Meldepflicht bei Datenpannen

Meldepflicht bei Datenpannen nach DSGVO

Die Artikel 33 und 34 der DSGVO verpflichten Verantwortliche, Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und unter bestimmten Umständen auch an die betroffenen Personen zu melden. Diese Meldepflicht ist ein zentrales Element der DSGVO-Compliance und erfordert klare interne Prozesse, schnelle Reaktionsfähigkeit und lückenlose Dokumentation.

Was ist eine Datenpanne (Data Breach)?

Eine Verletzung des Schutzes personenbezogener Daten (umgangssprachlich: Datenpanne) ist nach Art. 4 Nr. 12 DSGVO jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt — ob unbeabsichtigt oder unrechtmäßig.

Datenpannen lassen sich in drei Kategorien einteilen:

• Vertraulichkeitsverletzung — Unbefugte Offenlegung oder unbefugter Zugang zu Daten (z. B. E-Mail an falschen Empfänger, Hackerangriff, ungesicherter Server).
• Integritätsverletzung — Unbefugte Veränderung personenbezogener Daten (z. B. Manipulation von Datensätzen).
• Verfügbarkeitsverletzung — Verlust des Zugangs zu oder Vernichtung von Daten (z. B. Ransomware-Angriff, Hardwareausfall ohne Backup).

Häufige Beispiele aus der Praxis

• Versand einer E-Mail mit offenem Verteiler (CC statt BCC)
• Verlust eines unverschlüsselten Laptops oder USB-Sticks
• Ransomware-Verschlüsselung von Kundendaten
• Fehlkonfiguration eines Cloud-Speichers mit öffentlichem Zugriff
• Phishing-Angriff mit Zugriff auf E-Mail-Postfächer
• Entsorgung von Datenträgern ohne fachgerechte Vernichtung
• Unbefugter Zugriff durch ehemalige Mitarbeiter

Meldung an die Aufsichtsbehörde (Art. 33 DSGVO)

Der Verantwortliche muss eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde melden. Erfolgt die Meldung nicht innerhalb von 72 Stunden, muss sie mit einer Begründung für die Verzögerung versehen werden.

Ausnahme: Kein Risiko für Betroffene

Die Meldepflicht entfällt, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Diese Risikoeinschätzung muss dokumentiert werden. Beispiel: Verlust eines verschlüsselten Laptops, bei dem der Schlüssel sicher ist und die Daten nicht kompromittiert wurden.

Inhalt der Meldung (Art. 33 Abs. 3)

Die Meldung an die Aufsichtsbehörde muss mindestens folgende Informationen enthalten:

• Art der Verletzung — Beschreibung der Art der Verletzung einschließlich (soweit möglich) der Kategorien und der ungefähren Zahl der betroffenen Personen und Datensätze.
• Kontaktdaten des DSB — Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle.
• Wahrscheinliche Folgen — Beschreibung der wahrscheinlichen Folgen der Verletzung.
• Ergriffene Maßnahmen — Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn nicht alle Informationen gleichzeitig bereitgestellt werden können, dürfen sie schrittweise ohne unangemessene weitere Verzögerung nachgeliefert werden.

Benachrichtigung betroffener Personen (Art. 34 DSGVO)

Wenn eine Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der Verantwortliche die betroffenen Personen unverzüglich benachrichtigen. Die Benachrichtigung muss in klarer und einfacher Sprache die Art der Verletzung beschreiben und mindestens die Informationen nach Art. 33 Abs. 3 lit. b, c und d enthalten.

Ausnahmen von der Benachrichtigungspflicht

Die Benachrichtigung der betroffenen Personen ist nicht erforderlich, wenn:

• Geeignete Schutzmaßnahmen angewandt wurden, die die Daten für Unbefugte unzugänglich machen (z. B. Verschlüsselung).
• Nachträgliche Maßnahmen ergriffen wurden, die sicherstellen, dass das hohe Risiko für die Rechte der Betroffenen aller Wahrscheinlichkeit nach nicht mehr besteht.
• Die individuelle Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre — in diesem Fall muss eine öffentliche Bekanntmachung oder eine ähnlich wirksame Maßnahme erfolgen.

Die 72-Stunden-Frist im Detail

Die 72-Stunden-Frist beginnt ab dem Zeitpunkt, an dem der Verantwortliche Kenntnis von der Datenpanne erlangt. Kenntnis liegt vor, wenn der Verantwortliche einen hinreichenden Grad an Sicherheit hat, dass ein Sicherheitsvorfall eingetreten ist, der zu einer Kompromittierung personenbezogener Daten geführt hat.

