Ob eine Datenpanne bzw. ein Datenschutzvorfall an die Aufsichtsbehörde zu melden ist, hängt von zahlreichen Faktoren ab. Der Europäische Datenschutzausschuss (European Data Protection Board – EDPB) hat dazu nun eine Entscheidungshilfe veröffentlicht. Wir erläutern die aufgeführten Fallbeispiele und geben Ihnen Empfehlungen für den richtigen Umgang damit.
Wann muss die Aufsichtsbehörde informiert werden?
Eine Verletzung der Datenschutzgesetze sollte gemeldet werden, wenn der für die Verarbeitung Verantwortliche der Ansicht ist, dass sie wahrscheinlich zu einem Risiko für Rechte und Freiheiten der betroffenen Personen führen kann.
Verantwortliche sollten diese Bewertung zum Zeitpunkt vornehmen, zu dem sie von der Verletzung Kenntnis erlangt haben. Der für die Verarbeitung Verantwortliche sollte keine detaillierte forensische Untersuchung und keine (frühzeitigen) Abhilfemaßnahmen abwarten.
Tipp: Lesen Sie hier, wie Sie eine Meldung an die für Sie zuständige Aufsichtsbehörde vornehmen.
Wann müssen Betroffene informiert werden?
Betroffene müssen informiert werden, sobald der für die Verarbeitung Verantwortliche der Ansicht ist, dass die Datenschutzverletzung wahrscheinlich zu einem hohen Risiko für Rechte und Freiheiten der betroffenen Personen führen kann. Nur bei geringem Risiko für die Rechte und Freiheiten der betroffenen Person muss keine Meldung an die Betroffenen erfolgen.
Warum ist diese Unterscheidung wichtig?
Wenn ein für die Verarbeitung Verantwortlicher das Risiko selbst als unwahrscheinlich einschätzt, es sich aber herausstellt, dass dennoch ein erhöhtes Risiko eintritt, kann die zuständige Aufsichtsbehörde von ihren Korrekturbefugnissen Gebrauch machen und Sanktionen beschließen.
Bei einer Meldepflicht hat die Meldung binnen 72 Stunden zu erfolgen. Die Deutsche Datenschutzkonferenz (DSK) nennt in einem Kurzpapier Kriterien, die bei der Risikobewertung helfen sollen. Wir empfehlen aber dringend im Falle einer Datenschutzverletzung Expertenrat einzuholen.
Beispiele: Wann muss der Verantwortliche melden?
Die folgenden Fälle identifiziert der EDPB (je nach Einzelfall) ein meldungspflichtiges Risiko:
- Ransomware ohne ordentliches Backup
- Ransomware mit Backup und ohne Exfiltration in einem Krankenhaus (Meldung auch an die Betroffenen empfohlen)
- Ransomware ohne Backup und mit Exfiltration (Meldung auch an die Betroffenen empfohlen)
- Exfiltration von Bewerberdaten von einer Website (Meldung auch an die Betroffenen empfohlen)
- Credential-Stuffing-Angriff (Einsatz erbeuteter Anmeldedaten) auf eine Bank-Website (Meldung auch an die Betroffenen empfohlen)
- Exfiltration von Geschäftsdaten durch einen ehemaligen Mitarbeiter
Beispiele: Wann muss der Verantwortliche nicht melden?
In folgenden Fällen sieht der EDPB (je nach Einzelfall) kein meldungsbedürftiges Risiko:
- Ransomware mit ordnungsgemäßem Backup und ohne Exfiltration
- Exfiltration eines gehashten (Verschlüsselungsfunktion) Passworts von einer Website
- Versehentliche Übertragung von Daten an eine vertrauenswürdige Drittpartei
Wie können Unternehmen sich auf Datenpannen vorbereiten?
Verantwortliche sollte Pläne und Verfahren für den Umgang mit eventuellen Datenschutzverletzungen entwickeln und implementieren:
- Organisationen sollten klare Meldewege und Personen haben, die für den Prozess und geeignete Gegenmaßnahmen zuständig sind. Hier empfiehlt sich ein Datenschutz-Managementsystem (DSMS), das das Unternehmen langfristig auf solche Situationen vorbereitet. Zu einem DSMS gehört unter anderem eine Richtlinie Datenschutznotfall, die die Eskalationswege beschreibt, die zuständigen Stellen definiert und verbindliche Vorgaben zur Risikoermittlung und dem Umgang mit der Datenpanne macht.
- Auch Schulungen und die Sensibilisierung der Mitarbeiter zum Umgang mit Datenschutzverletzungen (Identifizierung eines Vorfalls und weitere zu ergreifende Maßnahmen) sind unerlässlich. Denn nur wenn eine Datenschutzverletzung überhaupt erkannt wird, kann sie behandelt werden. Diese Maßnahmen sollten regelmäßig wiederholt werden.
Die konkrete Ausgestaltung sollte sich an Art und Umfang der im Unternehmen durchgeführten Datenverarbeitungen und an der Unternehmensgröße orientieren, wobei die neuesten Trends und Warnungen vor z.B. Cyberangriffen oder anderen Sicherheitsvorfällen aufgegriffen werden sollten. Ein geplantes Schulungskonzept ist hier von großem Vorteil.
Lesen Sie dazu auch unsere ausführliche Anleitung zum Umgang mit Datenschutznotfällen und Pannen.
Fazit: Rasch und richtig handeln ist gefragt
Die Beurteilung, welches Risiko eine Datenschutzverletzung in sich birgt, ist schwer. Der EDPB und die DSK können hierfür nur eine Entscheidungshilfe bieten. Die Konsequenzen einer verspäteten Meldung oder eines unterschätzten Risikos trägt allein der Verantwortliche. Wohin das führen kann, zeigt beispielhaft der Fall von Booking.com.[/vc_column_text]
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!