Datenpanne, Datenleck oder Cyberangriff – was ist zu tun?

Kostenlose Erstberatung

Leistungen

Datenschutz

Informationssicherheit

IT-Recht

Datenschutzvorfall, Datenpanne, Datenschutzbeauftragter

Datenschutzvorfall melden: So reagieren Unternehmen richtig

Ein Datenverlust oder Datendiebstahl (auch „Data Breach“ genannt) kann für Unternehmen und betroffene Personen schwerwiegende Folgen haben – von finanziellen Einbußen über rechtliche Konsequenzen bis hin zu empfindlichen Reputationsschäden. Die Ursachen für einen solchen Datenschutzvorfall sind vielfältig: Cyberangriffe durch Hackergruppen, ein Fehlversand von E-Mails oder Dokumenten, der Verlust unverschlüsselter Datenträger oder auch technische Fehlkonfigurationen, die zu einem Verlust oder Abfluss von Daten führen können.

Wird ein Datenschutzvorfall im Unternehmen bekannt, ist ein schnelles, klares und strukturiertes Vorgehen entscheidend, um die gesetzlich vorgeschriebenen Melde- und Benachrichtigungspflichten gegenüber Aufsichtsbehörden und betroffenen Personen (und gegebenenfalls auch gegenüber Kunden) einzuhalten.

Was ist ein Datenschutzvorfall?

Gemäß Art. 4 Nr. 12 DSGVO ist ein Datenschutzvorfall (Datenschutzverletzung) definiert als eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt, welche übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Immer dann, wenn eine unbefugte Handlung – also nicht rechtmäßige Verarbeitung – die Vertraulichkeit, Verfügbarkeit oder Integrität von personenbezogenen Daten beeinträchtigt (oder beeinträchtigen kann), liegt ein Datenschutzvorfall vor.

Beispiele für Datenschutzverletzungen:

  • Cyberangriff: Hackerangriffe oder Ransomware-Angriffe, die Daten verschlüsseln oder entwenden
  • Fehlversand von E-Mails: Persönliche oder vertrauliche Daten werden versehentlich an falsche Empfänger gesendet
  • Verlust von Datenträgern: Unverschlüsselte USB-Sticks, Laptops oder externe Festplatten gehen verloren
  • Technische Fehler: Fehlkonfigurationen oder Softwarefehler führen zum unbefugten Zugriff auf Daten.

Wann besteht eine Meldepflicht bei einem Datenschutzvorfall?

Bei einem Datenschutzvorfall besteht Meldepflicht gegenüber der zuständigen Datenschutzbehörde, sofern der Vorfall voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt (vgl. Art. 33 DSGVO). Die Frist für diese Meldung beträgt 72 Stunden ab Bekanntwerden des Vorfalls.

Liegt sogar ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen vor, müssen diese unverzüglich benachrichtigt werden (vgl. Art. 34 DSGVO). Eine Benachrichtigung kann nur unterbleiben, wenn die betroffenen Daten beispielsweise durch geeignete technische und organisatorische Maßnahmen (z. B. Verschlüsselung) geschützt sind, nachträgliche Maßnahmen das hohe Risiko vollständig beseitigt haben oder ausnahmsweise ein unverhältnismäßiger Aufwand vorliegt und stattdessen eine öffentliche Bekanntmachung erfolgt (vgl. Art. 34 Abs. 3 DSGVO).

Unternehmen stehen daher unter erheblichem Zeit- und Handlungsdruck, den Vorfall schnell zu analysieren, die richtigen Schlussfolgerungen zu ziehen und passende Maßnahmen einzuleiten.

Beispiele für ein „hohes Risiko“:
🚨 Identitätsdiebstahl oder -betrug
🚨 Finanzieller Schaden für Betroffene
🚨 Diskriminierung durch veröffentlichte Daten
🚨 Gesundheitsdaten oder andere sensible Informationen wurden offengelegt

Einschätzung von „Risiko“ und „hohem Risiko“

Sobald ein Datenschutzvorfall bekannt wird, muss der Verantwortliche umgehend Maßnahmen zur Eindämmung ergreifen und das Risiko für die betroffenen Personen bewerten. Anhand dieser Einschätzung wird entschieden, ob eine Meldung an die Aufsichtsbehörde und eine Benachrichtigung der betroffenen Personen erforderlich ist. Ein Risiko liegt insbesondere dann vor, wenn physische, materielle oder immaterielle Schäden drohen (vgl. Erwägungsgrund 75 DSGVO).

Die Abgrenzung zwischen „Risiko“ und „hohem Risiko“ ist in der Praxis oft komplex. Orientierung bieten unter anderem die Stellungnahmen der Aufsichtsbehörden und die Leitlinien 9/2022 des Europäischen Datenschutzausschusses (EDSA) für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß DSGVO. Dort werden insbesondere Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigungen sowie die Offenlegung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, ethnische Herkunft oder politische Meinung) als Beispiele für ein hohes Risiko genannt.

