Jetzt Mitglied werden!
eRecht24.de

Datenschutzvorfall

So handeln Sie im Unternehmen bei einer Datenpanne DSGVO-konform

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(1 Bewertung, 5.00 von 5)

Das Wichtigste in Kürze

  • Nicht jeder Datenschutzvorfall ist meldepflichtig, aber jeder Datenschutzvorfall ist dokumentationspflichtig.
  • Ob eine Datenpanne bei der zuständigen Aufsichtsbehörde gemeldet werden muss, entscheidet der Datenschutzbeauftragte des Unternehmens.
  • Dokumentieren Sie technische und organisatorische Maßnahmen und Datenschutzvorfälle mit unserem Datenschutzmanagementsystem DatenschutzPro auf eRecht24 Premium.
Ich möchte mich umfassend informieren Ich möchte mein Business absichern

Worum geht's?

Mal ehrlich: Wie gut sind Sie wirklich auf einen Datenschutzvorfall vorbereitet? Ein verlorener Laptop, eine falsch adressierte E-Mail oder ein erfolgreicher Phishing-Angriff reichen schon aus, um Ihr Unternehmen mitten ins Visier der Aufsichtsbehörden zu katapultieren. Ignorieren Sie diese Risiken, spielen Sie nicht nur mit den Daten Ihrer Kunden, sondern auch mit Ihrem guten Ruf und Ihrem Geldbeutel. Wie Sie richtig bei Datenschutzvorfällen reagieren und wie Sie Datenpannen vermeiden können, lesen Sie in unserem Artikel.

 

1. Was ist ein Datenschutzvorfall?

Seit 2018 müssen Unternehmen sich an die Datenschutzvorschriften gemäß der Datenschutz-Grundverordnung (DS-GVO) halten. So unterliegen personenbezogene Daten beispielsweise einem besonderen Schutz. Sie dürfen nicht grundlos und ohne Einwilligung des Betroffenen erhoben und nicht unbegrenzt gespeichert werden.

Verstoßen Unternehmen gegen die DSGVO, handelt es sich dabei um einen Datenschutzverstoß. Umgangssprachlich wird vermehrt auch von einer Datenschutzpanne oder einem Datenschutzvorfall gesprochen. Zusätzlich kursieren auch die Begriffe IT-Sicherheitsvorfall und Datenschutzverletzung. Alles dasselbe, oder? Nicht ganz.

WUSSTEN SIE’S SCHON?

Eine Datenschutzverletzung bezieht sich auf die Verletzung des Schutzes personenbezogener Daten. Beim Datenschutzvorfall handelt es sich um einen Oberbegriff für alle Vorfälle, bei denen die Vertraulichkeit, Integrität oder Verfügbarkeit von personenbezogenen Daten beeinträchtigt werden kann. Es muss dabei nichts schiefgelaufen sein. Für einen Datenschutzvorfall reicht die Vermutung aus, dass es Probleme mit dem Datenschutz gegeben haben könnte.

Synonym zum Datenschutzvorfall kann die Datenpanne verwendet werden. Bei einem IT-Sicherheitsvorfall handelt es sich um einen Angriff auf IT-Systeme oder Netzwerke. Hier kann es durch einen Hacker-Angriff oder Phishing beispielsweise unbefugten Zugriff gegeben haben. Sobald während des Angriffs personenbezogene Daten kompromittiert werden, kann es sich dabei um einen Datenschutzvorfall handeln.

Und zu guter letzt: Der Datenschutzverstoß. Er bezieht sich auf einen konkreten Verstoß gegen die Vorgaben der Datenschutzgrundverordnung. Der Datenschutzverstoß kann durch Fehler oder Pannen bei der Datenverarbeitung oder beim Management der Daten entstanden sein. Datenschutzverstöße können eine Ordnungswidrigkeit oder sogar eine Straftat darstellen.

