Datenschutz

Datenpannen

Vorbemerkung

Die nachstehenden Hinweise dienen als erste Orientierung für Sie. Unsere Ausführungen stehen unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses sowie weiterer Auslegungen der Datenschutzbehörden. Eine Haftung für den Inhalt, die Vollständigkeit oder auch die Wirkung der Ausführungen wird nicht übernommen.

Was sind Datenpannen?

Bei einer Datenpanne haben sich Unberechtigte Zugriff auf eine Datensammlung verschafft oder böswillig Daten manipuliert oder gelöscht. Die Daten können analoger oder digitaler Natur sein. Unter eine Datenpanne fallen

  • bewusste oder unbewusste unbefugte Verarbeitung von Daten (z.B. Datenabfluss),
  • unbefugte Aktivitäten zur Umgehung von Sicherheitsvorkehrungen bei Datenverarbeitungen,
  • erfolgreiche Angriffe auf die IT-Infrastruktur eines Unternehmens.

Beispiele für eine Datenpanne können sein:

  • Ein PC mit Kundendaten wird gestohlen
  • Ein Handy auf dem die Zugangsdaten der Extranets gespeichert sind, kommen abhanden.
  • Ein USB-Stick mit Kundendaten verschwindet.
  • Aus dem Auto werden Akten mit Kundendaten entwendet.
  • Briefe oder E-Mails mit personenbezogenen Kundendaten werden an falsche Adressaten verschickt.
  • Bei Massen-E-Mails werden die E-Mail-Adressen der Empfänger nicht ins BCC, sondern direkt im Adressfeld oder im CC-Feld aufgeführt.

Datenpannen melden

Aus Datenpannen ergeben sich möglicherweise Meldepflichten, diese stellen eine deutliche Verschärfung der Informationspflicht im Vergleich zum bisherigen Recht dar:

  • Informationspflicht gegenüber den Datenschutzaufsichtsbehörden möglichst binnen 72 Stunden
  • Dokumentationspflicht der Datenpanne, ihrer Auswirkungen sowie der nach der Datenpanne ergriffenen Maßnahmen
  • Anzeigepflicht gegenüber den von der Datenpanne betroffenen Personen

Ist die Datenpanne im Rahmen einer vertraglichen Auftragsverarbeitung eingetreten, ist nach den Festlegungen in den notwendigen Vereinbarungen zur Auftragsverarbeitung ebenfalls möglicherweise der Vertragspartner zu informieren, zumindest sofern dessen Daten von der Datenpanne betroffen sind.

Hohe Geldbußen möglich

Die Verletzung dieser Pflichten kann mit Geldbußen von bis zu 10 Mio. EUR oder von bis zu 2 % des Jahresumsatzes des Unternehmens sanktioniert werden. Es ist unumgänglich, dass sich jeder Unternehmer auf die neuen Herausforderungen vorbereitet. So sind interne Richtlinien zu entwickeln und umzusetzen, die eine unverzügliche Meldung aller Datenschutzverstöße einschließlich möglicher Verdachtsfälle beim betrieblichen Datenschutzbeauftragten oder der Unternehmensleitung sicherstellen. Geschieht dies nicht und meldet ein Unternehmen eine Datenpanne nicht oder ist mangels entsprechender Dokumentation nicht in der Lage, die umfassenden gesetzlichen Anforderungen an die Meldung zu erfüllen, können die oben genannten Bußgelder erhoben werden.

Wir empfehlen, sich im Falle einer Datenpanne unverzüglich mit einem spezialisierten externen Dienstleister abzustimmen, um das weitere Vorgehen zu beraten. Ihr Berufsverband wird einen entsprechenden Kontakt für Sie haben.

Weitere hilfreiche Hinweise zum Thema finden Sie im Informationspapier für den Umgang mit Datenpannen vom Bayerischen Landesamt für Datenschutzaufsicht. Zur Veranschaulichung des Umfangs einer erforderlichen Meldung einer Datenpanne sei auf das Onlineformular des LDA Bayern verwiesen.