ggf. auch den betroffenen Personen meldepflichtig ist.
3. Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden
Besteht eine Meldepflicht, muss die Meldung unverzüglich und spätestens binnen 72 Stunden nach Bekanntwerden des Vorfalls erfolgen. Viele Aufsichtsbehörden stellen auf ihren Websites Formulare zur Meldung von Datenschutzvorfällen bereit. Hier bietet sich jedoch eine genaue Prüfung an, die Formulare können u.U. mehr Informationen abfragen, als von der gesetzlichen Meldepflicht umfasst sind.
4. Information der betroffenen Personen (falls erforderlich)
Wenn sogar ein hohes Risiko für die betroffenen Personen besteht, muss gemäß Artikel 34 der DSGVO auch eine Benachrichtigung an die betroffenen Personen erfolgen.
5. Dokumentation des Vorfalls
Unabhängig davon, ob eine Meldung erforderlich ist, muss der Vorfall intern dokumentiert werden. Diese Dokumentation dient dazu, die Einhaltung der DSGVO nachzuweisen und bei späteren Untersuchungen durch die Aufsichtsbehörde bereit zu stehen. Dazu gehören u.a. die Bewertung des Vorfalls, die Entscheidung über die Meldepflicht und die getroffenen Maßnahmen.
6. Ergreifen von Maßnahmen zur Schadensbegrenzung
Parallel zur Meldung sollten umgehend Maßnahmen ergriffen werden, um den mögliche Schäden einzudämmen. Dies kann beinhalten:
- Schließen von Sicherheitslücken
- Wiederherstellen von verlorenen Daten
- Implementieren zusätzlicher Sicherheitsmaßnahmen
Die Ergebnisse dieser Maßnahmen sollten ebenfalls dokumentiert werden.
7. Nachbereitung und Optimierung
Nach Abschluss des Vorfalls sollte eine Nachbereitung stattfinden. Dies umfasst die Analyse des Vorfalls, um zu verstehen, wie er hätte verhindert werden können. Daraus resultierende Anpassungen an den Datenschutzmaßnahmen oder IT-Sicherheitsvorkehrungen sollten umgesetzt werden, um zukünftige Vorfälle zu verhindern und so das Datenschutzniveau kontinuierlich zu verbessern.
Was muss die Meldung eines Datenschutzvorfalls beinhalten?
Die Meldung eines Datenschutzvorfalls an die zuständige Aufsichtsbehörde muss bestimmte Angaben enthalten, um der Behörde zu ermöglichen, den Vorfall zu bewerten und ggf. entsprechende Maßnahmen ergreifen zu können. Laut Artikel 33 der DSGVO müssen die folgenden Informationen in der Meldung enthalten sein:
Beschreibung des Datenschutzvorfalls
Die Meldung muss eine Beschreibung der Art der Datenschutzverletzung beinhalten. Es sollte erklärt werden, was passiert ist, wie der Vorfall entdeckt wurde und was hiervon betroffen ist, um der Behörde die Möglichkeit zu geben, die aus dem Vorfall resultierenden Risiken für die Rechte und Freiheiten der betroffenen Personen zu bewerten.
Art der betroffenen Daten
Die Kategorien der betroffenen personenbezogenen Daten und deren Anzahl müssen angegeben werden, soweit dies möglich ist. Dies umfasst auch Informationen darüber, ob es sich um sensible Daten handelt (z.B. Gesundheitsdaten, Finanzdaten) oder um allgemeinere personenbezogene Daten wie Name, Adresse oder Kontaktdaten.
Betroffene Personen
Auch eine Angabe der Kategorien und Anzahl der betroffenen Personen ist erforderlich, soweit dies möglich ist, um das Ausmaß des Vorfalls einschätzen zu können.
Mögliche Folgen des Vorfalls
Es muss dargelegt werden, welche Folgen die Datenschutzverletzung für die betroffenen Personen nach Einschätzung des Verantwortlichen voraussichtlich hat oder haben wird. Diese Einschätzung kann z.B. auf möglichen Gefahren wie Identitätsdiebstahl, Betrug, Rufschädigung oder finanziellen Verlusten basieren.
