Jetzt Mitglied werden!
eRecht24.de

Datenschutzverstoß melden

Die DSGVO und Datenpannen: Wann sind Sie zu einer Meldung verpflichtet?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(39 Bewertungen, 3.18 von 5)

Das Wichtigste in Kürze

  • Als Unternehmer sind Sie verpflichtet jeder Datenpanne nachzugehen, also wenn personenbezogene Daten verloren gehen, verändert, vernichtet oder offengelegt werden.
  • Ob Sie einen Datenschutzverstoß melden müssen, hängt vom Risiko des Verstoßes ab.
  • Es drohen empfindliche Bußgelder, wenn Sie der Pflicht zur Meldung nicht nachkommen.
Ich will mich ausführlich informieren Ich möchte meine Website absichern

Worum geht's?

Hackerangriff, versehentliche Veröffentlichung von personenbezogenen Daten und Diebstahl von Laptops auf der Arbeit - Sicherheitsverstöße sind nicht selten und der Albtraum eines jeden Unternehmens. Wenn Sie betroffen sind, sollten Sie schnell handeln. Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, Datenpannen möglichst binnen 72 Stunden zu melden. Doch wann besteht eine Meldepflicht und wer ist alles zu benachrichtigen? In unserem Artikel erfahren Sie mehr dazu.

 

1. Was sind Datenschutzverstöße nach der DS-GVO?

Gehen personenbezogene Daten verloren, werden verändert oder unbefugt offengelegt, spricht man von einer Datenschutzverletzung oder auch Datenpanne. Sie sind allerdings nicht bei jedem Datenleck dazu verpflichtet, die zuständigen Aufsichtsbehörden über einen Verstoß zu unterrichten. Eine Meldepflicht für den Datenschutzverstoß besteht nur dann nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Es gibt zwei verschiedene Arten von Datenschutzverstößen:

  1. Personenbezogene Daten wurden verändert, vernichtet oder sind verloren gegangen.
  2. Personenbezogene Daten wurden unbefugt offengelegt oder es bestand Zugang zu ihnen.

In diesen Fällen handelt es sich um einen Datenschutzverstoß, den Sie gegebenenfalls melden müssen. Folgende Beispiele zählen zu einem Datenschutzverstoß:

  • Sie verlieren Ihren Arbeits-Laptop oder ein Mobiltelefon mit personenbezogenen Daten.
  • Hacker greifen die Datenbank an und stehlen personenbezogene Daten.
  • Unbekannte brechen ein und stehlen Dokumente oder ziehen Daten auf einen USB-Stick.

Als Datenverarbeiter unterliegen Sie einer Dokumentationspflicht. Dokumentieren Sie den Vorfall und bewerten Sie in einem nachgelagerten Verfahren, ob Sie den Vorfall melden müssen oder nicht.

2. Wann muss man einen Datenschutzverstoß melden?

Sie haben einen Laptop entsorgt, ohne die Daten vorher von der Festplatte zu löschen? Bei verschlüsselten Daten ist es unwahrscheinlich, dass etwas passiert. In einer solchen Situation löst Ihr Verhalten vermutlich keine Meldepflicht nach der Datenschutz-Grundverordnung (DS-GVO) aus. Denken Sie daran, dass Sie bei einer meldepflichtigen Datenpanne die Behörde und gegebenenfalls auch die Betroffenen informieren müssen. Bei einer Datenpanne ist die Meldepflicht dann aber an verschiedene Voraussetzungen geknüpft.

  • Die Meldepflicht gegenüber der Aufsichtsbehörde besteht schon bei einem „normalen Risiko“.
  • Betroffene sind erst dann zu benachrichtigen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

 

Nehmen Sie für eine Datenpanne nach der Datenschutz-Grundverordnung (DS-GVO) das Beispiel mit der Festplatte. Entsorgen Sie eine funktionierende Festplatte, ist es möglich, dass sie jemand aus dem Müllbehälter nimmt. Dabei kann es sich um Betriebsspionage handeln. Bei einer verschlüsselten Festplatte sind die Daten aber nur unter einem erheblichen Aufwand oder gar nicht entschlüsselbar.

Sören Siebert
Sören SiebertRechtsanwalt

Das Risiko, dass Spione die Sicherheitslücke ausnutzen, ist also sehr gering. Sie sind in einer solchen Situation eventuell dazu verpflichtet, den Vorfall der Aufsichtsbehörde zu melden. Da das Risiko aber nicht „gesteigert“ ist, entfällt die Meldepflicht gegenüber den Betroffenen – also gegenüber denjenigen Personen oder Unternehmen, deren personenbezogene Daten auf der Festplatte gespeichert sind.

In den folgenden Situationen besteht nach Art. 34 III DS-GVO (§ 42a BDSG alte Fassung) keine Pficht zur Benachrichtigung der betroffenen Person: 

  • Sie haben technische und organisatorische Sicherheitsvorkehrungen (z.B. Verschlüsselung) getroffen.
  • Sie stellen durch nachgelagerte Maßnahmen sicher, dass das hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht.
  • Ist die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden, müssen Sie auf andere Maßnahmen ausweichen, beispielsweise auf eine öffentliche Bekanntmachung.

Ob eine Meldepflicht besteht oder nicht, hängt also immer von den konkreten Umständen der jeweiligen Situation ab. 

Mit unserem Datenschutzmanagementsystem DatenschutzPro auf eRecht24 Premium behalten Sie den Überblick über Ihre Datenverarbeitungen. Zudem können Sie DS-GVO-Pannen an unseren Partner Legaltrust melden und professionelle Hilfe erhalten.

JETZT DATENSCHUTZ ABSICHERN

DatenschutzPro

Verwalten Sie Ihren Datenschutz mit unserer Datenschutz-Managementlösung DatenschutzPro:
  • Behalten Sie den Überblick über den Datenschutz in Ihrem Unternehmen
  • Erstellen Sie die wichtigsten Datenschutzdokumente an einem Ort
  • Intuitive und zeitsparende Bedienung
  • Datenschutzbeauftragter auf Wunsch zubuchbar
JETZT DATENSCHUTZ ABSICHERN

3. Datenschutzverstöße melden: Welche Frist gilt?

Im Falle eines Datenschutzverstoßes muss die zuständige Datenschutzbehörde unverzüglich und möglichst binnen 72 Stunden ab Kenntnis informiert werden. Den betroffenen Personen muss der Vorfall ebenfalls unverzüglich gemeldet werden - ohne schuldhaftes Zögern. Es gibt seltene Ausnahmen von dieser Meldepflicht, die jedoch streng reguliert sind. „Unverzüglich“ bedeutet, dass Sie die Meldung so schnell wie nur möglich durchführen.

In dem Beispiel mit dem verschlüsselten Datenträger reicht eine unverzügliche Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden aus. Das Datenleck ist den Betroffenen nicht zu melden, da es unwahrscheinlich ist, dass jemand die Daten entschlüsselt.

4. Datenpannen melden: Was müssen Sie in einer Meldung angeben?

Was müssen Sie tun, wenn Sie einen DS-GVO-Verstoß melden wollen? Zunächst sollten Sie eine Meldung erstellen. Der Umfang hängt davon ab, ob sie nur an die Aufsichtsbehörde oder auch an einen Betroffenen erfolgt.

a) Meldung gegenüber der Aufsichtsbehörde gemäß Art. 33 DS-GVO

Meldungen müssen die folgenden Punkte enthalten:

  • Welche Art von Verletzung liegt vor? (Datenverlust, Diebstahl usw.)
  • In welche Kategorie fallen die Betroffenen? (Kunden, Mitarbeiter)
  • Wie viele Betroffene gibt es?
  • Welche Kategorien von Datensätzen sind betroffen?
  • Name und Anschrift des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle.
  • Welche Folgen zieht die Schutzverletzung nach sich? (z.B. finanzielle Nachteile)
  • Welche Schutzmaßnahmen haben Sie ergriffen oder möchten Sie ergreifen?
  • Welche Gegenmaßnahmen sind noch denkbar?

Das Gesetz schreibt nicht vor, dass Sie die Meldung per Fax oder Brief einreichen müssen. Wir empfehlen Ihnen dies aber schon aus Beweisgründen. Sie sollten die zuständige Aufsichtsbehörde zuvor telefonisch kontaktieren. Einige Aufsichtsbehörden ermöglichen sogar, dass Sie den Datenschutzverstoß online melden können.

Für Ihr Unternehmen ist die Aufsichtsbehörde des Bundeslandes zuständig, in dem Ihr Unternehmen seinen Sitz hat. Es kommt ausschließlich darauf an, wo der Sitz des Unternehmens ist; wo sich die handelnde Zweigstelle, Filiale oder Geschäftsstelle befindet, ist irrelevant.

b) Meldung gegenüber den Betroffenen gemäß Art. 34 DS-GVO

Sie möchten den betroffenen Personen oder dem betroffenen Unternehmen die Verletzung des Schutzes personenbezogener Daten melden? Diese Meldung ist speziell zu gestalten. Sie müssen den Betroffenen keine umfassenden Informationen über die Datenschutzverletzung bereitstellen. Die folgenden Informationen müssen Sie den Betroffenen aber auf jeden Fall übermitteln:

  • Name und Anschrift des Datenschutzbeauftragten
  • Art der Schutzverletzung
  • wahrscheinliche Folgen der Datenschutzverletzung
  • ergriffene und empfehlenswerte Gegenmaßnahmen

Achten Sie darauf, die Meldung in einer klaren und verständlichen Sprache zu verfassen. Sie dürfen den Empfänger keinesfalls in einem verklausulierten „Juristendeutsch“ ansprechen. Die Meldung ist so auszugestalten, dass ihr Inhalt mit einem Blick erkennbar ist. Sie darf keine sachfremden Bezüge und werbenden Maßnahmen enthalten. Letztlich müssen Sie zwei Formulare anfertigen – eines für die Aufsichtsbehörde und eines für die Betroffenen.

Welche Konsequenzen drohen bei einem Verstoß gegen die Meldepflicht?

Die Datenschutzbehörden sind häufig recht kulant. Sie haben ein Ermessen, dürfen also unter mehreren Optionen wie einer Verwarnung und einer Geldbuße auswählen.

Welche Option sie auswählen, hängt immer von der individuellen Situation und dem Verhalten der Gegenseite ab.

Die DSGVO sanktioniert die Nichterfüllung von Meldepflichten gemäß Art. 83 IVa DSGVO. Es sind Bußgelder in Höhe von bis zu zehn Millionen Euro möglich, oder bis zu zwei Prozent des weltweiten Umsatzes des vorherigen Geschäftsjahres.

Zum Artikel

LESE-EMPFEHLUNG

Welche Bußgelder in der Vergangenheit von Datenschutzbehörden verhängt wurden, lesen Sie in unserem Artikel „Achtung: Hohe DSGVO-Bußgelder verhängt“.

Zum Artikel

Datenschutzverletzung beim Auftragsverarbeiter: Das ist zu tun

Es liegt eine Datenpanne bei einem Auftragsverarbeiter vor? Auftragsverarbeiter unterliegen keiner direkten Meldepflicht an die Aufsichtsbehörde oder die betroffene Person. Sie sind aber dazu verpflichtet, eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden. Zudem trifft den Auftragsverarbeiter eine Informations- und Unterstützungspflicht gegenüber dem Verantwortlichen.

Nehmen Sie deshalb schon beim Vertrag zur Auftragsverarbeitung Regelungen zu Meldefristen, Ansprechpartnern und Abläufen im Falle von Datenpannen auf.

Sie benötigen einen rechtssicheren AV-Vertrag? Im eRecht24 Premium-Bereich finden Sie einen Generator für AV-Verträge.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

5. Fazit

Nachfolgend haben wir Ihnen die wichtigsten Punkte in einer Checkliste zusammengefasst.

Checkliste
To Dos bei DSGVO-Panne
  • Erstellen Sie einen Ablaufplan.
  • Erstellen Sie einen Tätigkeitsbericht für die interne Aufbereitung.
  • Beurteilen Sie, ob Sie einer Meldepflicht unterliegen.
  • Kontaktieren Sie die zuständige Datenschutzbehörde vorab telefonisch.
  • Benötigen Sie Unterstützung bei der Meldung des Vorfalls, kontaktieren Sie gerne unseren Partner Legaltrust.
  • Schulen Sie Ihre Mitarbeiter im Umgang mit einem Datenverlust.

 

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

6. FAQ 

Was versteht man unter einer Datenpanne?

Eine Datenpanne liegt in verschiedenen Situationen vor, beispielsweise wenn personenbezogene Daten verloren gegangen sind, oder wenn sie vernichtet, verändert oder unbefugt offengelegt wurden. Ein Beispiel hierfür ist ein im Cafe vergessenes MacBook mit Kundendaten, welches nicht mehr auffindbar ist. Ebenso zählt ein Hackerangriff, bei dem Kundendaten manipuliert werden, zu einem Datenschutzverstoß.

Welche Beispiele gibt es für Datenpannen?

Eine Datenpanne liegt beispielsweise vor, wenn eine E-Mail mit personenbezogenen Daten an den falschen Empfänger versendet wird oder einer E-Mail ein falscher Anhang beigefügt wurde, der ebenfalls personenbezogene Daten enthält. Auch wenn Akten mit personenbezogenen Daten im öffentlichen Müll landen oder ehemalige Mitarbeiter weiterhin Zugriff auf Daten haben, liegt ein Verstoß vor.

Welche Datenschutzverstöße sind meldepflichtig?

