Meldepflicht bei Datenpannen

Ausführliche Erklärung

Die Meldepflicht bei Datenpannen ist in Artikel 33 und 34 der Datenschutz-Grundverordnung (DSGVO) geregelt und gilt seit Mai 2018 für alle Unternehmen und Organisationen, die personenbezogene Daten verarbeiten. Eine Datenpanne liegt vor, wenn die Sicherheit personenbezogener Daten verletzt wird – sei es durch Vernichtung, Verlust, Veränderung, unbefugte Offenlegung oder unbefugten Zugang. Das kann ein Hackerangriff sein, aber auch der versehentliche E-Mail-Versand an falsche Empfänger, ein verlorenes Notebook oder die fehlerhafte Verwendung von CC statt BCC im E-Mail-Verteiler.

Die 72-Stunden-Frist beginnt ab dem Zeitpunkt, zu dem dem Verantwortlichen die Datenpanne bekannt wurde. Dabei gilt die Frist durchgehend, auch an Wochenenden und Feiertagen. Eine Meldung ist nur dann nicht erforderlich, wenn die Datenpanne voraussichtlich zu keinem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Diese Risikoabschätzung muss dokumentiert werden. Bei hohem Risiko für Betroffene sind zusätzlich zur Behördenmeldung auch die betroffenen Personen selbst unverzüglich zu benachrichtigen (Art. 34 DSGVO). Die Meldung muss mindestens eine Beschreibung der Datenpanne, die Anzahl der betroffenen Personen und Datensätze, Kontaktdaten eines Ansprechpartners, wahrscheinliche Folgen sowie ergriffene Abhilfemaßnahmen enthalten.

Für KMU ist es entscheidend, einen vorab definierten Notfallplan zu haben, der interne Meldewege und Zuständigkeiten festlegt. Alle Datenpannen müssen unabhängig von ihrer Meldepflicht intern dokumentiert werden. Bei Verstößen gegen die Meldepflicht drohen Geldbußen von bis zu 10 Millionen Euro oder im Fall eines Unternehmens bis zu 2 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. In Österreich erfolgt die Meldung an die Österreichische Datenschutzbehörde (dsb.gv.at), in Deutschland an die jeweils zuständige Landesdatenschutzbehörde. Die Behörden stellen Online-Formulare zur Verfügung, die den Meldeprozess erleichtern.