open search
close
Arbeitsrecht 4.0 Compliance Datenschutz

Datenpanne: Und was nun?

Print Friendly, PDF & Email
Datenpanne

Cyber-Angriffe, kritische Sicherheitslücken oder falsche Empfänger: Trotz aller Sicherheitsvorkehrungen lassen sich Datenpannen nicht immer vermeiden. Im Ernstfall gilt es, schnell zu handeln. Sowohl die zuständige Aufsichtsbehörde als auch die von der Datenpanne Betroffenen müssen informiert werden. Während die Landesdatenschutzbeauftragten das Meldeverfahren von Datenpannen durch Meldeformulare erleichtern, ist die ordnungsgemäße Benachrichtigung von Betroffenen komplizierter. Was hierbei zu beachten ist, zeigt unser Beitrag. 

Was ist eine Datenpanne?

Die DSGVO umschreibt die Datenpanne als die „Verletzung des Schutzes personenbezogener Daten“. Neben der unbefugten Offenlegung von Daten und dem unbefugten Zugang zu personenbezogenen Daten beinhaltet dies auch jede Verletzung der Sicherheit, die unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust oder zur Veränderung von Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden (vgl. Art. 4 Nr. 12 DSGVO). Der Begriff der Datenpanne ist damit sehr weitgehend. Umfasst sind etwa der Verlust von Datenträgern, die Datenweitergabe an Unbefugte oder der Angriff auf das eigene IT-System, bei dem Daten abgegriffen werden. Aber auch die versehentlich fehlgeleitete E-Mail stellt eine Datenpanne dar.

Meldung der Datenpanne

Ist es im Einzelfall zu einer Datenpanne gekommen ist, gilt es schnell zu handeln: Nach Bekanntwerden der Datenpanne muss die Aufsichtsbehörde unverzüglich, möglichst aber innerhalb von 72 Stunden, von der Datenschutzverletzung in Kenntnis gesetzt werden. Bei einer späteren Meldung muss die Verzögerung begründet werden. Es empfiehlt sich daher, entsprechende Verhaltensregeln und Zuständigkeiten vorab in Verhaltensregeln festzulegen (vgl. den Beitrag von Beitrag von Dr. Jessica Jacobi vom 16. August 2017). Dann kann im Ernstfall auf ein standardisiertes Verfahren zurückgegriffen werden.

Landesdatenschutzbehörden stellen Meldeformulare zur Verfügung

Zwischenzeitlich haben einige Landesdatenschutzbeauftragte ein (Online-)Formular zur Meldung von Datenpannen zur Verfügung gestellt. Hierin werden die benötigten Informationen checklistenartig abgehandelt. Dies macht es für Arbeitgeber deutlich einfacher, die maßgeblichen Informationen der Aufsichtsbehörde vollständig und richtig mitzuteilen. Ein solches Service-Angebot ist auf den Internetauftritten der Datenschutzbeauftragten folgender Länder zu finden:

In den übrigen Bundesländern muss zunächst eine eigenverantwortlich gestaltete Meldung abgegeben werden. Hierbei empfiehlt es sich jedoch, die bereits verfügbaren Formulare zur Orientierung zu verwenden. Die Datenschutzbeauftragten von Hamburg und Sachsen haben bereits angekündigt, demnächst ebenfalls einen entsprechenden Service anbieten zu wollen.

Benachrichtigung der Betroffenen

Mit der Meldung der Datenpanne an die Aufsichtsbehörde hat der Arbeitgeber jedoch nur die Hälfte seiner Pflicht erfüllt: Nach Art. 34 DSGVO ist der Arbeitgeber außerdem dazu verpflichtet, die von der Datenpanne betroffenen Personen über die Datenschutzverletzung zu benachrichtigen, wenn die Verletzung „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ zur Folge hat. Anders als bei der Meldepflicht gegenüber der Aufsichtsbehörde, die bei jeder Datenschutzverletzung eingreift, kommt es für die Benachrichtigung der Betroffenen darauf an, ob mit der Datenschutzverletzung aller Voraussicht ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden ist. Der Arbeitgeber muss daher nicht nur Maßnahmen ergreifen, um die Auswirkungen einer Datenpanne einzudämmen, sondern auch eine Risikobewertung vornehmen. Dies ist jedoch nicht immer einfach.

Für die Vornahme einer Risikobewertung hat die Artikel-29-Datenschutzgruppe Leitlinien herausgegeben, die der Europäische Datenschutzausschuss bestätigt hat und daher zur Orientierung herangezogen werden können. Danach besteht voraussichtlich ein „hohes Risiko für die persönlichen Rechte und Freiheiten“, wenn die Datenschutzverletzung zu physischen, materiellen oder immateriellen Schäden für die Personen führen kann, deren Daten verletzt wurden. Beispiele für solche Schäden sind Diskriminierung, Identitätsdiebstahl oder Betrug, finanzielle Verluste und Reputationsschäden. Dabei sind im Rahmen der Risikobewertung unter anderem die Art der Datenschutzverletzung, die Sensibilität und der Umfang der betroffenen Daten zu berücksichtigen. Je sensibler die Daten und je größer die betroffenen Datenmengen sind, desto höher ist in der Regel das mit der Datenschutzverletzung verbundene Risiko zu bewerten.

Umfang der Benachrichtigungspflicht

Besteht voraussichtlich ein solch hohes Risiko für die Rechte und Freiheiten von Personen, muss der Arbeitgeber die Betroffenen über die Art der Datenschutzverletzung, die wahrscheinlichen Folgen und die von ihm ergriffenen und geplanten Maßnahmen benachrichtigen. Ebenso muss er den Namen und die Kontaktdaten des Datenschutzbeauftragten mitteilen oder eine sonstige Anlaufstelle benennen. Auch hier bleibt dem Arbeitgeber wenig Zeit: die Benachrichtigung muss „unverzüglich“ erfolgen, also so schnell wie möglich. Die Betroffenen sollen dadurch in die Lage versetzt werden, ihrerseits geeignete Maßnahmen zur Schadensminimierung zu ergreifen.

Fazit

Im Falle einer Datenpanne ist schnelles Handeln des Arbeitgebers geboten. Vor diesem Hintergrund ist es zu begrüßen, dass die Aufsichtsbehörden der Länder Formulare für die Meldung von Datenpannen bereitstellen und dadurch das Verfahren erleichtern. Umso schwieriger ist es jedoch, eine zutreffende Risikobewertung durchzuführen. Da im Falle eines pflichtwidrigen Unterlassens von Benachrichtigungen Schadensersatzforderungen der Betroffenen und Bußgelder der Aufsichtsbehörden drohen, empfiehlt es sich grundsätzlich, die Betroffenen zu benachrichtigen.

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 70 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Datenschutzverstoß – was ist jetzt zu tun?

Längst sind in zahlreichen Unternehmen Datenschutzbeauftragte tätig und erleichtern vielen Unternehmen das (datenschutzkonforme) Leben. Aber wie gestalten sich interne Ermittlungen, wenn es dann doch einmal zu einem Verstoß gegen Datenschutzvorschriften kommt? Ein Überblick zur möglichst zügigen und effizienten Aufklärung von Datenschutzverstößen. Unabhängig von der Informationsquelle, eines steht fest: Bekommt man als Arbeitgeber Wind von einem Datenschutzverstoß im eigenen Unternehmen, besteht unbedingt Handlungsbedarf. Derzeit nehmen Schadensersatzklagen…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert