Umgang mit Datenschutzverletzungen
Praxisratgeber
Unbeabsichtigte Datenschutzverletzungen finden in jeder Organisation beinahe täglich statt. Im Grunde stellt fast jeder Verstoß gegen datenschutzrechtliche Vorschriften eine Datenschutzverletzung dar. Die Arten der Verletzungen sind so vielfältig, dass es den Bearbeitern der Daten kaum bewusst ist, einen Verstoß gegen den Datenschutz zu begehen und damit unter Umständen eine Datenschutzverletzung auszulösen. Zunächst ist es wichtig zu wissen, was eine Datenschutzverletzung ist.
Art. 4 Nr. 12 DSGVO
„Verletzung des Schutzes personenbezogener Daten“ ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Bei der Beurteilung einer Datenpanne spielt es demnach keine Rolle, ob etwas beabsichtigt oder unbeabsichtigt passiert ist. Das Ergebnis der Panne ist häufig der Verlust von Daten oder die versehentliche Offenlegung von Informationen. Aber selbst die unbewusste Veränderung von Daten kann schon eine Datenpanne darstellen, weil die betroffene Person einen Nachteil aus der Veränderung erleiden kann, z.B. Versendung von Mahnungen an die falsche Anschrift.
Beispiele von Datenschutzverletzungen
(Vorausgesetzt es sind personenbezogene Daten betroffen)
- Verlust von Speichermedien (z.B. USB-Stick, Smartphone, Laptop)
- Opfer eines Cyberangriffs, Virusbefall oder Phishing-Angriff
- (Un-)beabsichtigte Löschung von Daten
- Falscher Empfänger von E-Mail, Briefen usw.
- Entsorgung von Dokumenten im Papierkorb (ohne diese mittels Aktenvernichter „geschreddert“ zu haben)
- Einblicke von Unbefugten in Daten (Dokumente, PC)
- Einbruch und Diebstahl von Hardware (Kamera, Laptop)
Die DSGVO spricht im Art. 33 von der „Verletzung des Schutzes der personenbezogenen Daten“. In der Praxis werden häufig folgende Begrifflichkeiten verwendet: Datenschutzverletzungen, Datenschutzverstöße, Datenschutzvorfälle und Datenpannen.
Hinweis
Die DSGVO spricht im Art. 33 von der „Verletzung des Schutzes der personenbezogenen Daten“. In der Praxis werden häufig folgende Begrifflichkeiten verwendet: Datenschutzverletzungen, Datenschutzverstöße, Datenschutzvorfälle und Datenpannen.
Massnahmen
1. Soforthilfe
Zunächst ist es wichtig, den Schaden der Datenschutzverletzung zu begrenzen. Je nach Art der Verletzung sollten Maßnahmen ergriffen werden, wie beispielsweise:
| Datenschutzverletzung | Soforthilfe |
|---|---|
| Falscher Empfänger von E-Mail, Briefen usw. | Falschen Empfänger informieren und um Vernichtung der Daten bitten |
| Opfer eines Cyberangriffs oder Virusbefall | PC vom Internet trennen und IT-Fachpersonal informieren |
| Entsorgung von ungeschredderten Dokumenten im Papierkorb | Entfernen der Unterlagen und ordnungsgemäß vernichten |
2. Information an den Vorstand und den/die Datenschutzbeauftragte/n
Nachdem die Maßnahmen zur Soforthilfe ergriffen wurden, müssen der Vorstand und der/die Beauftragte für den Datenschutz (wenn benannt) informiert werden. Der/die Beauftragte für den Datenschutz berät den Vorstand über das weitere Vorgehen und unterstützt bei notwendigen Meldungen an Behörden und Betroffene.
3. Meldung an die Aufsichtsbehörde
Wenn vermutet wird, dass die Datenschutzverletzung ein Risiko für die Betroffenen darstellt, muss der Vorstand die Verletzung unverzüglich und möglichst binnen 72 Stunden bei der Aufsichtsbehörde melden. Ein Risiko liegt beispielsweise bereits vor, wenn die Betroffenen…
- die Kontrolle über ihre Daten verlieren
- eine Einschränkung ihrer Rechte befürchten müssen
- eine Diskriminierung befürchten müssen
- einen Identitätsdiebstahl oder -betrug befürchten müssen
- einen finanziellen Verlust befürchten müssen
- wirtschaftliche oder gesellschaftliche Nachteile befürchten müssen
Hinweis
Aufsichtsbehörde: Die zuständige Aufsichtsbehörde richtet sich nach dem Sitz des Vereins. Eine Übersicht aller Behörden findt ihr hier.
Die Meldung kann online über die Webseite der Aufsichtsbehörde erfolgen. Im Vorfeld sollten alle wichtigen Informationen im Zusammenhang mit der Datenschutzverletzung vorliegen. Folgenden Fragenkatalog könnt ihr dazu zu Hilfe nehmen.
- Was ist passiert? Welche Art der Verletzung liegt vor?
- Wann ist es passiert? Wer hat es bemerkt? Wer war Zeuge?
- Welche Daten sind betroffen?
- Wessen Daten sind betroffen?
- Wie viele Daten sind betroffen (ggf. Schätzung)?
- Welche Folgen haben die Betroffenen vermutlich zu befürchten?
- Welche Maßnahmen wurden bereits ergriffen?
Hinweis
Im Zweifelsfall (wenn unklar ist, ob eine Meldung zu erfolgen hat oder nicht) sollte eine Meldung an die Aufsichtsbehörde erfolgen. Bewertet die Aufsichtsbehörde die Datenschutzverletzung als bedeutungslos, wird der Verein eine entsprechende Rückmeldung erhalten.
72 Stunden
Die Frist beginnt mit dem Zeitpunkt der Kenntnisnahme durch ein Mitglied des Vorstands.
Die zuständige Aufsichtsbehörde richtet sich nach dem Sitz des Vereins.
Eine Übersicht aller Behörden findet ihr hier.
4. Zusätzliche Meldung an die Betroffenen
Je nach Schwere der Datenschutzverletzung müssen zusätzlich die Betroffenen von dem Vorfall erfahren, um eigene Abhilfemaßnahmen zu treffen. Grundsätzlich verlangen die Datenschutzgesetze zunächst eine Risikoabwägung im Zusammenhang mit der Datenschutzverletzung. Wenn das Ergebnis der Abwägung ein hohes Risiko darstellt, dann müssen auch die Betroffenen unverzüglich informiert werden. An dieser Stelle unterstützen die Aufsichtsbehörden bei der Abwägung. Ergibt sich eine Pflicht zur Meldung an die Betroffenen, so sollte der Vorstand einen Informationsweg wählen, der im günstigsten Fall alle Betroffenen gleichermaßen erreicht. Alternativ sollten die Betroffenen über mehrere Wege kontaktiert werden.
5. Dokumentation
Grundsätzlich ist jede Datenschutzverletzung umfangreich zu dokumentieren (Art. 33 Abs. 5 DSGVO), unabhängig davon, ob sie meldepflichtig war oder nicht. Dies dient auch der zukünftigen Nachverfolgung einer Datenschutzverletzung und der Begründung einer eventuell nicht erfolgten Meldung an die Aufsichtsbehörde.
Autorin: Jacqueline Vogel
…oder in verwandten Einträgen
