Datenpannen sind in letzter Zeit wieder öfter in mediale Aufmerksamkeit geraten. Wir berichteten erst kürzlich über die Datenpannen bei Facebook und LinkedIn

Wie datenverarbeitende Unternehmen bei einer Datenpanne vorgehen sollten, fassen wir für Sie in diesem Beitrag noch einmal kurz zusammen!

Was sind Datenpannen?

Von „Datenpannen“ spricht man, wenn Daten ungewollt an Dritte gelangen, weil sie z.B. an den falschen Empfänger gesendet wurden oder für jeden frei zugänglich im Netz zu finden sind. Facebook ist immer wieder von Datenpannen betroffen, so auch aktuell. 

Rechtstipp: Art. 4 Nr. 12 DSGVO definiert deutlich, wann eine Verletzung des Schutzes der personenbezogenen Daten“ gegeben ist: 

eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden

 Unternehmerische Meldepflichten bei Datenpannen

Die Ursache für eine Datenpanne können verschieden sein. Sie müssen dieser aber umgehend auf den Grund gehen. Wir raten Ihnen umgehend ein Data Incident Management einzuleiten, um finanzielle Risiken und Rufschädigungen bestmöglich abzuwenden. 

Sobald eine Datenschutzverletzungen i.S.d. Art. 4 Nr. 12 DSGVO vorliegt, ist der für die Datenverarbeitung Verantwortliche zur Meldung gem. Art. 33, 34 DSGVO verpflichtet. 

Die Unternehmensleitung bzw. die im Unternehmen verantwortliche Stelle muss schnellstmöglich die internen Stellen und die Aufsichtsbehörde informieren. Zeitgleich muss eine Benachrichtigung an die betroffenen Personen über Ausmaß und Umfang der verletzten Daten erfolgen.

Rechtstipp: Wir raten Ihnen intern, falls vorhanden, den Datenschutzbeauftragten, die Personalabteilung, den Compliance-Officer und die Arbeitnehmervertretung zu unterrichten. Die Presseabteilung muss mit dem Unternehmen eng zusammenarbeiten und sollte juristischen Rat einholen. Hierfür steht unser hierfür spezialisiertes Team gerne schnell und unkompliziert Seite. Melden Sie sich bei uns! 

Meldung der Aufsichtsbehörde innerhalb von 72 Stunden

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, zu melden. Ausnahmen bestehen nur, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Achtung: Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. Hierbei stehen wir Ihnen mit rechtlicher Beratung zur Verfügung. 

Wann besteht die Meldepflicht? 

Eine Meldepflicht besteht bereits, wenn eine hinreichende Kenntnis der Verletzung vorliegt und eine sinnvolle Information der Behörde bereits möglich ist.

Was muss bei der Meldung an die Aufsichtsbehörde angegeben werden?

Die anzugebenden Informationen sind in Art. 33 Abs. 3 geregelt. Demnach muss zumindest eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze, sowie den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen. 

Außerdem muss eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Fazit

Betroffene Unternehmen sollten strukturiert und transparent im Falle einer Datenpanne umgehen und auch eng mit der Aufsichtsbehörde zusammenarbeiten. Da auch das Unternehmen auch schützenswerte Interessen hat, die in Einklang mit der Datenpanne zu bringen sind, sollte Sie rechtlichen Rat einholen und sich ggfs. bei Kommunikationen mit der Aufsichtsbehörde vertreten lassen. Außerdem sollte die Pressestelle juristischen Rat einholen, damit die Meldung der Datenpanne transparent und rechtskonform ergeht. 

Sie haben Fragen zum Thema Datenschutz, Datenpannen oder sehen sich mit Entschädigungs- und Schadensersatzansprüchen konfrontiert? 

Melden Sie sich bei uns! Unser spezialisiertes Team steht Ihnen gerne schnell und unkompliziert zur Seite und berät Sie gern.