Eine Datenpanne löst nur dann eine Meldepflicht aus, wenn sie zu einem Risiko für den oder die Betroffenen führt. Ein normales Risiko löst eine Meldepflicht gegenüber der Datenschutzbehörde aus. Für eine Meldepflicht gegenüber den Betroffenen ist ein voraussichtlich hohes Risiko erforderlich.

Wann entfällt die Meldepflicht?

Die Meldepflicht an die betroffene Person entfällt, wenn Sie technische und organisatorische Sicherheitsvorkehrungen getroffen haben- die Daten also beispielsweise verschlüsselt wurden. Außerdem unterliegen Sie keiner Meldepflicht an den Betroffenen, wenn Sie durch nachgelagerte Gegenmaßnahmen das Folgerisiko erheblich reduzieren. Gleiches gilt, wenn sehr viele Personen oder Unternehmen betroffen sind und der Betroffenenkreis nur schwer zu ermitteln ist. Dann müssen Sie aber gegebenenfalls eine öffentliche Bekanntmachung durchführen.

In welchem Zeitraum ist eine Meldung durchzuführen?

Melden Sie die Datenpanne am besten direkt telefonisch der Datenschutzbehörde, spätestens aber innerhalb von 72 Stunden. Bei den betroffenen Personen oder Unternehmen gilt ebenfalls die Vorgabe einer unverzüglichen Meldung.

Wie ist eine Meldung zu gestalten?

Eine Meldung muss nicht schriftlich verfasst werden. Sie können die Meldung beispielsweise per E-Mail, Ticketsystem oder Meldeformular machen. Aus Dokumentations- und Beweiszwecken empfehlen wir Ihnen eine schriftliche Meldung. Verfassen Sie die Meldung in einer klaren und verständlichen Sprache.

Welche Strafen drohen mir bei Zuwiderhandlung?

Ihnen drohen Bußgelder in Höhe von bis zu zehn Millionen Euro, oder bis zu zwei Prozent des weltweiten Umsatzes des vorherigen Geschäftsjahrs. Die Datenschutzbehörden verhängten auch schon dahingehende Bußgelder.

Was gilt für Auftragsverarbeiter?

Der Auftragsverarbeiter muss eine Datenpanne nicht der Aufsichtsbehörde oder dem Betroffenen melden. Allerdings trifft ihn die Pflicht, dem Verantwortlichen die Datenschutzverletzung unverzüglich zu melden. Da die DSGVO keine praxisgerechten Lösungsansätze enthält, sollten Sie sich vertraglich absichern. Legen Sie schon bei Vertragsschluss fest, wer Ansprechpartner bei Vorfällen ist und wie die internen Abläufe aussehen.

Kann ich einen Datenschutzverstoß anzeigen?

Sie haben selbst keinen Verstoß gegen die DSGVO begangen, sondern eine Datenpanne aufgedeckt? In dem Fall können Sie das betroffene Unternehmen bei der zuständigen Datenschutzbehörde melden. Auch anonym.

Wo kann man Verstöße gegen den Datenschutz melden?

Verstöße gegen die DSGVO können bei der zuständigen Datenschutzbehörde gemeldet werden. Dies ist kostenfrei möglich. Zunächst können Sie sich aber auch an den Datenschutzbeauftragten des jeweiligen Unternehmens wenden.

Was bedeutet es, wenn das Passwort in einer Datenpanne gefunden wurde?

Wurde ein Passwort bei einer Datenpanne gefunden, handelt es sich um eine kritische Situation, in der Sie als Betroffener unbedingt aktiv werden sollten. Denn wurde Ihr Passwort unbefugt offengelegt oder zugänglich gemacht, können sich Unbefugte in Ihre Konten einloggen. Setzen Sie Ihr Passwort daher umgehend zurück und aktivieren Sie wenn möglich eine Zwei-Faktor-Authentifizierung. Nutzen Sie zur Passwortgenerierung gerne den kostenfreien eRecht24 Passwort-Generator.

 

 

Caroline Schmidt
Caroline Schmidt, B.A.
SEO-/SEA-Managerin (IHK) & Online-Redakteurin

Caroline Schmidt hat Medienbildung studiert und ein einjähriges Volontariat in der Online-Redaktion eines Berliner Legal-Tech-Unternehmens absolviert. Sie ist seit über fünf Jahren als Legal Writerin tätig und hat in verschiedenen Rechtsbereichen, darunter dem Arbeitsrecht, Schreiberfahrungen gesammelt. Seit 2022 ist sie als Legal Writerin und SEO-Redakteurin Teil des eRecht24-Redaktionsteams.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details