Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Der richtige Umgang mit Datenpannen – Meldepflicht oder nicht?

23. März 2019

Für den Verantwortlichen stellen sich im Zusammenhang mit den sogenannten „Datenpannen“ (die DS-GVO spricht von der „Verletzung des Schutzes personenbezogener Daten“) viele Fragen. Liegt überhaupt eine Datenpanne vor? Wenn ja, liegt eine Meldepflicht an die zuständige Aufsichtsbehörde vor oder genügt es, die Datenpanne intern zu dokumentieren und zu beheben? Sind betroffene Personen zu informieren? Wenn ja, dann wie? Und wann erfolgt eine Meldung noch rechtzeitig, ohne dass die Gefahr eines Bußgelds besteht?

Hier hilft der weise Spruch „ein Blick ins Gesetz (Art. 33 DS-GVO, Art. 4 Nr. 12 DS-GVO) erleichtert die Rechtsfindung“ nur bedingt weiter, denn damit kennt man zwar die grundsätzlichen Voraussetzungen, weiß jedoch noch nicht, wie die Datenschutzaufsichtsbehörden oder gegebenenfalls die mit einer Entscheidung befassten Gerichte die Normen interpretieren werden. Und von Letzteren hängt es schließlich ab, ob die gesetzlichen Bestimmungen als erfüllt oder nicht erfüllt anzusehen wären.

Eine abgestimmte Meinung der deutschen Aufsichtsbehörden zu den aufgeworfenen Fragen, die diese im Rahmen der Datenschutzkonferenz veröffentlicht hätten, gibt es aktuell zwar nicht, jedoch können die Stellungnahmen zweier Aufsichtsbehörden dabei helfen, Hinweise darauf zu bekommen, wie sich die (deutschen) Aufsichtsbehörden diesbezüglich positionieren. Hierzu schauen wir uns die vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) und von der Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) publizierten Stellungnahmen etwas genauer an.

Die Informationen des HmbBfDI sind aufgrund der ausführlichen Erklärungen und der vielen Beispiele mit zahlreichen Quellennachweisen besonders zu empfehlen. So wird beispielsweise ausgeführt, dass ein gestohlener oder verloren gegangener aber wirksam verschlüsselter USB-Stick keine Melde- und Informationspflichten nach Art. 33 DS-GVO auslösen würde. Gleiches gilt bei einem mehrminütigen Stromausfall, bei dem kein Datenzugriff zwischenzeitlich möglich war. Die meisten anderen Beispiele, die der HmbBfDI aufführt, führen jedoch zu einer Melde- und Informationspflicht. Folgende Beispiele werden genannt:

  • Datenzugriff durch eine Cyber-Attacke,
  • Versand eines Kontoauszuges an einen falschen Empfänger,
  • Zugriff der Hacker auf Nutzernamen, Passwörter und Kaufhistorie von Kunden eines Online-Shops,
  • Möglichkeit der Einsicht fremder Kundendaten durch einen anderen Kunden aufgrund eines Programmierfehlers in einem Kundenportal,
  • Versand von Werbe-E-Mails mit einem offenen Mailverteiler.

Es empfiehlt sich also, stets die Umstände des Einzelfalls genau zu prüfen und nicht pauschal bei jeder Datenschutzverletzung von einer melde- und/oder informationspflichtigen Datenpanne auszugehen. Andererseits ist es in Anbetracht der Tatsache, dass eine unterlassene oder nicht rechtzeitige Meldung ein Bußgeld zur Folge haben kann, besser, einmal zu viel als einmal zu wenig zu melden.

Haben Sie schon Prozesse für den Umgang mit „Datenpannen“ definiert? Kontaktieren Sie uns, wir helfen Ihnen gerne!