• Auftragsverarbeiter — Wird einem Auftragsverarbeiter eine Datenpanne bekannt, muss er den Verantwortlichen unverzüglich — ohne unangemessene Verzögerung — benachrichtigen (Art. 33 Abs. 2). Die 72-Stunden-Frist beginnt für den Verantwortlichen erst nach seiner eigenen Kenntniserlangung.
• Wochenenden und Feiertage — Die 72-Stunden-Frist läuft ohne Unterbrechung — auch an Wochenenden und Feiertagen. Unternehmen müssen daher auch außerhalb der Geschäftszeiten erreichbar sein.
• Begründete Verzögerung — Wird die Frist nicht eingehalten, muss die Meldung eine Begründung enthalten, warum die Verzögerung eingetreten ist.

Dokumentationspflicht (Art. 33 Abs. 5)

Der Verantwortliche muss alle Verletzungen des Schutzes personenbezogener Daten dokumentieren — einschließlich aller damit im Zusammenhang stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung ermöglichen.

Das bedeutet: Auch Datenpannen, die nicht meldepflichtig sind (kein Risiko), müssen intern dokumentiert werden. Empfehlenswert ist ein zentrales Datenpannenregister mit folgenden Informationen:

• Datum und Uhrzeit der Entdeckung
• Beschreibung des Vorfalls und betroffene Systeme
• Kategorien und Anzahl betroffener Personen und Datensätze
• Risikoeinschätzung mit Begründung
• Ergriffene Sofortmaßnahmen
• Meldung an Aufsichtsbehörde (ja/nein, Datum, Aktenzeichen)
• Benachrichtigung Betroffener (ja/nein, Art, Datum)
• Langfristige Maßnahmen zur Vermeidung
• Verantwortliche Personen und beteiligte Abteilungen

Incident-Response-Plan: Vorbereitet auf den Ernstfall

Ein strukturierter Incident-Response-Plan ist entscheidend, um die 72-Stunden-Frist einzuhalten und die Auswirkungen einer Datenpanne zu minimieren:

• Phase 1: Erkennung und Erstbewertung — Vorfall identifizieren, Schwere einschätzen, Incident-Response-Team aktivieren.
• Phase 2: Eindämmung — Sofortmaßnahmen zur Begrenzung des Schadens (z. B. Sperrung kompromittierter Konten, Isolation betroffener Systeme).
• Phase 3: Risikoeinschätzung — Bewertung des Risikos für betroffene Personen, Entscheidung über Meldepflicht.
• Phase 4: Meldung — Fristgerechte Meldung an Aufsichtsbehörde und ggf. Benachrichtigung Betroffener.
• Phase 5: Aufarbeitung — Ursachenanalyse, Umsetzung langfristiger Maßnahmen, Anpassung der technischen und organisatorischen Maßnahmen.

Konsequenzen bei Verstößen gegen die Meldepflicht

Verstöße gegen die Meldepflicht können empfindliche Konsequenzen haben:

• Bußgelder — Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (Art. 83 Abs. 4 lit. a DSGVO). Detaillierte Informationen zu DSGVO-Bußgeldern und Strafen.
• Reputationsschaden — Eine verspätete oder unterlassene Meldung kann das Vertrauen von Kunden, Partnern und der Öffentlichkeit nachhaltig beschädigen.
• Schadensersatzansprüche — Betroffene Personen können materiellen und immateriellen Schadensersatz geltend machen (Art. 82 DSGVO).
• Aufsichtsbehördliche Maßnahmen — Anordnungen, Warnungen oder Verarbeitungsverbote durch die Aufsichtsbehörde.

Rolle des Auftragsverarbeiters bei Datenpannen

Auftragsverarbeiter sind verpflichtet, den Verantwortlichen unverzüglich nach Bekanntwerden einer Datenpanne zu informieren (Art. 33 Abs. 2). Die konkrete Meldepflicht gegenüber der Aufsichtsbehörde liegt beim Verantwortlichen. Im Auftragsverarbeitungsvertrag sollten klare Regelungen zu Benachrichtigungsfristen, Kontaktpersonen und Unterstützungsleistungen getroffen werden.

Prävention: Datenpannen vermeiden

Die beste Meldepflicht-Strategie ist die Vermeidung von Datenpannen. Zentrale Präventionsmaßnahmen umfassen:

• Regelmäßige Schulung aller Mitarbeiter zu Datenschutz und IT-Sicherheit
• Implementierung angemessener technischer und organisatorischer Maßnahmen
• Regelmäßige Penetrationstests und Schwachstellenanalysen
• Verschlüsselung sensibler Daten in Transit und at Rest
• Multi-Faktor-Authentifizierung für alle kritischen Systeme
• Regelmäßige Backups mit getesteter Wiederherstellung
• Zugriffskontrollen nach dem Prinzip der geringsten Berechtigung