Ergriffene Maßnahmen
Die Meldung muss weiterhin erläutern, welche Maßnahmen zur Behebung des Vorfalls bereits ergriffen wurden oder noch geplant sind. Dies können technische und/oder organisatorische Schritte sein, die getroffen wurden, um den Vorfall einzudämmen und die Betroffenen zu schützen.
Kontaktdaten des Datenschutzbeauftragten oder Ansprechpartners
Die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle für weitere Informationen müssen angegeben werden. Diese Person wird als Ansprechpartner für die Aufsichtsbehörde fungieren und ggf. zusätzliche Informationen bereitstellen.
Vorläufige Meldung
Sollte sich ein Vorfall nicht binnen der 72 Stunden-Frist vollständig aufklären lassen, kann die Meldung schrittweise ergänzt werden. Es ist jedoch wichtig, eine vorläufige Meldung innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls vorzunehmen, selbst wenn noch nicht alle Details bekannt sind.
Information der betroffenen Personen
Sofern eine Meldung an die betroffenen Personen erforderlich ist, muss diese keine detaillierten Angaben zu Kategorien und Anzahl der betroffenen Personen und Daten beinhalten, sondern lediglich eine Beschreibung der Datenschutzverletzung in klarer und einfacher Sprache. Außerdem muss auch hier eine Anlaufstelle für weitere Informationen angegeben werden sowie eine Beschreibung der voraussichtlichen Folgen der Datenschutzverletzung und der ergriffenen bzw. noch geplanten Abhilfemaßnahmen.
Unverbindliches Erstgespräch zum Thema Datenschutzvorfall
Führen Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Rechtsanwält:innen, um gemeinsam Ihre Situation und Ihren Beratungsbedarf zu erörtern und – falls nötig – schnell zu handeln!
Beispiele für Datenschutzvorfälle
Datenschutzvorfälle können in den unterschiedlichsten Konstellationen auftreten, z.B.
- Liegenlassen/Verlieren oder Diebstahl von Dokumenten, Datenträgern, Endgeräten
- versehentlicher Fehlversand von Informationen an den falschen Empfänger
- versehentlich falsche Konfiguration von Servern/Ordnern, sodass unbefugte auf den Inhalt zugreifen können
- verärgerte ehemalige Beschäftigte mit Schädigungsabsicht
- Ransomware- oder andere Cyberangriffe
Wer ist für die Meldung eines Datenschutzvorfalls verantwortlich?
Die Verantwortung für die Meldung eines Datenschutzvorfalls liegt bei dem Verantwortlichen im Sinne der DSGVO. Der Verantwortliche ist die Person, das Unternehmen oder die Organisation, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. In vielen Fällen hat der Verantwortliche einen Datenschutzbeauftragten (DSB) bestellt. Der DSB spielt eine wesentliche Rolle bei der Bearbeitung von Datenschutzvorfällen. Er unterstützt und berät den Verantwortlichen dabei, die rechtlichen Anforderungen zu erfüllen, einschließlich der Beurteilung der Meldepflicht des Vorfalls. Der Datenschutzbeauftragte fungiert oft als Ansprechpartner gegenüber der Aufsichtsbehörde und den betroffenen Personen, jedoch bleibt die rechtliche Verantwortung beim Verantwortlichen.
Sonderfall: Auftragsverarbeiter
Oft treten Datenschutzvorfälle nicht direkt bei dem Verantwortlichen auf, sondern bei dessen Auftragsverarbeiter. Auch in diesen Fällen bleibt jedoch der Verantwortliche meldepflichtig. Der Auftragsverarbeiter muss den Datenschutzvorfall unverzüglich an den Verantwortlichen melden, damit dieser ihn rechtzeitig bewerten und ggf. der für ihn zuständigen Aufsichtsbehörde bzw. den betroffenen Personen melden kann. Der Auftragsverarbeiter hat den Verantwortlichen hierbei zu unterstützen.
Regelmäßig kompliziert sind Fälle, in denen ein Dienstleister von einem Datenschutzvorfall betroffen ist, hierbei jedoch sowohl Daten betroffen sind, die er im Auftrag (also als Auftragsverarbeiter) verarbeitet als auch Daten, die er in eigener Verantwortlichkeit (also als Verantwortlicher) verarbeitet (z.B. Daten seiner eigenen Beschäftigten). Hier kann gleichzeitig eine unverzügliche Meldung an den/die Auftraggeber (Verantwortlichen) und die zuständige Aufsichtsbehörde sowie ggf. an die betroffenen Personen (jedoch nur die, für die der Dienstleister auch Verantwortlicher ist) erforderlich sein. Dies erfordert regelmäßig gut organisierte Abstimmungen und Vorsicht bei der Formulierung von Meldungen.
Wie reagiert die zuständige Behörde auf die Meldung eines Datenschutzvorfalls?
Nach der Meldung des Datenschutzvorfalls wird die Behörde den Vorfall prüfen und ggf. Maßnahmen anweisen oder eigene aufsichtsrechtliche Maßnahmen einleiten.
1. Bestätigung des Eingangs durch die Aufsichtsbehörde
Nach der Meldung eines Vorfalls sendet die Aufsichtsbehörde in der Regel eine Eingangsbestätigung und prüft, ob die Meldung alle erforderlichen Informationen enthält. In manchen Fällen wird die Behörde möglicherweise zusätzliche Informationen anfordern.
2. Prüfung durch die Aufsichtsbehörde
Die Behörde wird den gemeldeten Vorfall auf seine Schwere und potenziellen Folgen hin prüfen. Dazu gehört die Einschätzung, ob die ergriffenen Maßnahmen ausreichen und ob der Vorfall korrekt behandelt wurde. Je nach Risikopotenzial kann die Behörde eine detaillierte Untersuchung einleiten, um sicherzustellen, dass der Vorfall angemessen bearbeitet und die erforderlichen Schutzmaßnahmen ergriffen wurden.
3. Mögliche Anweisungen und Maßnahmen der Behörde
Falls die Aufsichtsbehörde der Ansicht ist, dass zusätzliche Maßnahmen erforderlich sind, kann sie Anweisungen an das betroffene Unternehmen geben. Insbesondere empfehlen die Aufsichtsbehörden regelmäßig - unabhängig vom Vorliegen eines hohen Risikos eine Information an die betroffenen Personen. Nach Art. 34 Abs. 4 DSGVO kann die Behörde dies auch anweisen. In gravierenden Fällen kann die Behörde auch ein Bußgeldverfahren einleiten oder andere Sanktionen ergreifen, wenn der Vorfall etwa auf mangelhafte Datenschutzmaßnahmen zurückzuführen ist.
Welche Strafen drohen bei einem Datenschutzvorfall?
Die DSGVO sieht im Falle von Datenschutzverstößen erhebliche Bußgelder vor. Diese können je nach Art und Schwere des Verstoßes in zwei Stufen verhängt werden:
- Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für weniger schwerwiegende Verstöße. Dazu gehören z.B. unzureichende technische und organisatorische Maßnahmen zur Sicherstellung der Sicherheit der Daten oder die unzureichende oder verspätete Meldung eines Datenschutzvorfalls.
- Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für schwerwiegendere Verstöße. Hierzu zählt u.a. die Missachtung der Betroffenenrechte oder das Fehlen einer geeigneten rechtlichen Grundlage für die Datenverarbeitung.
In weniger schwerwiegenden Fällen oder bei erstmaligen Verstößen kann die Aufsichtsbehörde eine Warnung oder Verwarnung aussprechen, ohne sofort ein Bußgeld zu verhängen. Sie hat allerdings auch das Recht, bestimmte Verarbeitungen personenbezogener Daten zu untersagen oder die Verarbeitung vorübergehend auszusetzen. Dies kann für Unternehmen massive Auswirkungen auf den Geschäftsbetrieb haben, da bestimmte Prozesse oder Systeme stillgelegt werden könnten, bis etwa die erforderlichen Sicherheitsmaßnahmen implementiert sind. Neben aufsichtsbehördlichen Bußgeldern besteht aber immer auch das Risiko von Schadensersatzforderungen betroffener Personen.
