Identitätsdiebstahl – Wann löst eine Datenpanne eine Meldepflicht aus?

Quelle: BDIU – Bundesverband Deutscher Inkasso-Unternehmen

Was sind Datenpannen?

Unter einer Datenpanne versteht man grundsätzlich einmal den fehlerhaften Umgang mit personenbezogenen Daten. Der Begriff Datenpanne umfasst folgende Verletzungssituationen gem. Art. 4 Nr. 12 der DSGVO:

  • Vernichtung
  • Verlust
  • Veränderung
  • unbefugte Offenlegung/Weitergabe oder
  • unbefugter Zugang.

Beispiele: Übermittlung falscher Adressdaten, Löschung von Datenbeständen durch unbefugte Personen, Hackerangriffe, Diebstahl oder Verlust von Datenträgern (z.B. Laptop, IJSB-Stick, Festplatte), usw.

Wann löst eine Datenpanne eine Meldepflicht aus?

Eine Datenpanne ist der Datenschutzaufsichtsbehörde zu melden, wenn die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 Abs. I Satz I DSGVO). Führt die Verletzung voraussichtlich zu einem hohen Risiko für deren Rechte und Freiheiten, ist darüber hinaus der Betroffene zu benachrichtigen (Art. 34 Abs. I DSGVO).

Die Datenschutzbehörden haben auf der Basis der Erwägungsgründe (ErwGr.) 75 und 94 Satz 2 DS-GVO den Risikobegriff wie folgt definiert:

„Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit dass das Ereignis und die Folgeschäden eintreten.“

Zu den Risiken für die Rechte und Freiheiten natürlicher Personen gehören entsprechend dem Wortlaut des ErwGr. 75 alle drohenden physischen, materiellen oder immateriellen Schäden.

Hierzu zählen etwa:

  • Verlust der Kontrolle über die personenbezogenen Daten
  • Einschränkung ihrer Rechte
  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • finanzielle Verluste
  • Rufschädigung
  • wirtschaftliche oder gesellschaftliche Nachteile etc.

III. Risikobeurteilung

Derjenige, der die Daten verarbeitet, muss im Fall einer Datenpanne im Wege einer Risikoprognose bestimmen, ob ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Es ist unerlässlich, dass Unternehmen für diesen Fall feste Prüfungs- und Bewertungsabläufe einführen, um bestehende Meldepflichten erkennen und umsetzen zu können.

Die Risikobeurteilung im Fall einer Datenpanne sollte so ablaufen:

Phase I : Risikoidentifikation

  • Welche Schäden können für die Personen auf der Grundlage der zu verarbeitenden Daten bewirkt werden?
  • Durch welche Ereignisse kann es zu dem Schaden kommen?
  • Durch welche Handlungen und Umstände kann es zum Eintritt dieser Ereignisse kommen?

Phase 2: Abschätzung von Eintrittswahrscheinlichkeit und Schwere möglicher Schäden

  • Für die Eintrittswahrscheinlichkeit als auch für die Schwere möglicher Schäden können z.B. folgende Abstufungen verwendet werden.

IV. Meldepflicht und Dokumentation

Falsche Datenübermittlung bei der Adressermittlung

Stellen Sie fest, dass voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, müssen Sie die Verletzung binnen 72 Stunden ab Kenntnis der Verletzung der Aufsichtsbehörde melden (Art. 33 Abs. I Satz I DSGVO). Erfolgt die Meldung später, ist ihr eine Begründung für die Verzögerung beizulegen (Art 33 Abs. I Satz 2 DSGVO).

Besteht ein hohes Risiko, müssen Sie ferner den Betroffenen unverzüglich, d.h. ohne schuldhaftes Zögern, von der Verletzung informieren (Art. 34 Abs. I DSGVO).
Jede Datenschutzverletzung muss, unabhängig vom Ergebnis der Risikoanalyse, inkl. der Risikobeurteilung, dokumentiert werden. Damit kann das datenverarbeitende Unternehmen der Aufsichtsbehörde die Durchführung der Risikobeurteilung und die Einhaltung eventueller Meldepflichten nachweisen.

V. Maßnahmen zur Abwendung/Eindämmung des Risikos

Wenn eine Datenpanne aufgetreten ist, müssen Maßnahmen ergriffen werden, die in Zukunft verhindern sollen, dass eine weitere Datenpanne dieser Art auftritt. Die technischen und organisatorischen Anpassungen, die vorgenommen werden, um weitere Datenpannen zu verhindern („Abhilfemaßnahmen“), müssen dokumentiert werden.

VI. Inhalt der Meldung

Die Benachrichtigung an den Art. 34 Abs. 2 i.V. m. Art. 33 Abs. 3 DSGVO zumindest folgende Informationen enthalten:

  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen (lit. b);
  • eine Beschreibung der wahrscheinlichen Folgen der Datenpanne (lit c);
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne. Gegebenenfalls eine Beschreibung der Maßnahmen,
  • die zur Abmilderung der möglichen nachteiligen Auswirkungen der Datenpanne ergriffen wurden (lit d).

Die Meldung an die Aufsichtsbehörde enthält darüber hinaus noch folgende Information (Art. 33 Abs. 3 DSGVO):

  • eine Beschreibung der Art der Datenpanne, soweit möglich mit Angabe der betroffenen Kategorien, der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze (lit. a).

VI. Haftung und Sanktionen

Entstehen dem Betroffenen infolge einer Datenpanne materielle oder immaterielle Schäden, so sieht Art. 82Abs. I i.V.m. Abs. 2 DSGVO hierfür eine umfangreiche Haftung vor, von der lediglich gemäß Art. 82 Abs. 3 DSGVO eine Befreiung möglich ist, sofern der in Anspruch genommene Verantwortliche oder Auftragsverarbeiter nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.
Darüber hinaus sind die Meldepflichten aus Art. 33 und 34 DSGVO bußgeldbewährt.

Jetzt bewerten