Quelle: BDIU – Bundesverband Deutscher Inkasso-Unternehmen
Unter einer Datenpanne versteht man grundsätzlich einmal den fehlerhaften Umgang mit personenbezogenen Daten. Der Begriff Datenpanne umfasst folgende Verletzungssituationen gem. Art. 4 Nr. 12 der DSGVO:
Beispiele: Übermittlung falscher Adressdaten, Löschung von Datenbeständen durch unbefugte Personen, Hackerangriffe, Diebstahl oder Verlust von Datenträgern (z.B. Laptop, IJSB-Stick, Festplatte), usw.
Eine Datenpanne ist der Datenschutzaufsichtsbehörde zu melden, wenn die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 Abs. I Satz I DSGVO). Führt die Verletzung voraussichtlich zu einem hohen Risiko für deren Rechte und Freiheiten, ist darüber hinaus der Betroffene zu benachrichtigen (Art. 34 Abs. I DSGVO).
Die Datenschutzbehörden haben auf der Basis der Erwägungsgründe (ErwGr.) 75 und 94 Satz 2 DS-GVO den Risikobegriff wie folgt definiert:
„Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit dass das Ereignis und die Folgeschäden eintreten.“
Zu den Risiken für die Rechte und Freiheiten natürlicher Personen gehören entsprechend dem Wortlaut des ErwGr. 75 alle drohenden physischen, materiellen oder immateriellen Schäden.
Hierzu zählen etwa:
Derjenige, der die Daten verarbeitet, muss im Fall einer Datenpanne im Wege einer Risikoprognose bestimmen, ob ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Es ist unerlässlich, dass Unternehmen für diesen Fall feste Prüfungs- und Bewertungsabläufe einführen, um bestehende Meldepflichten erkennen und umsetzen zu können.
Die Risikobeurteilung im Fall einer Datenpanne sollte so ablaufen:
Phase I : Risikoidentifikation
Phase 2: Abschätzung von Eintrittswahrscheinlichkeit und Schwere möglicher Schäden
Stellen Sie fest, dass voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, müssen Sie die Verletzung binnen 72 Stunden ab Kenntnis der Verletzung der Aufsichtsbehörde melden (Art. 33 Abs. I Satz I DSGVO). Erfolgt die Meldung später, ist ihr eine Begründung für die Verzögerung beizulegen (Art 33 Abs. I Satz 2 DSGVO).
Besteht ein hohes Risiko, müssen Sie ferner den Betroffenen unverzüglich, d.h. ohne schuldhaftes Zögern, von der Verletzung informieren (Art. 34 Abs. I DSGVO). Jede Datenschutzverletzung muss, unabhängig vom Ergebnis der Risikoanalyse, inkl. der Risikobeurteilung, dokumentiert werden. Damit kann das datenverarbeitende Unternehmen der Aufsichtsbehörde die Durchführung der Risikobeurteilung und die Einhaltung eventueller Meldepflichten nachweisen.
Wenn eine Datenpanne aufgetreten ist, müssen Maßnahmen ergriffen werden, die in Zukunft verhindern sollen, dass eine weitere Datenpanne dieser Art auftritt. Die technischen und organisatorischen Anpassungen, die vorgenommen werden, um weitere Datenpannen zu verhindern („Abhilfemaßnahmen“), müssen dokumentiert werden.
Die Benachrichtigung an den Art. 34 Abs. 2 i.V. m. Art. 33 Abs. 3 DSGVO zumindest folgende Informationen enthalten:
Die Meldung an die Aufsichtsbehörde enthält darüber hinaus noch folgende Information (Art. 33 Abs. 3 DSGVO):
Entstehen dem Betroffenen infolge einer Datenpanne materielle oder immaterielle Schäden, so sieht Art. 82Abs. I i.V.m. Abs. 2 DSGVO hierfür eine umfangreiche Haftung vor, von der lediglich gemäß Art. 82 Abs. 3 DSGVO eine Befreiung möglich ist, sofern der in Anspruch genommene Verantwortliche oder Auftragsverarbeiter nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Darüber hinaus sind die Meldepflichten aus Art. 33 und 34 DSGVO bußgeldbewährt.
Sie wollen mehr erfahren, sich kompetent beraten lassen oder direkt einen Termin ausmachen? Dann nehmen Sie Kontakt mit uns auf, um offene Fragen zu klären oder sich einfach unverbindlich zum Thema Inkasso beraten zu lassen. Wir freuen uns auf Sie!
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen