Die Datenschutzgrundverordnung (DSGVO) - Teil 5: Umgang mit Datenpannen

Veröffentlicht: 24.08.2016 | Geschrieben von: Yvonne Bachmann | Letzte Aktualisierung: 14.02.2018

Nach dem Willen des europäischen Gesetzgebers sollen in der neuen DSGVO einfache Möglichkeiten zur Ausübung von Betroffenenrechten festgelegt und bestehende Rechte gestärkt werden. Dazu gehören unter anderem auch das Recht auf Berichtigung oder Löschung von Daten, sowie ein Widerspruchsrecht. Kommt es zu Datenpannen, müssen Händler jedoch von sich aus zur Tat schreiten.

Hackerangriff
© weerapat1003 – Fotolia.com

Status quo: Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten

Die deutschen und derzeit bestehenden Datenschutzregelungen legen bereits jetzt Modalitäten zum Umgang mit Datenpannen fest. Ein Unternehmen, bei dem gespeicherte personenbezogene Daten unrechtmäßig in die Hände von Dritten geraten sind, muss die zuständige Aufsichtsbehörde sowie die Betroffenen unverzüglich darüber informieren. Zuständige Aufsichtsbehörden sind von Bundesland zu Bundesland unterschiedlich. In Baden-Württemberg ist beispielsweise der Landesbeauftragte für den Datenschutz zuständig.

Die Informationspflicht bezieht sich jedoch generell nicht auf alle beim Unternehmen gespeicherten Daten, sondern nur solche, die besonders sensibel sind, z.B. Bank- oder Kreditkartendaten. Eine Pflicht, den Datendiebstahl o.ä. zu melden hat der Unternehmer jedoch nur in den Fällen, in denen den Betroffenen eine „schwerwiegende Beeinträchtigung“ droht. Werden sensible Bankdaten gestohlen, ist die Gefahr eines schwerwiegenden finanziellen Schadens naheliegend. Kommt man der Unterrichtungs- und Informationspflicht nicht nach, ist dies sogar bußgeldbewährt.

Beispiel: Erhält ein Online-Händler Kenntnis (etwa durch Hinweise von Mitarbeitern) davon, dass Bankdaten seiner Kunden unrechtmäßig in die Hände von Dritten geraten sind, wird seine Informationspflicht ausgelöst. Er hat zu informieren:

  • die zuständigen Datenschutzaufsichtsbehörden und
  • die Betroffenen.

Meldepflichten gegenüber Aufsichtsbehörden verschärft

Die DSGVO knüpft an diese Unterrichtungs- und Informationspflicht an und schafft in Artikel 33 eine verschärfte Pflicht zur „Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde“. Unter einer Verletzung des Schutzes personenbezogener Daten versteht die DSGVO einen Vorfall, der zu einer unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogene Daten geführt hat.

Die DSGVO knüpft auch an die Risiken an, die für die Betroffenen entstehen können, beispielsweise immaterielle Schäden (z.B. Rufschädigung) oder finanzielle Verluste. Eine Meldepflicht gilt also dann nicht, wenn keine Risiken für die Betroffenen zu erwarten sind. Anders als das aktuell gültige deutsche Datenschutzrecht gilt die Meldepflicht jedoch nicht nur bei Datenpannen mit besonders sensiblen Daten, sondern grundsätzlich für alle personenbezogenen Daten.

Kommt es tatsächlich zu einem unberechtigten Datentransfer oder einem vergleichbaren Vorfall (s.o.), meldet der Verantwortliche dies unverzüglich und möglichst binnen 72 Stunden nach Kenntniserlangung der zuständigen Aufsichtsbehörde. Davon wird er aber befreit, wenn der Datenklau voraussichtlich nicht zu einem Risiko für die betroffenen Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht innerhalb von 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Diese Meldung enthält folgende Informationen, die ggf. zeitverzögert zur Verfügung gestellt werden können:

  • eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorie der Daten und der ungefähren Zahl der betroffenen personenbezogenen Datensätze,
  • den Namen und die Kontaktanschrift des Datenschutzbeauftragten,
  • eine Beschreibung der wahrscheinlichen Folgen,
  • eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Datenschutzverstoßes und ggf. Maßnahmen zur Milderung der möglichen Auswirkungen.

Das verantwortliche Unternehmen dokumentiert die Datenpanne einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und die ergriffenen Maßnahmen.

Bei einem Verstoß gegen die Meldepflicht droht ein Bußgeld bis zu 10 Mio. Euro oder bis zu 2% des weltweit erzielten Jahresumsatzes.

Meldepflichten gegenüber den Betroffenen

Schließlich sieht die DSGVO auch eine „Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person“ vor, wenn die Datenpanne ein voraussichtlich hohes Risiko für die betroffene Person hat. Die Benachrichtigung hat die Datenpanne in klarer und einfacher Sprache und in leicht zugänglicher Form zu übermitteln und mindestens die Eckdaten mitzuteilen. Beispielsweise kann der Name und die Kontaktanschrift des Datenschutzbeauftragten mitgeteilt werden, oder die wahrscheinlichen Folgen erläutert werden.

Die DSGVO hat jedoch auch Ausnahmen für Unternehmen vorgesehen, die mit riesigen Datensätzen arbeiten. Die Benachrichtigung der Betroffenen ist dann nicht erforderlich, wenn die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand bedeuten würde. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine vergleichbare Maßnahme zu erfolgen, durch die die Betroffenen in ähnlicher Weise informiert werden.

Praxistipp:

Die noch knapp zwei Jahre gewährte Übergangsfrist mag lang erscheinen. Bis zum endgültigen Startschuss sollte jedoch jeder Online-Händler einen Plan parat haben, wie er im Ernstfall mit Datenpannen umgehen wird. Die drohenden Bußgelder sind wohl Abschreckung genug. Stellen Sie sich die Frage, wer für die Art von Eventualitäten zuständig sein soll und arbeiten Sie ihn oder sie entsprechend in die Materie ein.

In einem unserer kommenden Teile widmen wir uns auch der Frage des betrieblichen Datenschutzbeauftragten.

 

Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)

Einführung

Teil 1: Newsletterversand

Teil 2: Informationspflichten

Teil 3: Auskunftspflichten

Teil 4: Betroffenenrechte

Teil 5: Umgang mit Datenpannen

Teil 6: Neuerungen beim Umgang mit Kundendaten

Teil 7: Übermittlung von Daten ins Ausland

Teil 8: Auftragsdatenverarbeitung

Teil 9: Der Einsatz von Cookies

Teil 10: Social Plugins

Teil 11: Der Datenschutzbeauftragte

Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung

Teil 13: Aufsichtsbehörden

Teil 14: Befugnisse und Sanktionsmaßnahmen

Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)

Teil 16: Glossar

 

Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)

Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)

 

Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.

 

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.