Beratung bei Datenschutzvorfällen
Die Kanzlei Heidrich Rechtanwälte unterstützt Sie bei allen Themen rund um Datenpannen, IT-Sicherheitslücken und Hackerangriffen. Sind Sie von einer Datenpanne, Datenleck oder Hackerangriff betroffen, den Sie möglicherweise an die Datenschutzbehörden melden müssen? Zögern Sie nicht, uns zu kontaktieren!
Inhaltsübersicht
Was tun bei einer Datenpanne, Datenleck oder Hackerangriff?
Unfälle beim Umgang mit sensiblen Daten sollten nicht passieren. Gänzlich ausschließen lässt sich eine Datenpanne oder ein Hackerangriff -- trotz modernster IT -- aber kaum. Denn überall wo Menschen arbeiten, können Fehler passieren. Es werden Daten an den falschen Empfänger weitergeleitet, ein Laptop bleibt im Taxi liegen oder E-Mails mit dubiosen Anhängen werden aus Versehen geöffnet. Doch was ist zu tun, wenn einmal eine Datenpanne eingetreten ist und welche rechtlichen Verpflichtungen sieht die DSGVO vor?
Meldepflicht nach der DSGVO
Die DSGVO sieht erheblich verschärfte Meldepflichten für den Verlust von personenbezogenen Daten im Rahmen eines so genannten Data Breach vor. Zugleich drohen erhebliche Bußgelder nicht nur für den eigentlichen Verstoß selber, sondern auch dann, wenn die Meldepflichten nicht ordnungsgemäß erfüllt werden.
Dabei sind folgende Schritte zu beachten:
Zunächst einmal muss ich feststellen, was überhaupt geschehen ist. Dabei steht insbesondere die Frage im Vordergrund, ob personenbezogene Daten betroffen sind und was damit genau geschehen ist. Auch die Qualität der Daten spielt dabei eine Rolle. Handelt es sich nämlich um sensible Daten, etwa aus dem Bereich der Gesundheit, sind die Handlungspflichten noch einmal erhöht. Hierzu kann es sich empfehlen, neben einem technischen Experten auch einen entsprechend spezialisierten Rechtsanwalt hinzuzuziehen.
Sind bei einer Datenpanne personenbezogene Daten betroffen, ist zunächst zu prüfen, ob eine Meldung an die Aufsichtsbehörde erfolgen muss. Gemäß Artikel 33 DSGVO muss der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden.
Eine Meldung hat nach Art. 33 Abs. 1 S. 2 DSGVO nicht zu erfolgen, wenn diese Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Dies bedeutet, dass im Falle einer Datenpanne stets zu prüfen ist, welche Risiken für die betroffenen Personen bestehen. Die Einschätzung ist äußerst schwierig und kaum ohne entsprechende Expertise möglich.
Man steht also vor einem Dilemma: Gebe ich keine Meldung ab, verstoße ich unter Umständen gegen datenschutzrechtliche Bestimmungen und setze mich der Gefahr eines hohen Bußgeldes aus. Gebe ich eine Meldung ab und ein Risiko für die betroffenen Personen lag nicht vor, setze ich mich möglicherweise weiteren Kontrollen der Aufsichtsbehörde aus. Es sollte daher stets eine Prüfung von unabhängigen Experten stattfinden.
Kommt man zu dem Ergebnis, dass ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, was in der Praxis häufig der Fall sein dürfte, so ist man gemäß Art. 34 DSGVO verpflichtet, die betroffenen Personen unverzüglich zu benachrichtigen. Auch hier ist wieder eine erneute Prüfung vorzunehmen. Für die Meldepflicht bei der Aufsichtsbehörde reicht ein einfaches Risiko. Für eine Benachrichtigung der betroffenen Person muss hingegen ein hohes Risiko vorliegen. Auch hier ist die Unterscheidung zwischen einfachem und hohem Risiko nicht einfach.
Schadensersatz droht
Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen. Hierzu zählen etwa der Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. Hieraus kann sich ein Anspruch auf Schadensersatz für die Betroffenen ergeben.
Inhalt der Meldung nach DSGVO
Die Meldung über eine Verletzung des Schutzes personenbezogener Daten muss bei der jeweils zuständigen Aufsichtsbehörde eingereicht werden. Dies muss, sobald die Panne bekannt wird, „unverzüglich“ und, falls möglich, binnen höchstens 72 Stunden, geschehen. Art. 33 DSGVO schreibt darüber hinaus auch vor, welche Informationen dabei an die Datenschutzbehörden weiterzugeben sind, nämlich:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Immerhin: Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen unter Umständen auch schrittweise zur Verfügung stellen.
In jedem Fall ist die Dokumentationspflicht umfangreich. Der Verantwortliche hat die „Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen“ darzustellen. Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels.
Auch und vor allem bei der Erstellung der Dokumentation eines Data Breachs ist das Hinzuziehen von Fachleuten dringend zu empfehlen.
Empfehlungen für die Praxis
Die umfassenden und in der DSGVO noch einmal erweiterten Meldepflichten werden in der Praxis häufig völlig unterschätzt. Tatsächlich gehören sie aber zu den wichtigsten Punkten im Rahmen des neuen Datenschutzes. Gerade im Bereich der KMU ist kaum ein Unternehmen darauf vorbereitet, hier innerhalb von kürzester Zeit auf Pannen zu reagieren und ordnungsgemäße Meldungen zu verfassen – zumal wenn sich ein solcher Verstoß dann noch am Freitagnachmittag oder am Tag vor Weihnachten ereignet.
Hier empfiehlt es sich auf jeden Fall, vorab eine Task Force im Unternehmen zu formieren. Hier sollten je nach Struktur des Unternehmens neben dem IT-Leiter auch der Datenschützer, ein Vertreter der betroffenen Abteilung oder auch ein Vertreter des Betriebsrats bereitstehen, kurzfristig zusammenzukommen und über das weitere Vorgehen zu entscheiden.
Fazit
Bei einer Datenpanne sollte schnellstmöglich professionelle Hilfe geholt werden. Denn in jedem Fall ist zu Differenzieren, ob eine Meldung nach Datenschutzrecht, IT-Sicherheitsrecht oder gar nach beiden Gesetzen erfolgen muss. Auch sind je nach Rechtsgrundlage unterschiedliche Fristen zu beachten. Bei Nichtbeachtung der Meldepflichten können unter Umständen hohe Bußgelder oder auch Schadensersatzansprüche der Betroffenen drohen. Auch die negative PR bei Bekanntwerden einer Datenpanne kann für ein Unternehmen verheerend sein.
Was Heidrich Rechtsanwälte für Sie tun kann!
Als im Datenschutzrecht erfahrene Anwälte aus Hannover kennen wir die Strukturen gerade in KMUs und stehen Ihnen beratend im Vorfeld, aber auch im Notfall gerne unterstützend deutschlandweit und kurzfristig zur Verfügung. Wir können Ihnen behilflich sein bei der Bewertung von Zwischenfällen ebenso wie bei der wichtigen Frage, ob eine Meldepflicht besteht. Sollte es zu einem Notfall gekommen sein, beraten wir Sie bei der Formulierung der Meldungen an die Aufsichtsbehörden und auch bei der Außenwirkung ihrer Handlungen. Hierbei besteht auch die Möglichkeit, im Rahmen unserer Kooperationen auf IT-Experten zuzurückzugreifen, die Ihnen ebenfalls kurzfristig zur Bewertung eines Notfalls zur Verfügung stehen. Kontaktieren Sie uns gerne unverbindlich!