DSGVO: Wann Selbstständige und Freiberufler eine Datenpanne melden müssen
Datenschutzrechtlich relevant sind Datenpannen, wenn sie zu einer Verletzung des Schutzes personenbezogener Daten führen. Nach Art. 4 Nr. 12 DSGVO ist das der Fall, wenn eine unbeabsichtigte oder unrechtmäßige Vernichtung, ein Verlust oder eine Veränderung der Daten vorliegt.
Auch eine unbefugte Offenlegung und der unbefugte Zugang zu personenbezogenen Daten ist eine Verletzung des Schutzes personenbezogener Daten. In einem zweiten Schritt müssen Selbstständie und Freiberufler prüfen, ob die Verletzung tatsächlich zu einem Risiko für die Rechte und Freiheiten einer natürlichen Person führt. Sie müssen also das Risiko der Datenpanne prognostizieren: Welche Schäden sind denkbar, wie groß ist die Eintrittswahrscheinlichkeit und wie groß der potenzielle Schaden. Bei der Ermittlung des Risikos ist es auch wichtig, zu schauen, wie viele Daten von wie vielen Personen betroffen sind.
Der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit hat Beispiele von Fällen aufgelistet und zeigt, ob es sich hierbei um meldepflichtige Datenpannen handelt oder nicht. Meldepflichtig sind beispielsweise:
- Datenzugriff durch Cyber-Attacke
- Kontoauszug an falschen Kunden verschickt
- Hacker erbeuten Nutzernamen, Passwörter und Kaufhistorie der Kunden eines Onlineshops
- Kunden können aufgrund eines Programmierfehlers im Kundenportal fremde Kundendaten einsehen (sofern Daten abgerufen werden)
- Werbe-E-Mail mit offenem Mailverteiler (cc statt bcc)
Freiberufler und Selbstständige müssen Datenpannen innerhalb von 72 Stunden melden
Besteht durch die Datenpanne tatsächlich ein Risiko, das nicht nur gering ist, muss sie der Aufsichtsbehörde, also in Niedersachsen die Landesbeauftragte für den Datenschutz gemeldet werden. Hierfür wird in Niedersachsen ein spezielles Online-Meldeverfahren für Datenpannen genutzt (unten im Text haben wir Ihnen eine Liste der zuständigen Stellen für die Meldung einer Datenpanne nach Art. 33 DSGVO zusammengestellt). Die Meldung muss unverzüglich abgegeben werden, möglichst binnen 72 Stunden nach Kenntnis der Datenpanne. Dauert es länger, muss dies gut begründet werden. Besteht ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person, muss auch diese Person darüber informiert werden, dass es eine Datenpanne gab.
Wenn Selbstständige und Freiberufler die Datenpanne melden, muss die Art der Verletzung und die ungefähre Zahl der betroffenen Personen und der Datensätze benannt werden sowie der Datenschutzbeauftragte oder eine anderen Kontaktperson. Zudem müssen die wahrscheinlichen Folgen für den Betroffenen beschrieben und die ergriffenen oder vorgeschlagenen Maßnahmen benannt werden, mit denen die Folgen für den Betroffenen abgemildert werden können. Die Benachrichtigung gegenüber der betroffenen Person muss dieselben Informationen enthalten. Hier ist auf eine klare und einfache Sprache zu achten.
Ganz unabhängig davon, ob die Datenpanne nun gemeldet werden muss oder nicht – nach Art. 33 Absatz 5 DS-GVO müssen alle Datenpannen und die dazugehörige Risikoprognose dokumentiert werden. Hier sind auch die ergriffenen Abhilfemaßnahmen festzuhalten. Es bietet sich an, eine interne Übersicht über Datenpannen anzulegen, die bei Bedarf der Aufsichtsbehörde vorgelegt werden kann.
Wo muss ich die Datenpanne melden?
Baden-Württemberg: Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg
Bayern: Bayerisches Landesamt für Datenschutzaufsicht
Berlin: Berliner Beauftragte für Datenschutz und Informationsfreiheit
Brandenburg: Die Landesbeauftragte für den Datenschutz und für
das Recht auf Akteneinsicht (kein Formular)
Bremen: Die Landesbeauftragte für den Datenschutz
Hamburg: Der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit
Hessen: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Mecklenburg-Vorpommern: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern
Niedersachsen: Die Landesbeauftragte für den Datenschutz Niedersachsen
Nordrhein-Westfalen (NRW): Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Rheinland-Pfalz: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Saarland: Unabhängiges Datenschutzzentrum Saarland
Sachsen: Sächsischer Datenschutzbeauftragter
Sachsen-Anhalt: Landesbeauftragter für den Datenschutz Sachsen-Anhalt
Schleswig-Holstein: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Thüringen: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (Meldeformular); Kontakt
Über den Autor Henning Zander
Henning Zander ist Wirtschaftsjournalist und externer Datenschutzbeauftragter (TÜV). Er arbeitet u.a. für FOCUS-Business, Legal Tribune Online und das Anwaltsblatt. Er ist Autor des Buches Startup für Einsteiger