Datenschutzverstoß melden

Die DSGVO und Datenpannen: Wann sind Sie zu einer Meldung verpflichtet?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(25 Bewertungen, 3.48 von 5)

Das Wichtigste in Kürze

  • Ein Datenschutzverstoß liegt vor, wenn personenbezogene Daten verändert, vernichtet oder verloren gegangen sind oder sie offengelegt wurden.
  • Ob Sie einen Datenschutzverstoß melden müssen, hängt vom Risiko des Verstoßes ab.
  • Stehen Sie für den Datenschutzvorfall in der Meldepflicht und kommen dieser nicht nach, drohen empfindliche Bußgelder.

Worum geht's?

Hackerangriff, versehentliche Veröffentlichung von personenbezogenen Daten und Diebstahl von Laptops auf der Arbeit - Sicherheitsverstöße sind nicht selten und der Albtraum eines jeden Datenschutzbeauftragten. Wenn Sie betroffen sind, sollten Sie schnell handeln. Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, Datenpannen umgehend zu melden. Doch wann besteht eine Meldepflicht? Wer ist alles zu benachrichtigen? Wie ist diese Meldung auszugestalten? In unserem Artikel erfahren Sie mehr dazu.

 

1. Was ist eine Datenpanne nach der DSGVO?

Bei einer Verletzung des Schutzes personenbezogener Daten, handelt es sich um eine Datenschutzverletzung – auch Datenschutzverstoß oder Datenpanne genannt. Sie sind allerdings nicht bei jedem Datenleck dazu verpflichtet, die zuständigen Aufsichtsbehörden über einen Verstoß zu unterrichten. Eine Meldepflicht für den Datenschutzverstoß besteht nur, wenn die Datenpanne mit Risiken für den Betroffenen verbunden ist.

Es gibt zwei verschiedene Arten von Datenschutzverstößen:

  1. personenbezogene Daten wurden verändert, vernichtet oder sind verloren gegangen
  2. personenbezogene Daten wurden unbefugt offengelegt oder es bestand Zugang zu ihnen

In diesen Fällen handelt es sich um einen Datenschutzverstoß, den Sie melden müssen. Folgende Beispiele zählen zu einem Datenschutzverstoß:

  • Sie verlieren einen Laptop oder ein Mobiltelefon mit personenbezogenen Daten.
  • Hacker greifen die Datenbank an und stehlen personenbezogene Daten.
  • Unbekannte brechen ein und stehlen Dokumente oder ziehen Daten auf einen USB-Stick.

Als Datenverarbeiter unterliegen Sie einer Dokumentationspflicht. Dokumentieren Sie den Vorfall und bewerten Sie in einem nachgelagerten Verfahren, ob Sie die Datenpannen melden müssen oder nicht.

2. Wann muss man einen Datenschutzverstoß melden?

Sie haben einen Laptop entsorgt, löschten die Daten aber nicht von der Festplatte? Bei verschlüsselten Daten ist es unwahrscheinlich, dass etwas passiert. In einer solchen Situation löst Ihr Verhalten vermutlich keine Meldepflicht nach der DSGVO aus. Denken Sie daran, dass Sie bei einer meldepflichtigen Datenpanne sowohl die Behörde als auch die Betroffenen informieren müssen. Bei einer Datenpanne ist die Meldepflicht dann aber an verschiedene Voraussetzungen geknüpft.

Aufsichtsbehörde: Die Meldepflicht besteht schon bei einem „normalen Risiko“.

Betroffene: Betroffene sind erst dann zu benachrichtigen, wenn die Schutzverletzung ein „gesteigertes Risiko“ für ihre Rechte und Freiheiten auslöst.

Nehmen Sie für eine Datenpanne nach der DSGVO das Beispiel mit der Festplatte. Entsorgen Sie eine funktionierende Festplatte, ist es möglich, dass sie jemand aus dem Müllbehälter nimmt. Dabei kann es sich um Betriebsspionage handeln. Bei einer verschlüsselten Festplatte sind die Daten aber nur unter einem erheblichen Aufwand oder gar nicht entschlüsselbar.

Sören Siebert
Sören SiebertRechtsanwalt

Das Risiko, dass Spione die Sicherheitslücke ausnutzen, ist also sehr gering. Sie sind in einer solchen Situation eventuell dazu verpflichtet, den Vorfall der Aufsichtsbehörde zu melden. Da das Risiko aber nicht „gesteigert“ ist, entfällt die Meldepflicht gegenüber den Betroffenen – also gegenüber denjenigen Personen oder Unternehmen, deren personenbezogene Daten auf der Festplatte gespeichert sind.

In den folgenden Situationen besteht nach Art. 34 III DSGVO (§ 42a BDSG alte Fassung) keine Meldepflicht:

  • Sie trafen technische und organisatorische Sicherheitsvorkehrungen (z.B. Verschlüsselung).
  • Sie stellen durch nachgelagerte Maßnahmen sicher, dass höchstwahrscheinlich kein Risiko mehr besteht.
  • Die Meldung betrifft einen großen Personenkreis, der nur schwer zu ermitteln ist. Dann müssen Sie jedoch auf andere Maßnahmen ausweichen, beispielsweise auf eine öffentliche Bekanntmachung.

Ob eine Meldepflicht besteht oder nicht, hängt also immer von den konkreten Umständen der jeweiligen Situation ab.

3. Datenschutzverstöße melden: Welche Frist gilt?

Im Falle eines Datenschutzverstoßes muss die zuständige Datenschutzbehörde unverzüglich und möglichst innerhalb von 72 Stunden informiert werden. Den betroffenen Personen muss der Vorfall ebenfalls unverzüglich gemeldet werden - ohne schuldhaftes Zögern. Es gibt seltene Ausnahmen von dieser Meldepflicht, die jedoch streng reguliert sind. „Unverzüglich“ bedeutet, dass Sie die Meldung so schnell wie nur möglich durchführen – jedenfalls ohne schuldhaft zu zögern.

PRAXIS-TIPP

Faustregel: Je risikobehafteter die Datenschutzverletzung ist, desto schneller sollten Sie den Datenschutzverstoß melden.

In dem Beispiel mit der Festplatte reicht eine Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden aus. Das Datenleck ist den Betroffenen nicht zu melden, da es unwahrscheinlich ist, dass jemand die Daten entschlüsselt. Sollten Sie dennoch einer Meldepflicht unterliegen, können Sie sich ausreichend Zeit lassen. Denn es ist unwahrscheinlich, dass ein Spion die Festplatte aus dem Müll heraussucht. Sollte dies dennoch geschehen, müsste er zunächst die Verschlüsselung umgehen, was viel Zeit beansprucht.

Ob eine Datenschutzpanne zu melden ist, hängt davon ab, ob ein Risiko für die Rechte und Freiheiten der betroffenen Person vorliegt und wie dieses zu bewerten ist. Deshalb sollten Sie Datenschutzverstöße immer dokumentieren. In einem anschließenden Meeting ist dann zu klären, ob tatsächlich ein Risiko vorliegt und ob das Datenleck nur der Aufsichtsbehörde oder auch den Betroffenen zu melden ist.

4. Datenpanne melden: Was müssen Sie in einer Meldung angeben?

Was müssen Sie tun, wenn Sie einen DSGVO-Verstoß melden wollen? Zunächst sollten Sie eine Meldung erstellen. Der Umfang dieser Meldung hängt davon ab, ob sie nur an die Aufsichtsbehörde oder auch an einen Betroffenen erfolgt.

a) Meldung gegenüber der Aufsichtsbehörde gemäß Art. 33 DSGVO

Die Meldung gegenüber der Aufsichtsbehörde richtet sich nach Art. 33 DSGVO. Meldungen müssen die folgenden Punkte enthalten:

  • Welche Art von Verletzung liegt vor? (Datenverlust, Diebstahl usw.)
  • In welche Kategorie fallen die Betroffenen? (Kunden, Mitarbeiter)
  • Wie viele Betroffene gibt es?
  • Welche Kategorien von Datensätzen sind betroffen?
  • Name und Anschrift des Datenschutzbeauftragten.
  • Welche Folgen zieht die Schutzverletzung nach sich? (z.B. finanzielle Nachteile)
  • Welche Schutzmaßnahmen haben Sie ergriffen oder möchten Sie ergreifen?
  • Welche Gegenmaßnahmen sind noch denkbar?

Das Gesetz schreibt nicht vor, dass Sie die Meldung per Fax oder Brief einreichen müssen. Wir empfehlen Ihnen dies aber schon aus Beweisgründen. Sie sollten die zuständige Aufsichtsbehörde zuvor telefonisch kontaktieren. Einige Aufsichtsbehörden ermöglichen sogar, dass Sie den Datenschutzverstoß online melden können.

AUFGEPASST

Denken Sie daran, dass Sie der Datenschutzbehörde den Verstoß innerhalb von 72 Stunden melden müssen. Wenn Sie den telefonischen Anruf nicht durchführen, riskieren Sie ein Bußgeld.

Für Ihr Unternehmen ist die Aufsichtsbehörde des Bundeslandes zuständig, in dem Ihr Unternehmen seinen Sitz hat. Es kommt ausschließlich darauf an, wo der Sitz des Unternehmens ist; wo sich die handelnde Zweigstelle, Filiale oder Geschäftsstelle befindet, ist irrelevant.

b) Meldung gegenüber den Betroffenen gemäß Art. 34 DSGVO

Sie möchten den betroffenen Personen oder dem betroffenen Unternehmen den Datenschutzverstoß melden? Diese Meldung ist speziell zu gestalten. Sie müssen den Betroffenen keine umfassenden Informationen über die Datenschutzverletzung bereitstellen. Die folgenden Informationen müssen Sie den Betroffenen aber auf jeden Fall übermitteln:

  • Name und Anschrift des Datenschutzbeauftragten
  • Art der Schutzverletzung
  • wahrscheinliche Folgen der Datenschutzverletzung
  • ergriffene und empfehlenswerte Gegenmaßnahmen

Achten Sie darauf, die Meldung in einer klaren und verständlichen Sprache zu verfassen. Sie dürfen den Empfänger keinesfalls in einem verklausulierten „Juristendeutsch“ ansprechen. Die Meldung ist so auszugestalten, dass ihr Inhalt mit einem beiläufigen Blick erkennbar ist. Sie darf keine sachfremden Bezüge und werbenden Maßnahmen enthalten. Letztlich müssen Sie zwei Formulare anfertigen – eines für die Aufsichtsbehörde und eines für die Betroffenen.

Jetzt Kanzlei kontaktieren

KANZLEI SIEBERT LEXOW

Sie sind von einer Datenpanne betroffen? Unsere Kanzlei Siebert Lexow kümmert sich gern um Ihr Anliegen und arbeitet mit Ihnen gemeinsam Maßnahmen heraus, um dies in Zukunft zu verhindern.

Jetzt Kanzlei kontaktieren

5. Was passiert, wenn ich bei einem Datenschutzvorfall der Meldepflicht nicht nachkomme?

Die Datenschutzbehörden sind häufig recht kulant. Sie haben ein Ermessen, dürfen also unter mehreren Optionen wie einer Verwarnung und einer Geldbuße auswählen. Welche Option sie auswählen, hängt immer von der individuellen Situation und dem Verhalten der Gegenseite ab.

Die DSGVO stellt die Nichterfüllung von Meldepflichten unter Strafe, Art. 83 IVa DSGVO. Es sind Bußgelder in Höhe von bis zu zehn Millionen Euro möglich, oder bis zu zwei Prozent des weltweiten Umsatzes des vorherigen Geschäftsjahrs.

Zum Artikel

LESE-EMPFEHLUNG

Welche Bußgelder in der Vergangenheit von Datenschutzbehörden verhängt wurden, lesen Sie in unserem Artikel „Achtung: Hohe DSGVO-Bußgelder verhängt“.

Zum Artikel

6. Datenpanne beim Auftragsverarbeiter: Das gilt

Es liegt eine Datenpanne bei einem Auftragsverarbeiter vor? Auftragsverarbeiter unterliegen keiner Meldepflicht. Sie sind aber dazu verpflichtet, denjenigen zu unterstützen, der meldepflichtig ist. Die DSGVO schreibt dem Auftragsverarbeiter nicht genau vor, was er zu machen hat.

Nehmen Sie deshalb schon beim Vertrag zur Auftragsverarbeitung entsprechende Regelungen auf. Diese können sich auf die folgenden Themen beziehen: Umfang der Unterstützungspflicht, bereitzustellende Informationen und damit verbundene Fristen.

Beachten Sie, dass Sie einer Dokumentationspflicht unterliegen. Wir empfehlen Ihnen, unabhängig von einer etwaigen Meldepflicht, eine „Historie der Datenpanne“ zu erstellen.

Sören Siebert
Sören SiebertRechtsanwalt

7. Checkliste: Datenschutzverstöße melden

Checkliste: Datenschutzverstöße melden
Sie sind von einer Datenschutzverletzung betroffen? Dann sollten Sie folgendermaßen vorgehen:
  • Erstellen Sie einen Ablaufplan.
  • Erstellen Sie einen Tätigkeitsbericht für die interne Aufbereitung.
  • Beurteilen Sie, ob Sie einer Meldepflicht unterliegen.
  • Kontaktieren Sie die zuständige Datenschutzbehörde vorab telefonisch.
  • Lassen Sie sich bei der Erstellung einer Meldung bei Datenpannen von Datenschutzexperten wie der Kanzlei Siebert Lexow beraten.
  • Schulen Sie Ihre Mitarbeiter im Umgang mit einem Datenverlust.

