• Mehr als 25 Jahre Erfahrung
  • Individuelle betriebswirtschaftliche Beratung
  • Praxisorientiert mit Know-how
Start » Schnelle Hilfe

Datenschutzpanne: schnelle Hilfe von den Datenschutzexperte

Ein Datenleck ist nicht einfach nur ärgerlich, sondern kann katastrophale Folgen für Unternehmen haben. Werden die Datenschutzverletzung nicht unverzüglich gemeldet und die Datensicherheit nicht umgehend wiederhergestellt, schadet das zusätzlich dem Image des Unternehmens. Schnelle Hilfe bei Datenschutzpannen ist deshalb extrem wichtig!

Die Datenschutzexperten der KEDUA GmbH sind für Sie im Falle der Fälle da. Dank unserer langjährigen Erfahrung wissen wir genau, was bei einem Datenleck zu tun ist und wie Sie den entstandenen Schaden minimieren können. Wir beraten Sie schnell, kompetent und diskret, damit die Rechtssicherheit gewahrt beziehungsweise wiederhergestellt wird.

Auf dieser Seite erfahren Sie alles, was Sie rund um Datenschutzpannen wissen müssen, wie Sie bei einem Zwischenfall handeln sollten und wie unsere Datenschutzexperten Sie bei allen Datenschutzbelangen unterstützen.

Was ist eine Datenschutzpanne?

Als Datenschutzpanne oder Datenschutzverletzung gilt der Umstand, dass Unbefugte Zugriff auf Informationen erhalten können oder haben, die für sie nicht vorgesehen sind. Das können auf der einen Seite Betriebsgeheimnisse, auf der andere Seite – und in Bezug auf die DSGVO relevant – personenbezogene Daten sein. Bei einem solchen Datenleck ist außerdem denkbar, dass Datensätze ungewollt geändert oder gelöscht werden und somit dauerhaft verloren gehen.

In Artikel 4, Absatz 12 der DSGVO wird der Begriff der Datenschutzverletzung wie folgt bestimmt: Die Verletzung des Schutzes personenbezogener Daten ist „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Beispiele aus der Praxis

Datenschutzpannen mit Datenschutzverletzungen können zum Beispiel sein:

  • Veröffentlichung von personenbezogenen Daten im Internet
  • Einbruch in einen Serverraum
  • Brand in Unternehmensgebäuden
  • Verlust eines mobilen Endgeräts wie Laptop oder Smartphone, das personenbezogene Daten unverschlüsselt enthält
  • Versand einer E-Mail mit personenbezogenen Daten an eine falsche Adresse
  • Hacking des Unternehmensnetzwerks
  • Angriffe durch Schadsoftware wie Verschlüsselungstrojaner
  • Stromausfall mit Datenverlust
  • Änderung oder Löschung von Daten, ohne dass Sicherheitskopien vorliegen
  • Datenklau durch Phishing, Ransomware o. ä.

Wie oft kommen Datenschutzverletzungen vor?

Unternehmen sind verpflichtet, Datenschutzverletzungen an die zuständige Aufsichtsbehörde zu melden – und zwar zügig: innerhalb von 72 Stunden, nachdem sie davon Kenntnis erhalten haben. Grundlage dafür bildet Artikel 33 der DSGVO, zu dem Sie weiter unten auf dieser Seite mehr erfahren. Zum Glück ist allerdings nicht jeder Zwischenfall, der umgangssprachlich als Datenpanne bezeichnet wird, eine totale Katastrophe. Vor allem bei kleineren Lecks, die voraussichtlich keine Risiken für die Betroffenen, ihre Rechte und Freiheiten darstellen, greift die Meldepflicht nicht.

Da diese kleinen Datenschutzverletzungen aus Imagegründen fast nie kommuniziert werden, lässt sich nicht feststellen, wie viele es jährlich insgesamt in Deutschland oder in der EU gibt. Fakt ist jedoch: Datenpannen passieren schneller, als es Unternehmen lieb ist. Und sie werden immer mehr. Unter anderem die Corona-Pandemie, in der die Menschen mehr online eingekauft und Firmen die Digitalisierung vorangetrieben haben, hatte direkt zur Folge, dass 2021 mehr Datenschutzverletzungen gemeldet wurden als in den Vorjahren. Die Tendenz steigt: Ein kompetenter Partner für die schnelle Hilfe ist Gold wert.

Die Datenschutzexperten – schnelle und rechtssichere Hilfe bei Datenlecks

Ist es zu einer Datenschutzpanne gekommen, muss umgehend gehandelt werden. Schnelle Hilfe ist in einem solchen Fall unverzichtbar. Die Datenschutzexperten der KEDUA GmbH sind Ihre Partner bei einer Datenschutzverletzung, die Ihre und unsere volle Aufmerksamkeit fordert. Seit über 20 Jahren sind wir am Markt für alle Branchen tätig und stets auf dem neusten Stand der Rechtsprechung, um Ihnen in dieser Situation kompetent weiterzuhelfen.