2. Wann ist ein Datenschutzvorfall meldepflichtig?

Wann es sich in der Theorie um einen Datenschutzvorfall handeln kann, ist damit geklärt. Aber viel wichtiger ist doch: Wann handelt es sich in der Praxis um einen Datenschutzvorfall, der einer Meldung bedarf? Dazu haben wir Ihnen ein paar Beispiele herausgesucht:

  • Ein Mitarbeiter hat einen Laptop mit vertraulichen Unternehmensdaten verloren oder er wurde ihm gestohlen.
  • Durch Fehler im System oder in der E-Mail-Adressierung erhält ein Kunde vertrauliche Informationen über einen anderen Kunden.
  • Durch einen Phishing-Angriff konnten Hacker vertrauliche Daten einsehen.
  • Personenbezogene Daten wurden bei einem Hackerangriff gestohlen.
  • Personenbezogene Daten werden zu einem anderen Zweck genutzt, als für den vorhergesehenen. Als Beispiel: Der Kunde hat sich beim Online-Shop mit der E-Mail-Adresse angemeldet, um eine Bestellung zu tätigen und erhält plötzlich einen Newsletter, zu dem er sich nie angemeldet hat.
  • Kundendaten werden ohne Einwilligung des Kunden mit einem Dritten geteilt.
Zum Artikel

LESE-TIPP

Weiterführende Informationen zur Meldepflicht eines Datenschutzverstoßes oder einer Datenpanne, lesen Sie in unserem Artikel “Die DSGVO und Datenpannen: Wann sind Sie zu einer Meldung verpflichtet?”.

Zum Artikel

3. Wann muss die Meldung erfolgen?

Ob ein Datenschutzvorfall meldepflichtig ist oder nicht, entscheidet in der Regel der Datenschutzbeauftragte Ihres Unternehmens. Außerdem kümmert sich der DSB um die allgemeine Datensicherheit in Ihrem Unternehmen und sorgt präventiv für die Vermeidung von Datenschutzvorfällen. Liegt trotzdem ein Datenschutzvorfall vor, wägt der Datenschutzbeauftragte das Risiko ab und erstattet Meldung bei der zuständigen Aufsichtsbehörde.

Nicht jedes Unternehmen muss einen Datenschutzbeauftragten benennen. Wann Sie einen Datenschutzbeauftragten benötigen, lesen Sie in unserem Artikel “Wann die Bestellung eines Datenschutzbeauftragten für Ihr Unternehmen unabdingbar ist”.

ACHTUNG

Die Meldung des Datenschutzvorfalls muss unverzüglich erfolgen. Nach Bekanntwerden der Datenpanne bleiben Ihnen 72 Stunden als Frist zur Meldung an die zuständige Aufsichtsbehörde.

Sie haben noch keinen Datenschutzbeauftragten? Unabhängig davon, ob eine Pflicht zur Bestellung eines DSB vorliegt oder nicht, empfehlen wir Ihnen die Bestellung eines externen Datenschutzbeauftragten über unser Partnerunternehmen Legaltrust. Die Datenschutzexperten der Legaltrust bringen umfassende Fachkenntnisse und Erfahrung aus verschiedenen Branchen mit und unterstützen Sie bei allen Datenschutzfragen.

LEGALTRUST KONTAKTIEREN

LEGALTRUST

Unser Partnerunternehmen Legaltrust identifiziert datenschutzrechtliche Schwachstellen, konzipiert Lösungen, begleitet Sie bei der praktischen Umsetzung und sorgt für nachhaltigen Datenschutz in Ihrem Unternehmen – kompetent, praxisnah und verständlich.
LEGALTRUST KONTAKTIEREN

4. So gehen Sie bei einem Datenschutzvorfall richtig vor

Das A und O bei Datenpannen ist der korrekte Handlungsablauf. Die Frist zur Meldung von Datenschutzvorfällen ist kurz. Aus diesem Grund sollten Sie bereits im Vorfeld gemeinsam mit dem Datenschutzbeauftragten festlegen, wie bei einem Datenschutzvorfall vorgegangen werden muss. Als Leitfaden können Sie diese Schritt-für-Schritt-Anleitung nutzen:

Schritt 0: Im Falle eines Hacking-Angriffs sollten Sie sofort handeln und die betroffenen Systeme isolieren, um eine Ausbreitung zu verhindern.

Schritt 1: Dokumentieren Sie den Vorfall lückenlos gemäß Art. 33 Abs. 5 DSGVO. Was ist passiert? Welche Daten sind betroffen? Welche Mitarbeiter sind involviert? Wie kam es zu dem Datenschutzvorfall?

