Go to landing page.
Willkommen bei PrivacyXperts
Registrierung per Kundennummer

Top-Thema: Datenschutzpannen: Können Sie diese Fragen beantworten?

Datenschutzpannen: Können Sie diese Fragen beantworten?

Wo gehobelt wird, da fallen Späne. An dieser Weisheit ist natürlich viel dran, schließlich kann auch im Umgang mit personenbezogenen Daten mal etwas schiefgehen. Doch wenn das der Fall ist, sind vor allem Sie als Datenschutzbeauftragter gefragt. Denn Sie sind derjenige, der sich den dann aufkommenden Fragen stellen muss. So können Sie auf einige typische Fragen rund um Datenschutzpannen antworten.

Andreas Würtz

26.09.2025 · 5 Min Lesezeit

Was versteht man unter einer Datenschutzpanne?

Wenn von Datenschutzpannen, Datenpannen oder Datenlecks die Rede ist, wird damit umgangssprachlich zum Ausdruck gebracht, was die Datenschutz- Grundverordnung (DSGVO) mit dem Begriff „Verletzung des Schutzes personenbezogener Daten“ meint.

Was der Gesetzgeber darunter versteht, ergibt sich aus Art. 4 Nr. 12 DSGVO. Bei einer „Verletzung des Schutzes personenbezogener Daten“ handelt es sich um eine Verletzung der Sicherheit der Verarbeitung personenbezogener Daten. Diese kann unrechtmäßig oder unbeabsichtigt zu Folgendem führen:

  • zur Vernichtung,
  • zum Verlust,
  • zur Veränderung oder
  • zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu

personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Dabei ist wichtig hervorzuheben: Es kommt nicht darauf an, ob das zufällig schiefgeht, absichtlich passiert oder ob Kriminelle ihre Finger im Spiel haben.

Dass es zu einer Verletzung gekommen ist, reicht aus. Auch das zweite Merkmal ist wichtig, und zwar die „Sicherheit der Verarbeitung“. Was damit gemeint ist, ergibt sich aus Art. 32 DSGVO.

Die dortige Festlegung können Sie wie folgt auf den Punkt bringen: Ihr Unternehmen muss geeignete technische und organisatorische Maßnahmen treffen und umsetzen. Diese müssen dazu führen, dass personenbezogene Daten risikoangemessen geschützt sind.

Dabei gilt als Faustformel: Je schützenswerter personenbezogene Daten und je größer die Risiken etwa bei Diebstahl, Missbrauch oder Veröffentlichung sind, desto mehr Aufwand muss getrieben werden, um das Risiko auf ein vertretbares Maß zu reduzieren.

Praxisbeispiele schaffen Verständnis
Eventuell meinen manche: Datenpannen sind etwas, das in Ihrem Unternehmen eigentlich nicht vorkommen kann. Zeigen Sie auf, dass das Gegenteil der Fall sein dürfte. Überlegen Sie, was schiefgehen und beispielsweise zu einer unbefugten Offenlegung von personenbezogenen Daten führen könnte. Typische Beispiele sind:

  • Fehlkonfiguration des Onlineshops. Kundendaten sind so durch Unbefugte einsehbar.
  • Falsche Adressierung einer Werbe-E-Mail (Nutzung An-/Cc-Feld anstatt Bcc-Feld) oder falsche Nutzung eines E-Mail-Verteilers, sodass alle Empfänger erfahren, wer Empfänger ist. Je nach Inhalt, kann die Kenntnis der Empfänger erhebliche Nachteile für die Betroffenen mit sich bringen.
  • Vertauschte Adressen oder Inhalte bei Gehaltsabrechnungen, Schreiben der Personalabteilung oder Rechnungen an Kunden. Informationen gelangen so an die falschen Empfänger.

Spielen auch andere Pannen im Unternehmen eine
Rolle?

Auch wenn bei einer Panne personenbezogene Daten nicht konkret betroffen sind, sollte niemand im Unternehmen die Sache auf die leichte Schulter nehmen. Das hat gleich mehrere Gründe:

  • Auch geschäftliche Informationen, z. B. zu Produkten, Preisen oder Herstellungsverfahren,
    sind natürlich wertvoll. Geraten sie in falsche Hände, kann das für Ihr Unternehmen teuer werden, gerade wenn etwa die Konkurrenz dadurch besser, schneller oder kostengünstiger wird.
  • Meist sind Pannen oder Defizite im IT-Umfeld auch Ausgangspunkt für Datenschutzpannen. Werden Systeme oder Netzwerke gehackt, sind Kriminelle meist nicht wählerisch. Sie nehmen alles mit, was sie finden, und beurteilen deren Wert bzw. deren Eignung für weitere Aktivitäten
    (z. B. Lösegelderpressung) erst später.
  • Je nach Geschäftstätigkeit Ihres Unternehmens können weitere Meldepflichten bestehen. So z. B., wenn es zur kritischen Infrastruktur zählt. Haben Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit von informationstechnischen Systemen, Komponenten oder Prozessen zu einem Ausfall oder zu einer erheblichen Störung der kritischen Infrastruktur geführt, muss das dem Bundesamt für Sicherheit in der Informationstechnik (BSI) unverzüglich gemeldet werden (§ 8b Abs. 4 BSI-Gesetz).

Was ist zu tun, wenn es zu einer Datenschutzpanne
kommt?

