Ob gestohlener Laptop, gehackter E-Mail-Account oder eine Datei, die versehentlich im falschen Postfach landet – Datenpannen passieren schneller, als viele Unternehmen glauben. Oft wird so ein Vorfall im Alltag als technisches Problem oder Missgeschick abgetan. Doch sobald personenbezogene Daten betroffen sind, wird aus einer einfachen Panne ein Fall für den Datenschutz, mit klaren Pflichten und möglichen Konsequenzen.

Definition Datenschutzvorfall

Ein Datenschutzvorfall liegt vor, wenn unberechtigte Personen Zugriff auf personenbezogene Daten haben. In einer weiter gefassten Definition können Vorfälle auch die ungewollte Löschung von Daten einschließen.

Gemäß Art. 4 Nr. 12 DSGVO ist eine „Verletzung des Schutzes personenbezogener Daten“

„[…] eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Warum ein Datenschutzvorfall keine Lappalie ist

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, kann das für ein Unternehmen schnell teuer werden, sowohl finanziell als auch in puncto Vertrauen. Schließlich geht es um sensible Informationen, wie Namen, Kontaktdaten, Finanzdaten oder Gesundheitsinformationen.

Gelangen diese in falsche Hände, drohen Bußgelder, Imageschäden und rechtliche Auseinandersetzungen. Auch zivilrechtliche Schadensersatzforderungen durch betroffene Personen gemäß Art. 82 DSGVO können Konsequenz eines Verstoßes sein.

Deshalb ist es entscheidend, dass es gar nicht erst so weit kommt. Im Ernstfall, muss klar sein, wer was zu tun hat, um Schaden zu begrenzen und die gesetzlichen Pflichten einzuhalten. Einen Notfallplan zu haben, ist hier keine Kür, sondern Pflicht.

Meldepflicht – wann ein Vorfall der Aufsichtsbehörde gemeldet werden muss

Nicht jeder Datenschutzvorfall muss automatisch der Aufsichtsbehörde gemeldet werden. Laut Art. 33 DSGVO besteht eine Meldepflicht immer dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen darstellt. Eine betroffene Person kann dabei zum Beispiel in ihrer Vertraulichkeit, ihrer informationellen Selbstbestimmung oder ihren Persönlichkeitsrechten beeinträchtigt sein. Unternehmen müssen deshalb jeden Vorfall zunächst bewerten:

  • Welche Daten sind betroffen?
  • Wie sensibel sind sie?
  • Welche Folgen könnten für die betroffenen Personen entstehen?

Fällt die Bewertung so aus, dass ein Risiko nicht ausgeschlossen werden kann, muss der Vorfall ohne schuldhaftes Zögern, spätestens aber innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutzbehörde gemeldet werden. Wird diese Frist überschritten, drohen empfindliche Bußgelder.

Bei einer Gefährdung der Rechte und Freiheiten der betroffenen Personen sind auch diese über den Datenschutzvorfall zu informieren.

Dokumentation ist Pflicht – egal ob meldepflichtig oder nicht

Ein Aspekt wird häufig übersehen: Unternehmen müssen jeden festgestellten Datenschutzvorfall dokumentieren. Dies gilt auch, wenn ein Vorfall nicht meldepflichtig ist. Die DSGVO schreibt in Art. 33 Abs. 5 ausdrücklich vor, dass jede Verletzung des Schutzes personenbezogener Daten nachvollziehbar festgehalten werden muss.

Dazu gehört, wann und wie der Vorfall festgestellt wurde, welche Daten betroffen sind, welche Folgen drohen und welche Maßnahmen das Unternehmen ergriffen hat. Diese Dokumentation dient nicht nur der eigenen Absicherung gegenüber Aufsichtsbehörden, sondern ist auch ein wichtiges Lerninstrument: Wiederholt sich ein Vorfallmuster, kann man gezielt gegensteuern. Eine sorgfältige Dokumentation hilft zudem dabei, Schwachstellen im Datenschutzmanagementsystem (DSMS) zu erkennen und Prozesse fortlaufend zu verbessern.