Schritt 2: Wenn nicht bereits bei Schritt 0 oder 1 geschehen, dann kommt spätestens hier der Datenschutzbeauftragte ins Spiel. Er prüft, ob der Datenschutzvorfall einer Meldung bedarf. Diese muss unverzüglich innerhalb einer Frist von 72 Stunden bei der zuständigen Aufsichtsbehörde erfolgen.

Schritt 3: Besteht ein hohes Risiko für die Rechte und Freiheiten betroffener Personen, müssen diese schnellstmöglich über die Datenpanne informiert werden.

Schritt 4: Jetzt kommt ihr Notfallplan zum Tragen. Hier sollten vor allem klare Rollen und Abläufe sowie die Verantwortlichkeiten definiert sein. Beziehen Sie auch externe Hilfe ein: Neben einem Datenschutzbeauftragten können auch IT-Spezialisten helfen, den Datenschutzvorfall einzudämmen und in Zukunft zu verhindern.

Schritt 5: Lernen Sie aus dem Datenschutzvorfall. Analysieren Sie das Geschehene und ziehen Sie Rückschlüsse. Schließen Sie etwaige Sicherheitslücken und passen Sie Ihre Prozesse entsprechend an.

AUFGEPASST

Ist keine Meldung notwendig, muss der Datenschutzvorfall dennoch ordnungsgemäß nach Art. 33 Abs. 5 DSGVO dokumentiert werden. Der Datenschutzbeauftragte sollte von jedem Datenschutzvorfall Kenntnis haben, um Präventivmaßnahmen daraus ableiten zu können. So können erneute Datenpannen vermieden werden.

Zur Veranschaulichung haben wir Ihnen den Ablauf bei einem Datenschutzvorfall als übersichtliches Flussdiagramm erstellt:

So gehen Sie bei einem Datenschutzvorfall richtig vor

5. Checkliste: Sind Sie auf Datenschutzpannen vorbereitet?

Mit unserer Checkliste sind Sie perfekt auf einen Datenschutzvorfall in Ihrem Unternehmen vorbereitet.

Checkliste
Ideale Vorbereitung auf Datenschutzvorfälle im Unternehmen
  • Erstellen Sie technische und organisatorische Maßnahmen für den Datenschutz im Unternehmen.
  • Legen Sie Verantwortlichkeiten klar fest.
  • Regelmäßige Datenschutzschulungen helfen Mitarbeitern, im Ernstfall vorbereitet zu sein.
  • Überprüfen Sie Ihre Auftragsverarbeitungsverträge (AV-Verträge) mit Dienstleistern.
  • Definieren Sie klare Meldestellen, die bei einem Datenschutzvorfall genutzt werden müssen.
  • Richten Sie Monitoring-Systeme ein, die Auffälligkeiten - wie beispielsweise bei einem Hacker-Angriff - frühzeitig melden.
  • Erstellen Sie einen Notfallplan, den Sie im Falle eines Vorfalls abrufen können und hangeln Sie sich an den 5 Schritten zur Handlungsempfehlung bei einem Datenschutzvorfall entlang.
  • Die Benennung eines Datenschutzbeauftragten kann helfen, auf den Ernstfall vorbereitet zu sein - auch wenn keine Pflicht besteht.
  • Dokumentationspflichten, Meldepflichten und Fristen zur Meldung beachten.
  • Analysieren Sie Datenschutzvorfälle und passen Sie Prozesse entsprechend an. Regelmäßige Tests können zur Prüfung von Abläufen und beim Aufspüren von Sicherheitslücken helfen.

 

Mit dem Datenschutzmanagementsystem DatenschutzPro auf eRecht24 Premium können Sie Ihr Risiko minimieren und Datenschutzvorfällen vorbeugen. Schritt für Schritt werden Sie durch die Software geführt und hinterlegen Ihre internen Datenschutzprozesse anhand eines einfachen Fragenkatalogs.

Erstellen Sie mit DatenschutzPro ein Verzeichnis für Verarbeitungstätigkeiten und hinterlegen Sie Ihre technischen und organisatorischen Maßnahmen. Datenschutzvorfälle können Sie schnell und einfach dokumentieren und eine Risikoeinschätzung durchführen. Sichern Sie Ihren Datenschutz rechtssicher ab - mit eRecht24 Premium und DatenschutzPro.