Bei der Risikobewertung sind insbesondere

  • die Art der Verletzung (z. B. Verletzung der Vertraulichkeit oder Verfügbarkeit),
  • die Sensibilität, der Umfang und die Identifizierbarkeit der betroffenen Daten,
  • die Schwere der möglichen Folgen (z. B. Identitätsdiebstahl, Rufschädigung),
  • besondere Eigenschaften der betroffenen Personen (z. B. Kinder)
  • sowie des Verantwortlichen (z. B. medizinische Einrichtung)
    zu berücksichtigen.

Das Risiko bestimmt sich aus dem Zusammenspiel von Schadensschwere und Eintrittswahrscheinlichkeit. So stellt der EDSA beispielsweise dar, dass ein Ransomware-Angriff auf ein Krankenhaus in der Regel sowohl eine Meldepflicht an die Aufsichtsbehörde als auch eine Benachrichtigung der betroffenen Personen nach sich zieht, während ein Fehlversand von E-Mails nicht in jedem Fall meldepflichtig ist.

Welchen Inhalt muss die Meldung enthalten?

Bei einer Meldung an die Aufsichtsbehörde muss der Verantwortliche folgende Angaben machen (vgl. Art. 33 Abs. 3 DSGVO):

  • Beschreibung der Verletzung: Art der Datenschutzverletzung mit Angabe der betroffenen Datenkategorien, der ungefähren Anzahl der betroffenen Personen und Datensätze.
  • Kontaktinformationen: Name und Kontaktdaten des Datenschutzbeauftragten oder einer zuständigen Anlaufstelle für Rückfragen.
  • Folgenabschätzung: Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung für die betroffenen Personen.
  • Ergriffene Maßnahmen: Beschreibung der ergriffenen oder geplanten Maßnahmen zur Behebung der Datenschutzverletzung sowie zur Schadensbegrenzung.

Welche Dokumentationspflichten bestehen?

Unabhängig davon, ob eine Meldepflicht besteht, muss jede Verletzung in einer internen Dokumentation festgehalten werden (vgl. Art. 33 Abs. 5 DSGVO und Art. 5 Abs. 2 DSGVO zum Grundsatz der Rechenschaftspflicht). Die Aufsichtsbehörde kann diese Dokumentation jederzeit anfordern. Folgende Punkte sollten daher intern protokolliert werden:

  • Art der Datenschutzverletzung, einschließlich Ursache und betroffener Daten
  • Mögliche Auswirkungen und Konsequenzen für die betroffenen Personen
  • Ergriffene Abhilfemaßnahmen zur Schadensbegrenzung
  • Begründung, falls keine Meldung bei der Behörde erfolgt

Wie sind Datenschutzvorfälle bei Auftragsverarbeitern zu behandeln?

Tritt ein Datenschutzvorfall bei einem Auftragsverarbeiter auf und sind personenbezogene Daten des Auftraggebers (als Verantwortlichem) betroffen, muss der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren (vgl. Art. 33 Abs. 2 DSGVO). Häufig sind im Auftragsverarbeitungsvertrag (AVV) sogar noch kürzere Fristen (z. B. 24 Stunden) vorgesehen. Dabei spielt es keine Rolle, ob ein Risiko für die betroffenen Personen droht; sämtliche relevanten Vorfälle müssen gemeldet werden. Da den Auftragsverarbeiter eine Unterstützungspflicht gegenüber dem Verantwortlichen trifft, sollte die Meldung die wesentlichen Punkte aus Art. 33 Abs. 3 DSGVO (Beschreibung der Verletzung, Kontaktinformationen, Folgenabschätzung, Maßnahmen) abdecken.

Schritt-für-Schritt: Datenschutzvorfälle richtig managen

Unternehmen sollten einen dokumentierten Prozess mit klar definierten Rollen und Verantwortlichkeiten einführen. Dieser Prozess muss insbesondere folgende Schritte und Meldewege abdecken:

1. Identifikation & ErstbewertungVerdacht melden → IT & Datenschutzbeauftragten (DSB) informieren
2. Eindämmung & UntersuchungIT sichert Systeme, DSB sammelt Informationen
3. Risikobewertung & EntscheidungDSB bewertet Risiko, Entscheidung über Meldung an Behörde und Betroffene, Einbindung Rechtsabteilung und Management
4. Meldung & KommunikationFristen einhalten: 72h für Behörden, unverzüglich für Betroffene; Einbindung Unternehmenskommunikation
5. Nachbereitung & PräventionAnalyse, Dokumentation, Anpassung von Sicherheitsmaßnahmen, Schulung der Mitarbeitenden

Fazit

Datenschutzverletzungen können für Unternehmen und betroffene Personen erhebliche Folgen haben. Ein klar definierter Prozess mit eindeutigen Zuständigkeiten ist daher unverzichtbar. Entscheidend sind die rasche Identifikation eines Vorfalls und sofortige Maßnahmen zur Eindämmung sowie eine gründliche Risikobewertung und umfassende Dokumentation. Eine regelmäßige Schulung der Beschäftigten hilft dabei, Datenschutzvorfälle von vornherein zu vermeiden. Durch eine sorgfältige Nachbereitung lassen sich wirkungsvolle Präventionsmaßnahmen ableiten und das Risiko künftiger Vorfälle spürbar verringern.

Kostenlose Erstberatung
de_DEDeutsch
en_USEnglish de_DEDeutsch