DSGVO: Was tun bei einer Datenpanne?

Die DSGVO hält eine Reihe von Änderungen für Händler bereit, die bis zu dem Stichtag am 25.Mai 2018 umgesetzt werden müssen. Doch auch danach hört die Arbeit für Händler nicht auf. Was müssen Händler beachten, wenn es nun doch einmal zu dem schlimmsten Szenario kommt und Daten verloren gehen? Und was droht Händlern, wenn sie nicht schnell genug handeln? Wir klären auf.

Datenpanne kann schnell passieren

Ob der Shop gehackt und Kundendaten gestohlen werden, ein Bug im Webserver einen Vollzugriff auf Daten ermöglicht oder ein unachtsamer Mitarbeiter einen USB-Stick verliert: Eine Datenpanne kann schnell passieren. Bisher waren die Vorschriften des Bundesdatenschutzgesetzes (BSDSG alt) eher harmlos, wenn es um den Umgang mit Datenpannen ging. Es musste sich dabei schon um sehr sensible Daten handeln, damit Händler überhaupt zur Tat schreiten mussten. Durch Art. 33 DSGVO müssen Händler nun deutlich öfter tätig werden, denn bei Datenpannen hat nun grundsätzlich immer eine Meldung zu erfolgen. Nur in Ausnahmefällen werden Händler von einem Handeln absehen können.

Wann liegt eine Datenpanne vor?

Eine Datenpanne liegt nach Art. 4 DSGVO dann vor, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Dies ist dann gegeben, wenn es zu einer Vernichtung, zum Verlust oder zu einer unbefugten Offenlegung oder zum Zugang der Daten kommt. Daher müssen Händler aktiv werden, wenn Kundendaten wie Name, Anschrift, Kontonummer oder E-Mail-Adresse in fremde Hände gelangen, ohne das dies bewusst geschieht. Doch auch Mitarbeiterdaten können bei einer Datenpanne betroffen sein.

Was müssen Händler dann tun?

Bei einer Datenpanne können Händler gleich zwei Pflichten treffen. Zum einen müssen sie der Aufsichtsbehörde den Verstoß melden und zum anderen in bestimmten Fällen auch den Betroffenen informieren:

- Meldung an die Aufsichtsbehörde: In Fällen einer Datenpanne sind Händler verpflichtet, ihrer zuständigen Aufsichtsbehörde die Datenpanne binnen 72 Stunden zu melden. Dabei müssen sie Informationen wie Art der Verletzung des Schutzes, die Anzahl der betroffenen Personen und ergriffene Gegenmaßnahmen angeben. Die Meldung kann dabei jedoch in jeglicher Form (Telefon, Fax, E-Mail) erfolgen. Daneben sind die Datenschutzverletzung, einschließlich aller Abhilfemaßnahmen, zu dokumentieren.

- Meldung an den Betroffen: Falls durch die Datenpanne voraussichtlich ein hohes Risiko für die Rechte des Betroffenen entsteht und ihm erhebliche Konsequenzen drohen, müssen Händler auch diesen über die Datenpanne informieren. Dabei müssen sie klare und verständliche Sprache wählen. Zwar ist hierbei keine exakte Zeitspanne genannt, doch auch diese Informationen müssen unverzüglich erfolgen.

Wer ist die richtige Aufsichtsbehörde?

Für jedes Bundesland gibt es eine andere Aufsichtsbehörde. Welche für einen Händler zuständig ist, richtet sich danach, wo ein Händler seinen Standort hat. Händler sollten sich daher am Besten schon vorher informieren, an welche Stelle sie ihre Meldung machen müssten.

Was für Sanktionen drohen Händlern bei Missachtung?

Händler, die Datenpannen auf die leichte Schulter nehmen, müssen sich bewusst sein, dass die DSGVO für den Verstoß der Melde- und Benachrichtigungspflicht eine hohe Geldbuße vorsieht. Der Verstoß kann mit einer Geldbuße bis 10 Millionen Euro oder zwei Prozent des weltweit erzielten Jahresumsatzes geahndet werden. Daneben kann auch der Betroffene in bestimmten Fällen den Ersatz des ihm entstandenen Schadens fordern. Daher sollten Händler in Zukunft Datenpannen sehr ernst nehmen.