Zunächst ist erforderlich, dass die Panne behoben bzw. die Datenlücke geschlossen wird, sprich, es darf nicht weiter zu einem Verstoß kommen. Das kann auch bedeuten, dass eine Verarbeitung vorübergehend eingestellt wird. Daneben muss Ihr Unternehmen auch Folgendes auf dem Radar haben:

  • Dokumentation: Ihr Unternehmen muss jede Datenschutzpanne dokumentieren, sprich jede Verletzung des Schutzes personenbezogener Daten. Dies umfasst alle im Zusammenhang mit der Datenschutzpanne stehenden Fakten, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen.

    Ferner ergibt sich aus Art. 33 Abs. 5 Satz 2 DSGVO, dass die Dokumentation der Aufsichtsbehörde die Überprüfung der Einhaltung der Anforderungen aus Art. 33 DSGVO ermöglichen muss. Die Behörde muss den Vorfall bewerten können. So auch die Frage, ob etwa eine Meldung an die Aufsichtsbehörde oder eine Information der Betroffenen erforderlich ist.
  • Meldung: Kommt es zu einer Datenschutzpanne, muss Ihr Unternehmen grundsätzlich unverzüglich, spätestens jedoch binnen 72 Stunden, der zuständigen Datenschutzaufsichtsbehörde den Vorfall melden (Art. 33 Abs. 1 DSGVO).

    Nur wenn die Datenschutzpanne voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt, kann die Meldung dem Wortlaut nach unterbleiben. Aber: Manche Aufsichtsbehörden bestehen nicht auf einer Meldung, wenn das Risiko niedrig ist. Checken Sie daher unbedingt die Webseite der zuständigen Aufsichtsbehörde bezüglich deren Handhabung.
  • Information: Ergibt sich aus der Risikobewertung der Datenschutzpanne, dass diese zu einem voraussichtlich hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt, muss Ihr Unternehmen zusätzlich die betroffenen Personen unverzüglich über die Datenschutzpanne informieren (Art. 34 Abs. 1 DSGVO).

Schadensbegrenzung ist oberste Pflicht
Einfach die Hände in den Schoß legen und hoffen, dass sich alles irgendwie in Wohlgefallen auflösen werde, ist nicht drin. Machen Sie stets klar, dass Ihr Unternehmen auch bezüglich Folgendem aktiv werden muss:

  • So muss es alles unternehmen, um das Schadensereignis, etwa einen Hackerangriff bzw. einen unbefugten Datenzugriff, zu stoppen.
  • Es muss den Schaden, so gut es geht, begrenzen, sprich Maßnahmen
    ergreifen, damit sich der Schaden für Ihr Unternehmen bzw. die Betroffenen
    nicht weiter ausbreitet.
  • Auch geheim gehaltene Datenschutzpannen finden oft irgendwie
    ihren Weg in die Öffentlichkeit. Wird darüber berichtet und geht Ihr
    Unternehmen zu locker damit um, riskiert es einen folgenschweren
    Imageschaden. Und der ist meist verbunden mit erheblichen Umsatzrückgängen.

Gibt es zeitliche Vorgaben für eine Meldung?

Ja, die gibt es! Schauen Sie in Art. 33 Abs. 1 Satz 1 DSGVO, finden Sie dort die grundsätzliche Frist, dass ein relevanter Vorgang „unverzüglich, also ohne schuldhaftes Zögern, und möglichst binnen 72 Stunden“ bei der zuständigen Datenschutzaufsichtsbehörde zu melden ist.

Lässt sich die 72-Stunden-Frist nicht einhalten, ist das noch nicht automatisch ein Problem und muss nicht zu einem Bußgeld führen. Kann die Frist nicht gehalten werden, muss Ihr Unternehmen eine Begründung für die Verspätung beifügen (Art. 33 Abs. 1 Satz 2 DSGVO).

Allerdings darf man den Bogen auch nicht überspannen. Wird beispielsweise erst eine Woche nach dem Bekanntwerden die Datenschutzpanne an die Datenschutzaufsichtsbehörde gemeldet, kann dies als verspätete Meldung auch zu einem Bußgeld führen. Übrigens: Was konkret zu melden bzw. worüber zu informieren ist, ergibt sich aus Art. 33 Abs. 3 und 34 Abs. 2 DSGVO.

Welche Rolle spielen Sie als Datenschutzbeauftragter?

Sie als Datenschutzbeauftragter nehmen bei Datenpannen bzw. ggf. erforderlichen Meldungen die Ihnen zugewiesenen gesetzlichen Aufgaben wahr. Und die ergeben sich in erster Linie aus Art. 39 Abs. 1 DSGVO. Kurz und knapp gilt:

Sie beraten und kontrollieren die Einhaltung der Anforderungen. Das machen Sie in fachlicher Hinsicht unabhängig und weisungsfrei. Was bei einer Panne unternommen wird bzw. ob eine Meldung an die Aufsicht erfolgt oder Betroffene informiert werden, obliegt der Entscheidung des Verantwortlichen. Diese Entscheidungen sind Teil der Umsetzungsverantwortung.

Wie hat Ihnen dieser Artikel gefallen?

0
0
Andreas Würtz
154
0
160
Andreas Würtz ist Rechtsanwalt und widmet sich in erster Linie Fragen aus dem Datenschutz- und Arbeitsrecht. Er ist zertifizierter Datenschutzbeauftragter, Privacy Professional (CIPP/E, CIPM, FIP), ISO-27001-Lead-Auditor und Krisenkommunikationsmanager. Seit 2005 […]

Inhaltsverzeichnis

Inhaltsverzeichnis

Was versteht man unter einer Datenschutzpanne? Spielen auch andere Pannen im Unternehmen eineRolle? Was ist zu tun, wenn es zu einer Datenschutzpannekommt? Gibt es zeitliche Vorgaben für eine Meldung? Welche Rolle spielen Sie als Datenschutzbeauftragter?

Mehr interessante Beiträge