Kann man sich gegen aufsichtsrechtliche Maßnahmen wehren?
Gegen aufsichtsrechtliche Maßnahmen lässt sich rechtlich vorgehen. Allerdings bietet sich gerade bei Datenschutzvorfällen eine sehr frühzeitige Einbindung rechtlicher Experten ein, um Maßnahmen der Aufsichtsbehörde möglichst von vornherein zu vermeiden, etwa indem die nötigen Informationen in der nötigen Detailtiefe erbracht und Abhilfemaßnahmen selbständig eingeleitet werden.
Mit welchen Maßnahmen kann man das Risiko eines Datenschutzvorfalls minimieren?
Die Vermeidung bzw. Verhinderung von Datenschutzvorfällen hängt maßgeblich von den ergriffenen technischen und organisatorischen Maßnahmen ab und ist damit so vielfältig, wie die möglichen Datenschutzvorfälle selbst. In der Praxis ist die größte Risikoquelle wohl der Mensch, weshalb ein besonderer Fokus auf Schulungsmaßnahmen gelegt werden sollte.
Gerade im Falle der immer weiter ausufernden Gefährdungslange zu Cyberangriffen (insb. Ransomware) müssen neben technischen Sicherheitsmaßnahmen auch die Beschäftigten z.B. Phishing-Mails erkennen können und vor allem wissen, wie sie schnell und richtig handeln müssen, sollte es zu einem Vorfall gekommen sein. Speziell für Ransomware- und andere Cyberangriffe bietet sich ein umfassendes Readiness Assessment an, bei dem die wichtigsten Maßnahmen zur Vermeidung, Erkennung und Behebung von Cyberangriffen geprüft und ggf. implementiert werden.
So unterstützen wir Sie im Falle eines Datenschutzvorfalls
- Prüfung der Meldepflicht eines Vorfalls und Meldung des Datenschutzvorfalls (falls nötig)
- Interne Abstimmung und Krisenkommunikation mit Betroffenen, Aufsichtsbehörden und ggf. der Öffentlichkeit
- Abwehr von aufsichtsrechtlichen Maßnahmen sowie Schadensersatzansprüchen
- Prävention: Implementierung von vorfallvermeidenden Maßnahmen und internen Prozessen sowie Durchführung von Readiness Assessments
- Aufarbeitung des Vorfalls und Beratung zur kontinuierlichen Verbesserung sachgerechter Maßnahmen
- Ganzheitliche Beratung zu Ihrer Datensicherheit und DSGVO-Compliance
In Zusammenarbeit mit unserem Schwester-Unternehmen ISiCO GmbH können wir Sie nicht nur juristisch, sondern auch zu technischen Aspekten des Datenschutzes beraten. Zudem können wir Ihnen mit unseren Partnern caralegal und lawpilots die besten Lösungen in den Bereichen Datenschutzmanagement und Mitarbeitenden-Schulungen anbieten.
Warum Schürmann Rosenthal Dreyer Ihr Partner bei Datenschutzvorfällen ist
Schürmann Rosenthal Dreyer hat in den vergangenen 16 Jahren unzählige Mandant:innen erfolgreich im Bereich Datenschutz beraten und eine Vielzahl von Datenschutzvorfällen begleitet. Unsere Kanzlei verfügt nicht nur über erfahrene Rechtsanwält:innen, sondern auch über Technologie-Expert:innen, die gemeinsam daran arbeiten, Ihre digitalen Projekte rechtssicher und zukunftsorientiert zu gestalten.
Unsere Kompetenz wurde mehrfach anerkannt: Wir wurden mit dem renommierten JUVE Award als Kanzlei des Jahres im Bereich Datenschutz und IT ausgezeichnet und zählen laut The Legal 500 zu den Top-Kanzleien 2024.
Vertrauen Sie auf Schürmann Rosenthal Dreyer – den Partner, der Sie mit einer einzigartigen Kombination aus juristischer Exzellenz und technischem Verständnis erfolgreich vertreten wird.