Home News Über mich Kontakt
Datenschutzbeauftragter Leistungen
Externer
Datenschutzbeauftragter Verzeichnis der
Verarbeitungstätigkeiten Analyse der betrieblichen
Datensicherheit Datenschutzkonzepte Datenschutz-Folgenabschätzung Datenschutzhinweise Datenschutzschulungen
Datenschutzgesetze
EU-Datenschutzgrundverordnung Bundesdatenschutzgesetz Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz Digitale-Dienste-Gesetz Berliner Landesdatenschutzgesetz Brandenburgisches Datenschutzgesetz
Kosten
News

Notfallplan für Datenschutzpannen

27/02/2025

Der Schutz personenbezogener Daten ist für Unternehmen essenziell, aber Datenschutzpannen lassen sich nie ganz ausschließen. Bei Datenverlust oder unbefugtem Zugriff ist schnelles Handeln gefragt, da die zuständige Datenschutzaufsichtsbehörde oft innerhalb von 72 Stunden informiert werden muss. Unternehmen müssen Datenschutzpannen folglich schnell erkennen, melden und einschätzen können.

Die Datenschutzpanne

Eine Datenschutzpanne liegt vor, wenn die Vertraulichkeit, Verfügbarkeit oder Integrität personenbezogener Daten verletzt wird.

  • Verfügbarkeit: Daten werden unbefugt gelöscht, vernichtet oder gehen verloren. Beispiel: Ein Laptop mit personenbezogenen Daten wird auf Reisen vergessen.
  • Vertraulichkeit: Daten werden unbefugt offengelegt oder zugänglich gemacht. Beispiel: Eine E-Mail mit personenbezogenen Daten wird an den falschen Empfänger gesendet.
  • Integrität: Daten werden unabsichtlich oder unrechtmäßig verändert. Beispiel: Adressen in einer Kundendatenbank werden vertauscht.

Auch Dienstleister können Datenschutzpannen verursachen, aber das auftraggebende Unternehmen bleibt für die Meldepflicht verantwortlich.

Meldepflicht, Risikoabwägung und Benachrichtigung

Nach Art. 33 Abs. 1 DSGVO sind Datenschutzpannen unverzüglich, spätestens jedoch binnen 72 Stunden, der Aufsichtsbehörde zu melden. Die 72-Stunden-Frist beginnt mit der Kenntniserlangung der Panne, nicht der Geschäftsführung, sondern durch jeden sensibilisierten Beschäftigten. Eine Ausnahme der Meldepflicht besteht, wenn kein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.

Risiken können zum Beispiel Diskriminierung, Identitätsdiebstahl, Betrug oder finanzieller Verlust sein. Ob ein Risiko besteht, ist durch eine Risikobewertung zu beurteilen. Eine Risikobewertung berücksichtigt die Schwere des Schadens und die Eintrittswahrscheinlichkeit.

Beispiele:

  • Verlust eines USB-Sticks mit unverschlüsselten Daten: Meldepflichtig, wenn sensible Daten betroffen sind.
  • Vernichtung von Kundendaten: Keine Meldepflicht, wenn kein Risiko besteht.
  • Versand einer E-Mail an falsche Adressaten: Abhängig von der Art der Daten und Anzahl der Empfänger.

Bei hohem Risiko für die Rechte der Personen (z.B. Bankdaten) ist zudem eine Benachrichtigung der Betroffenen erforderlich.

Fazit

Beschäftigte müssen daher in der Lage sein, Datenschutzpannen zu erkennen. Schulungen und klare interne Meldewege sind entscheidend. Verantwortliche Personen und die IT-Abteilung sollten in den Meldeprozess einbezogen werden.


Alle Artikel anzeigen

Kontakt
+49 (0) 30 91 43 66 11
info@datenschutzbeauftragter-berlin.com

Rechtliches
Impressum
Datenschutzhinweise

Zertifikate
AI-qualified (BvD)
Zertifizierter externer Datenschutzbeauftragter und Datenschutzauditor (TÜV Rheinland)

Zertifizierter IT-Sicherheitsbeauftragter Bitkom Akademie