In der Datenschutz-Grundverordnung (DSGVO) wird auch der Umgang mit einer sog. Datenpanne geregelt. Eine Datenpanne ist die Verletzung des Schutzes personenbezogener Daten. Eine Verletzung von personenbezogenen Daten liegt nach Art. 4 Nr. 12 DSGVO immer dann vor, wenn diese Daten verlorengegangen, vernichtet, verändert oder ohne rechtliche Grundlage offengelegt wurden.
Sobald ein Unternehmen eine Datenpanne feststellt, ist ein unverzügliches Handeln erforderlich. Eine Datenpanne muss von Unternehmen gemäß Art. 33 Abs. 1 DSGVO innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Ergeben sich aus der Datenpanne sogar hohe Risiken für Betroffene, sind diese nach Art. 34 zwingend ebenfalls zu informieren. Eine Datenpanne kann ein Hackerangriff oder ein Missbrauch von Zugriffsrechten sein. Zudem zählen unverschlüsselte E-Mails oder unbewusste sowie versehentliche Veröffentlichungen von personenbezogenen Daten zu den möglichen Datenpannen. Ein sehr klassisches Beispiel für eine Datenpanne ist das Versenden einer E-Mail an den falschen Empfänger.
Was müssen Unternehmen bei einer Datenpanne tun?
Sobald eine Datenpanne in einem Unternehmen festgestellt wurde, ist eine entsprechende Analyse anzustellen. Hierbei werden zunächst die Ursache sowie der Umfang der Auswirkungen festgestellt. An dieser Stelle sind insbesondere auch die sich ergebenen Risiken zu betrachten. Je nach Art und Umfang der Datenpanne ist zu entscheiden, ob die Aufsichtsbehörde oder mögliche betroffenen Personen darüber zu informieren sind. Diese Risikoanalyse ist sorgfältig aufzustellen und zu dokumentieren. Im Rahmen der Meldung kann sie ein wichtiger Nachweis sein.
Meldung der Datenpanne
Die Meldung einer Datenpanne an die Aufsichtsbehörde sollte schriftlich erfolgen. Notwenige Informationen sind hierbei die Beschreibung der Verletzung der personenbezogenen Daten sowie die Anzahl der betroffenen Datensätze und Personen. Zudem müssen Name und Kontaktdaten des Datenschutzbeauftragten und die Ergebnisse der durchgeführten Risikoanalyse enthalten sein. Ein Verstoß gegen die Meldepflicht bei Datenpannen wird grundsätzlich mit teilweise hohen Bußgeldern geahndet.