JETZT DATENSCHUTZ ABSICHERN

DatenschutzPro

Verwalten Sie Ihren Datenschutz mit unserer Datenschutz-Managementlösung DatenschutzPro:
  • Behalten Sie den Überblick über den Datenschutz in Ihrem Unternehmen
  • Erstellen Sie die wichtigsten Datenschutzdokumente an einem Ort
  • Intuitive und zeitsparende Bedienung
  • Datenschutzbeauftragter auf Wunsch zubuchbar
JETZT DATENSCHUTZ ABSICHERN

6. Fazit

Im Falle einer Verletzung des Schutzes personenbezogener Daten kann es sich um einen meldepflichtigen Datenschutzvorfall handeln. Besteht ein Risiko für die Rechte und Freiheiten der betroffenen Personen, muss die Datenschutzverletzung schnellstmöglich - spätestens aber innerhalb von 72 Stunden nach Bekanntwerden - bei der zuständigen Aufsichtsbehörde gemeldet werden.

Wird der Datenschutzvorfall nicht rechtzeitig gemeldet oder trotz Risikos gar nicht gemeldet, wird ein hohes Bußgeld fällig. Wir empfehlen Ihnen, einen externen Datenschutzbeauftragten zu benennen. Auch ohne Pflicht zur Bestellung kann Ihnen das im Ernstfall viel Arbeit, Zeit, Nerven und Geld ersparen. Kontaktieren Sie die Datenschutzexperten unseres Partnerunternehmens Legaltrust und sichern Sie den Datenschutz in Ihrem Unternehmen ab.

LEGALTRUST KONTAKTIEREN

LEGALTRUST

Unser Partnerunternehmen Legaltrust identifiziert datenschutzrechtliche Schwachstellen, konzipiert Lösungen, begleitet Sie bei der praktischen Umsetzung und sorgt für nachhaltigen Datenschutz in Ihrem Unternehmen – kompetent, praxisnah und verständlich.
LEGALTRUST KONTAKTIEREN

7. FAQ

Wann spricht man von einem Datenschutzvorfall?

Ein Datenschutzvorfall liegt vor, wenn personenbezogene Daten unbefugt offengelegt, verändert, verloren oder zerstört werden, egal ob durch menschliches Fehlverhalten, ein technisches Problem oder einen Angriff. Entscheidend ist, dass die Sicherheit, Vertraulichkeit oder Integrität der Daten beeinträchtigt wird.

Was muss ich bei einem Datenschutzvorfall tun?

Sofort dokumentieren, wie der Vorfall passiert ist, welche Daten betroffen sind und welche Risiken bestehen. Verantwortliche Personen oder die Datenschutzbeauftragten informieren, Beweise sichern, erste Maßnahmen zur Eindämmung einleiten und prüfen, ob eine Meldung an die Aufsichtsbehörde oder betroffene Personen erforderlich ist.

Wann muss ich einen Datenschutzvorfall melden?

Eine Meldepflicht besteht, wenn durch den Vorfall ein Risiko für die Rechte und Freiheiten betroffener Personen entstehen kann. Typische Risiken sind Identitätsdiebstahl, Diskriminierung oder finanzielle Schäden. In solchen Fällen muss die Meldung unverzüglich erfolgen, um rechtliche Sanktionen zu vermeiden.

Wann muss ein Datenschutzvorfall gemäß den gesetzlichen Vorgaben gemeldet werden?

Nach der DSGVO muss die Meldung an die zuständige Aufsichtsbehörde möglichst binnen 72 Stunden erfolgen, sobald ein Risiko für Betroffene besteht. Falls ein hohes Risiko vorliegt, müssen zusätzlich die betroffenen Personen informiert werden. Hier sollte der interne oder externe Datenschutzbeauftragte eine Risikoabschätzung abgeben und die Meldung in die Wege leiten.

 

Caroline Schmidt
Caroline Schmidt, B.A.
SEO-/SEA-Managerin (IHK) & Online-Redakteurin

Caroline Schmidt hat Medienbildung studiert und ein einjähriges Volontariat in der Online-Redaktion eines Berliner Legal-Tech-Unternehmens absolviert. Sie ist seit über fünf Jahren als Legal Writerin tätig und hat in verschiedenen Rechtsbereichen, darunter dem Arbeitsrecht, Schreiberfahrungen gesammelt. Seit 2022 ist sie als Legal Writerin und SEO-Redakteurin Teil des eRecht24-Redaktionsteams.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details