Vorgehen bei einer Datenschutzverletzung (Datenpanne)
Helpdesk-Eintrag: Vorgehen bei einer Datenschutzverletzung (Datenpanne)
Was ist zu tun, wenn personenbezogene Daten abhandenkommen?
Wird eine Verletzung des Schutzes personenbezogener Daten festgestellt – z. B. durch ein Datenleck, den Verlust von Datenträgern oder eine unbefugte Offenlegung – muss dies innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Eine Meldung ist nicht erforderlich, wenn die Verletzung kein erhebliches Risiko für die betroffenen Personen darstellt.
Vereine oder Unternehmen, die keinen Datenschutzbeauftragten benennen müssen, sollten trotzdem intern festlegen, wer für die Meldung an die Aufsichtsbehörde verantwortlich ist.
Wann muss eine Datenschutzverletzung gemeldet werden?
Eine Meldepflicht besteht, wenn mit hinreichender Wahrscheinlichkeit von einer Datenschutzverletzung auszugehen ist.
• Ein vager Anfangsverdacht reicht nicht aus.
• Eine vollständige Aufarbeitung darf nicht abgewartet werden.
• Falls nachträglich weitere Informationen bekannt werden, können diese als „Folgemeldung“ nachgereicht werden.
📌 Tipp: Die Aufsichtsbehörden bieten Online-Formulare zur Meldung an, z. B. das Formular der LDA Bayern.
Wann beginnt die 72-Stunden-Frist?
Die Frist beginnt ab 0:00 Uhr des Folgetages, an dem die Datenschutzverletzung festgestellt wurde.
• Beispiel: Wird ein Vorfall am Donnerstag um 16:00 Uhr erkannt, läuft die Frist am Sonntag um 23:59 Uhr ab.
• Wochenenden und Feiertage werden mitgezählt, nicht nur Arbeitstage.
Meldepflicht auch bei nur einer betroffenen Person?
Ja, denn das Risiko für die Rechte und Freiheiten bezieht sich immer auf jede einzelne betroffene Person.
• Falls mindestens ein Risiko für den Betroffenen besteht, ist eine Meldung nach Art. 33 DSGVO erforderlich.
• Bei einer größeren Anzahl von Betroffenen kann das Risiko zusätzlich steigen (z. B. bei einem Hackerangriff auf einen Online-Shop).
📌 Weitere Informationen zum Risikobewertungsprozess bietet das DSK-Kurzpapier Risiko.
Beispiel für eine Datenpanne: Fehlversand einer E-Mail
Eine fehlerhafte Eingabe einer E-Mail-Adresse führte zu einem ungewollten Fehlversand. In diesem Fall wurde der Betroffene:
• persönlich informiert,
• die Aufsichtsbehörde in NRW nach Art. 33 DSGVO benachrichtigt,
• interne Prozesse überprüft, um solche Fehler künftig zu vermeiden.
Fazit
• Schnelles Handeln ist entscheidend, um Datenschutzverletzungen korrekt zu melden.
• Interne Zuständigkeiten sollten klar definiert sein.
• Transparenz gegenüber Betroffenen hilft, das Vertrauen zu erhalten.
📌 Fragen oder Unterstützung benötigt? Kontaktieren Sie uns für weitere Informationen zur Meldung von Datenschutzvorfällen.
Was ist zu tun, wenn personenbezogene Daten abhandenkommen?
Wird eine Verletzung des Schutzes personenbezogener Daten festgestellt – z. B. durch ein Datenleck, den Verlust von Datenträgern oder eine unbefugte Offenlegung – muss dies innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Eine Meldung ist nicht erforderlich, wenn die Verletzung kein erhebliches Risiko für die betroffenen Personen darstellt.
Vereine oder Unternehmen, die keinen Datenschutzbeauftragten benennen müssen, sollten trotzdem intern festlegen, wer für die Meldung an die Aufsichtsbehörde verantwortlich ist.
Wann muss eine Datenschutzverletzung gemeldet werden?
Eine Meldepflicht besteht, wenn mit hinreichender Wahrscheinlichkeit von einer Datenschutzverletzung auszugehen ist.
• Ein vager Anfangsverdacht reicht nicht aus.
• Eine vollständige Aufarbeitung darf nicht abgewartet werden.
• Falls nachträglich weitere Informationen bekannt werden, können diese als „Folgemeldung“ nachgereicht werden.
📌 Tipp: Die Aufsichtsbehörden bieten Online-Formulare zur Meldung an, z. B. das Formular der LDA Bayern.
Wann beginnt die 72-Stunden-Frist?
Die Frist beginnt ab 0:00 Uhr des Folgetages, an dem die Datenschutzverletzung festgestellt wurde.
• Beispiel: Wird ein Vorfall am Donnerstag um 16:00 Uhr erkannt, läuft die Frist am Sonntag um 23:59 Uhr ab.
• Wochenenden und Feiertage werden mitgezählt, nicht nur Arbeitstage.
Meldepflicht auch bei nur einer betroffenen Person?
Ja, denn das Risiko für die Rechte und Freiheiten bezieht sich immer auf jede einzelne betroffene Person.
• Falls mindestens ein Risiko für den Betroffenen besteht, ist eine Meldung nach Art. 33 DSGVO erforderlich.
• Bei einer größeren Anzahl von Betroffenen kann das Risiko zusätzlich steigen (z. B. bei einem Hackerangriff auf einen Online-Shop).
📌 Weitere Informationen zum Risikobewertungsprozess bietet das DSK-Kurzpapier Risiko.
Beispiel für eine Datenpanne: Fehlversand einer E-Mail
Eine fehlerhafte Eingabe einer E-Mail-Adresse führte zu einem ungewollten Fehlversand. In diesem Fall wurde der Betroffene:
• persönlich informiert,
• die Aufsichtsbehörde in NRW nach Art. 33 DSGVO benachrichtigt,
• interne Prozesse überprüft, um solche Fehler künftig zu vermeiden.
Fazit
• Schnelles Handeln ist entscheidend, um Datenschutzverletzungen korrekt zu melden.
• Interne Zuständigkeiten sollten klar definiert sein.
• Transparenz gegenüber Betroffenen hilft, das Vertrauen zu erhalten.
📌 Fragen oder Unterstützung benötigt? Kontaktieren Sie uns für weitere Informationen zur Meldung von Datenschutzvorfällen.
Aktualisiert am: 25/02/2025
Danke!