Data protection breaches according to GDPR

Bei einer Daten(schutz)panne erhalten Unberechtigte Zugriff auf Daten. Durch diese Verstöße gegen Datenschutz und -sicherheit werden Betriebsgeheimnisse und/oder individual-related data Unberechtigten bekannt. Im weiteren Sinne umfasst eine Datenpanne auch das unerwünschte Löschen von Daten, also ihren Verlust.

Die Daten können dabei im Original abhanden kommen, zum Beispiel weil Datenträger oder Akten verloren, gestohlen oder falsch entsorgt wurden, oder in Form einer Kopie. Solche Pannen können beispielsweise durch Eindringen in einen Server oder die Verbreitung versehentlich veröffentlichter Daten passieren.

Diese Lecks haben oft negative Folgen für Unternehmen und bei personenbezogenen Daten für die Betroffenen. Den Unternehmen drohen wirtschaftliche Nachteile und Imageschäden, den Betroffenen können durch Datenschutzverletzungen bis hin zum Identitätsdiebstahl große finanzielle und persönliche Schäden entstehen.

→ Beispiele für Datenpanne im Datenschutz

High number of unreported data breaches

Da es kleine und große Lecks gibt, kann man ihre Zahl nicht genau einschätzen. Die Dunkelziffer dürfte hoch sein, da viele Unternehmen vermeiden wollen, dass solche Vorfälle bekannt werden. Zudem sind Firmen nicht dazu verpflichtet, bei jedem Datenleck eine Meldung bei der Aufsichtsbehörde einzureichen, sondern nur, wenn es für den Betroffenen mit Risiken verbunden ist.

A violation of personal data is deemed to have occurred after Article 4 No. 12 GDPR vor, wenn diese Daten verlorengegangen sind bzw. vernichtet, verändert oder unbefugt offengelegt wurden. Seit Wirksamwerden der DSGVO besteht eine umfassendere Meldepflicht bei Datenpannen als früher nach dem Bundesdatenschutzgesetz. Die Article 33 and the 34 regeln diese Meldepflicht. Nun ist jede Datenpanne, die voraussichtlich zu einem Risiko für den Betroffenen führt, innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden. Darüber hinaus müssen im Falle eines hohen Risikos für die persönlichen Rechte und Freiheiten von Betroffenen einer Datenschutzverletzung auch diese Personen benachrichtigt werden. Das ist nur unter den Bedingungen des Article 34(3) GDPR nicht zwingend nötig. Wenn Sie als Datenverarbeiter fungieren, so unterliegen Sie im Übrigen der Dokumentationspflicht für den Vorfall.

How to report data breaches

Zuständig ist die Aufsichtsbehörde des Bundeslandes, in dem die Firma ihren Sitz hat. Während die Meldung an die Behörde binnen 72 Stunden zu erfolgen hat, müssen die Betroffenen unverzüglich informiert werden. Als Faustregel gilt: Je riskanter die Datenschutzverletzung ist, desto schneller sollte die Meldung geschehen. Ihr Umfang hängt davon ab, ob sie an Behörden oder Betroffene gerichtet ist. Die GDPR schreibt für die Benachrichtigung keine bestimmte Form vor wie Fax oder Brief. Das ist aber schon aus Beweisgründen zu empfehlen. Zuvor sollten Sie die Aufsichtsbehörde telefonisch kontaktieren, um die 72-Stunden-Frist einzuhalten. Dem Betroffenen muss man keine umfassenden Informationen über die Datenschutzverletzung geben. Achten Sie aber darauf, die Infos in einer klaren und verständlichen Sprache zu verfassen!

Wenn Sie die Panne nicht melden, haben die Datenschutzbehörden bei den Sanktionen ein Ermessen. Sie können es bei einer Verwarnung belassen oder auch eine Geldbuße verhängen. Gemäß Artikel 83 Absatz 4a DSGVO sind Bußgelder in Höhe von bis zu zehn Millionen Euro oder bis zu zwei Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahrs möglich. Wie die jüngere Vergangenheit gezeigt hat, setzen die Behörden  diese Strafen auch tatsächlich durch.