Kontaktieren Sie uns, wenn es zu einer Datenschutzpanne gekommen ist, so profitieren Sie von

  • unseren top ausgebildeten Juristen zugleich Datenschutzauditoren –, die sich täglich komplett dem Thema Datenschutz widmen,
  • unserer führenden Ausbildung in Deutschland für Datenschutzbeauftragte und Datenschutzkoordinatoren,
  • unserer engen Kooperation mit den Aufsichtsbehörden und
  • unserer Partnerschaft mit der DEKRA Certification.

Die Rechtsgrundlage: Artikel 33 DSGVO

Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.

(3) Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:

  1. a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  3. c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  4. d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(4) Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.

(5) Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.

Was ist bei einer Datenschutzpanne zu tun?

Das Wichtigste zuerst: Handeln Sie schnell, aber nicht überstürzt. Trotz der heiklen Situation wollen alle eingeleiteten Schritte wohlüberlegt sein.

Sie sind unsicher, ob es bei Ihnen überhaupt zu einer Verletzung der Datensicherheit gekommen ist? Ob Sie zu einer Meldung an die Aufsichtsbehörde verpflichtet sind? Oder ob Sie gar die Betroffenen informieren müssen? Nehmen Sie in jedem Fall Kontakt zu uns auf. Unsere Datenschutzexperten sind für Sie da, erörtern gemeinsam mit Ihnen die Situation und leisten schnelle Hilfe bei Datenschutzpannen!

Wir benötigen dafür die Informationen, die Sie auch Aufsichtsbehörden zur Verfügung stellen müssen, um die Datensicherheit schnellstmöglich wiederherzustellen.

Wann muss der Zwischenfall der Aufsichtsbehörde gemeldet werden?

Grundsätzlich sollten Sie jede Verletzung der Datensicherheit innerhalb von 72 Stunden melden, wenn

  1. Sie sicher sind, dass ein Datenschutzverstoß vorliegt.
  2. Unberechtigte Zugriff auf personenbezogene Daten erhalten (konnten).
  3. der unberechtigte Zugriff einen Schaden für die Betroffenen bedeutet oder das Risiko für Rechte und Freiheiten der Betroffenen besteht.

Ausnahmen von der Meldepflicht bilden kleinere Datenschutzpannen, bei denen die „Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ (Artikel 33, Absatz 1 DSGVO).

Was muss bei einer Verletzung der Datensicherheit gemeldet werden?

Folgende Punkte sind wichtig:

  • die Kontaktdaten des Datenschutzbeauftragten des Unternehmens
  • genaue Beschreibung des Verstoßes gegen die Datenschutzvorgaben
    • Auf wie viele und welche Datensätze hatten/haben Unberechtigte Zugriff?
    • Wie viele Personen sind davon betroffen?
    • Wer hat/hatte unberechtigt Zugriff?
    • Welche IT-Systeme betrifft der Zwischenfall?
    • Wie lässt sich die Datenschutzanzeige kategorisieren?
    • Handelt es sich um einen einmaligen Vorfall, eine Serie oder dauert der Zwischenfall noch an?
    • Welche Maßnahmen haben Sie bereits ergriffen oder wollen Sie ergreifen, um den Schaden zu minimieren und das Problem zu beheben?
    • Welche Folgen sind für die betroffenen Personen absehbar?
  • Dokumentation aller Informationen und Handlungsschritte

Sollten Sie die 72-Stunden-Regel für die Meldepflicht nicht eingehalten haben, müssen Sie der Aufsichtsbehörde dafür einen Grund nennen. Gut zu wissen: Eine Datenpanne und ihre Folgen müssen nicht sofort in vollem Umfang gemeldet werden. Das ist manchmal auch gar nicht möglich, z. B. wenn bei mehreren Hackerangriffen das Ausmaß noch nicht genau festgestellt werden kann. Nach der ersten grundlegenden Meldung sollten detailliertere Informationen allerdings zeitnah nachgereicht werden. Dafür stellen die Aufsichtsbehörden Formulare im Internet zur Verfügung.

FAQ

Wann müssen betroffene Personen über eine Datenschutzpanne informiert werden?

In Artikel 34, Absatz 1 der DSGVO ist zu lesen: „Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“ Das bedeutet, dass es sich um eine Einschätzungsfrage handelt, bei der im Einzelfall abgewogen werden muss. Die Datenschutzexperten der KEDUA GmbH sind genau für solche Herausforderungen für Sie da und beraten Sie, wann die Meldung obligatorisch ist.

Was muss ich tun, wenn ich eine Verletzung der Datensicherheit vermute oder sicher festgestellt habe?

Informieren Sie unverzüglich ihre Vorgesetzen, den Verantwortlichen im Unternehmen und den Datenschutzbeauftragten, um weitere Schritte, wie die Meldung an die Aufsichtsbehörde und die Behebung des Schadens, einzuleiten.

Welche Folgen können Datenschutzpannen für Unternehmen haben?

  • Bußgelder in Höhe von bis zu 20 Mio. Euro
  • Schadensersatzansprüche Betroffener
  • Abmahnungen
  • Imageverlust

UNSERE PARTNER

Dekra badge
Vhs business
digit trade
Aawälte wecks
bvmw