 

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

8. FAQ zu Datenschutz & Verstoß melden

1. Wann liegt eine Datenpanne vor?

Eine Datenpanne liegt in verschiedenen Situationen vor, beispielsweise wenn personenbezogene Daten verloren gegangen sind, oder wenn sie vernichtet, verändert oder unbefugt offengelegt wurden.

Beispiele:

  • Verloren gegangen: Ein Mitarbeiter vergisst ein MacBook mit Kundendaten in einem Café. Dieses ist nicht wieder auffindbar.
  • Vernichtet: Ein Brand vernichtet die Server mit den darauf befindlichen Kundendaten. Diese waren nicht gesichert.
  • Verändert: Ein Hacker dringt auf die Firmenrechner ein und manipuliert die Kundendaten. Unbefugt offengelegt: Ein Systemfehler sorgt dafür, dass Kundendaten auf der Homepage öffentlich einsehbar sind.

2. Wann besteht eine Meldepflicht?

Eine Datenpanne löst nur dann eine Meldepflicht aus, wenn sie zu einem Risiko für den oder die Betroffenen führt. Ein normales Risiko löst eine Meldepflicht gegenüber der Datenschutzbehörde aus. Für eine Meldepflicht gegenüber den Betroffenen ist ein erhöhtes Risiko erforderlich.

3. Wann entfällt die Meldepflicht?

Eine Meldepflicht entfällt, wenn Sie technische und organisatorische Sicherheitsvorkehrungen trafen - die Daten also beispielsweise verschlüsselten. Sie unterliegen keiner Meldepflicht, wenn Sie durch nachgelagerte Gegenmaßnahmen das Folgerisiko erheblich reduzieren. Gleiches gilt, wenn sehr viele Personen oder Unternehmen betroffen sind und der Betroffenenkreis nur schwer zu ermitteln ist. Dann müssen Sie aber gegebenenfalls eine öffentliche Bekanntmachung durchführen.

4. In welchem Zeitraum ist eine Meldung durchzuführen?

Melden Sie die Datenpanne am besten direkt telefonisch der Datenschutzbehörde, spätestens aber innerhalb von 72 Stunden. Bei den betroffenen Personen oder Unternehmen gilt ebenfalls die Vorgabe einer unverzüglichen Meldung.

5. Wie ist eine Meldung zu gestalten?

Eine Meldung ist nicht schriftlich zu verfassen. Aus Dokumentations- und Beweiszwecken empfehlen wir dies aber. Verfassen Sie die Meldung in einer klaren und verständlichen Sprache.

6. Welche Strafen drohen mir bei Zuwiderhandlung?

Ihnen drohen Bußgelder in Höhe von bis zu zehn Millionen Euro, oder bis zu zwei Prozent des weltweiten Umsatzes des vorherigen Geschäftsjahrs. Die Datenschutzbehörden verhängten auch schon dahingehende Bußgelder.

7. Was gilt für Auftragsverarbeiter?

Auftragsverarbeiter unterliegen zwar selbst keiner Meldepflicht, müssen aber die Verantwortlichen unterstützen. Da die DSGVO keine praxisgerechten Lösungsansätze enthält, sollten Sie sich vertraglich absichern. Legen Sie schon bei Vertragsschluss fest, welche Informationen Sie wann bereitstellen müssen.

8. Kann ich einen Datenschutzverstoß anonym melden?

Sie haben selbst keinen Verstoß gegen die DSGVO begangen, sondern eine Datenpanne aufgedeckt? In dem Fall können Sie das betroffene Unternehmen bei der zuständigen Datenschutzbehörde melden. Auch anonym.

 

 

Caroline Schmidt
Caroline Schmidt, , M.A.
Legal Writerin & SEO-Redakteurin

Caroline Schmidt hat Medienbildung studiert und ein einjähriges Volontariat in der Online-Redaktion eines Berliner Legal-Tech-Unternehmens absolviert. Sie ist seit über drei Jahren als Legal Writerin tätig und hat in verschiedenen Rechtsbereichen, darunter dem Arbeitsrecht, Schreiberfahrungen gesammelt. Seit 2022 ist sie als Legal Writerin und SEO-Redakteurin Teil des eRecht24-Redaktionsteams.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.


Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details