Wann müssen Sie Datenschutz-Vorfälle melden? Und was gehört in die Dokumentation?

Teaser Datenpannen / Data Breach

Was ist überhaupt ein Datenschutz-Vorfall?

Im Gesetz heißt es etwas sperrig „Verletzung des Schutzes personenbezogener Daten“ (Art. 4 Nr. 12 DSGVO). Darunter fällt zum Beispiel, wenn personenbezogene Daten unbeabsichtigt oder unrechtmäßig

  • an Unbefugte gelangen,
  • vernichtet werden oder
  • verloren gehen, oder sie
  • unbefugt verändert werden.

Klassische Beispiele aus dem Alltag: das verlorene Firmenhandy, die falsch adressierte E-Mail, ein Ransomware-Angriff oder eine Bewerbungsmappe, die im falschen Papierkorb landet.

Müssen wir jeden Vorfall der zuständigen Aufsichtsbehörde melden?

Die gute Nachricht zuerst: Nein.
Eine Meldung an die Aufsichtsbehörde ist nach Art. 33 DSGVO nur dann nötig, wenn der Vorfall „voraussichtlich zu einem Risiko für die Rechte und Freiheiten“ der betroffenen Personen führt. Führt der Vorfall voraussichtlich zu keinem Risiko, dürfen Sie auf die Meldung verzichten – diese Einschätzung müssen Sie aber begründen können. Sie müssen den Vorfall also prüfen, bewerten und das Ergebnis immer dokumentieren.

Die 72-Stunden-Frist: Was bedeutet das genau?

Falls der Aufsicht gemeldet werden muss, läuft die Uhr: Die Meldung muss „unverzüglich und möglichst binnen 72 Stunden“ erfolgen, nachdem Ihnen der Vorfall bekannt geworden ist. Diese Frist ist knapp – deshalb hilft es enorm, vorher zu wissen, wer intern informiert wird und welche Angaben gebraucht werden. Liegen noch nicht alle Informationen vor, dürfen Sie übrigens auch stufenweise nachmelden.

Und was, wenn die interne Prüfung ergibt, dass wir nicht melden müssen?

Auch dann gilt: Dokumentieren müssen Sie trotzdem. Art. 33 Abs. 5 DSGVO verlangt, dass Sie alle Vorfälle intern festhalten müssen – auch die, die Sie (begründet) nicht melden. Festgehalten werden sollten dabei mindestens:

  • der Sachverhalt (was ist passiert, welche Daten und wie viele Betroffene sind betroffen?),
  • die Auswirkungen bzw. das eingeschätzte (Nicht-) Risiko,
  • die ergriffenen Abhilfemaßnahmen.
  • Diese Dokumentation ist Ihr Nachweis gegenüber der Aufsichtsbehörde, dass Sie den Vorfall bewertet und richtig gehandelt haben.

Wann muss ich auch die Betroffenen informieren?

Wird durch den Vorfall ein hohes Risiko für die Betroffenen erwartet, reicht die Meldung an die Behörde nicht aus: Dann müssen Sie auch die betroffenen Personen benachrichtigen (Art. 34 DSGVO) – und zwar in klarer, verständlicher Sprache.

Das ist die zweite Eskalationsstufe und kommt seltener vor. Am besten haben Sie sich aber gedanklich schon mal damit beschäftigt.

Wo erfasse und bewerte ich Datenschutz-Vorfälle in foxondo?

Im Modul „Formulare & Checklisten“ finden Sie den Bereich zur Erfassung von Datenpannen. Damit gehen Sie pro Vorfall strukturiert durch die entscheidenden Fragen, nehmen am Ende die Bewertung des Risikos vor und entscheiden, ob eine Meldung an die Aufsichtsbehörde und ggf. auch eine Benachrichtigung der Betroffenen nötig ist.

Das Ergebnis können Sie zusätzlich als PDF-Export intern ablegen. So kommen Sie Ihrer Dokumentationspflicht nach Art. 33 Abs. 5 DSGVO und der Rechenschaftspflicht auf jeden Fall nach.

➡️ Unser Tipp: Erstellen Sie einen Notfallplan und warten Sie damit nicht, bis der Ernstfall eintritt. Legen Sie einmal in Ruhe fest, wer im Ernstfall informiert wird und wer die 72-Stunden-Uhr im Blick behält. Denn wenn es zum Ernstfall kommt, zählt jede Stunde – und ein klarer Ablauf nimmt enorm Druck raus.

Weitere Vorgaben zum Umgang mit Datenschutz-Vorfällen können Sie in foxondo in dem Modul „Datenschutz-Organisation“ festhalten.