Fazit

Ein Datenschutzvorfall ist mehr als nur ein ärgerlicher Zwischenfall, er kann Unternehmen teuer zu stehen kommen. Deshalb gilt: Verhindern, was möglich ist, vorbereitet sein, wenn es passiert, und dokumentieren, was war. So schützt man nicht nur personenbezogene Daten, sondern auch das eigene Unternehmen.

Wir unterstützen Sie dabei, Datenschutzvorfälle von vornherein zu vermeiden und Ihr Unternehmen für den Ernstfall sicher aufzustellen. Ob Prävention, klare Abläufe oder eine lückenlose Dokumentation – wir helfen Ihnen dabei, Ihre Pflichten zuverlässig zu erfüllen. Nutzen Sie unsere kostenlose Erstberatung um mehr darüber zu erfahren, wie Sie Ihre Datenschutzpraxis professionell absichern.

Fragen & Antworten zum Thema

Wann ist ein Datenschutzvorfall zu melden?

Dies hängt davon ab, ob die Rechte und Freiheiten der betroffenen Personen gefährdet sind. Die bereits erwähnte Bewertung des Vorfalls ist daher entscheidend. Liegt eine Gefährdung vor, ist zuständige Aufsichtsbehörde innerhalb von 72 Stunden zu informieren.

Wo ist der Vorfall zu melden?

Vorfälle werden nicht immer zuerst von dem für den Datenschutz Verantwortlichen oder dem Datenschutzbeauftragten entdeckt. Daher ist zunächst eine interne Meldung des Vorfalls erforderlich, damit die zuständige Stelle die Situation beurteilen kann. Sofern ein meldepflichtiger Datenschutzvorfall vorliegt, ist die zuständige Aufsichtsbehörde (des jeweiligen Bundeslandes) fristgerecht zu informieren.

Wie ist eine Datenpanne intern zu melden?

Die im Unternehmen geltende Richtlinie legt fest, wie Mitarbeiter Verdachtsfälle melden sollen. In den meisten Fällen erfolgt die Meldung direkt an den Verantwortlichen oder den Datenschutzbeauftragten.

Mit welcher Bußgeldhöhe ist im Ernstfall zu rechnen?

Die Höhe eines Bußgeldes bei einem Datenschutzverstoß lässt sich nicht pauschal bestimmen. Sie hängt vielmehr von den Umständen des Einzelfalls ab. Die Aufsichtsbehörde berücksichtigt dabei insbesondere die Schwere und den Umfang des eingetretenen Schadens. Außerdem fließen die Kooperationsbereitschaft des Verantwortlichen sowie etwaige Vorfälle in der Vergangenheit in die Entscheidung ein.

Was ist, wenn sich der Vorfall bei einem Auftragsverarbeiter ereignet?

Ein Auftragsverarbeiter kann Verstöße nicht eigenständig regeln. Die DSGVO verpflichtet ihn dazu, Verletzungen des Schutzes personenbezogener Daten sowie Verdachtsfälle unverzüglich dem Verantwortlichen zu melden.
Philipp Herold

Über

Experte für Informationssicherheit, Compliance und Datenschutz. Berät Unternehmen mit präzisen Lösungsansätzen und umfassendem Wissen zum Schutz sensibler Daten und gesetzlicher Anforderungen.

Über uns

Die Herold Unternehmensberatung ist Ihr Partner für Risk Management, Informationssicherheit, Compliance und Datenschutz. Wir unterstützen Sie dabei, die geltenden Anforderungen in den Bereichen Risk Management, Informationssicherheit, Compliance und Datenschutz zu erfüllen.

Mehr über uns erfahren

Teambild Herold Unternehmensberatung

Beitrag teilen