Artikel 33 der Datenschutz-Grundverordnung (DSGVO) legt fest, dass Vorfälle, die zu einer Verletzung des Schutzes personenbezogener Daten führen, spätestens 72 Stunden nach ihrem Bekanntwerden der zuständigen Aufsichtsbehörde durch die Verantwortlichen gemeldet werden müssen. Eine Ausnahme davon ist nur möglich, wenn die Datenpanne nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Ob eine Datenschutzverletzung meldepflichtig ist oder ob sie zu den Ausnahmen zählt - diese Einschätzung müssen die Verantwortlichen selbst vornehmen. Außerdem müssen sie entscheiden, ob sie die von der Panne Betroffenen informieren müssen oder nicht (Art. 34 DSGVO).

Um mögliche Haftungs- und Schadenersatzrisiken zu vermeiden, könnten Verantwortliche eher dazu neigen, Datenpannen - auch Data Breaches genannt - eher einmal zu viel als einmal zu wenig zu melden.

Konkrete Situationen und Fallbeispiele als Entscheidungshilfe

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat daher eine Entscheidungshilfe veröffentlicht: den Leitfaden "Data-Breach-Meldungen nach Art. 33 DSGVO" (Stand: 15. November 2018). 

Im Leitfaden wird erklärt, was genau unter einer meldepflichtigen Datenschutzverletzung zu verstehen ist: Nämlich ein Vorfall, bei dem "Daten unrechtmäßig Dritten offenbart werden oder infolge eines Sicherheitsbruchs gelöscht oder zeitweise unzugänglich gemacht werden."

Konkrete Vorfälle sind zum Beispiel 

  • Hacking, 
  • Datendiebstahl, 
  • SQL-Lücken, 
  • verlorene USB-Speichersticks oder Rechner, 
  • unrechtmäßige Datenübermittlung oder 
  • Einbrüche in Serverräume, bei denen Hardware zerstört oder gestohlen wird oder bei denen Datenträger ausgelesen werden.

Anhand von Situationen und Fallbeispielen können Verantwortliche leichter entscheiden, ob sie Behörden und Betroffene informieren müssen. Solche Situationen sind beispielsweise:

  • Ein USB-Stick mit wirksam verschlüsselten Daten wird entwendet. Dies löst dies wahrscheinlich keine Meldepflicht aus.
  • Wenn Hacker Nutzernamen, Passwörter oder weitere Kundendaten stehlen, muss das den Behörden gemeldet werden. Die Betroffenen sind ebenfalls darüber zu informieren.
  • Auch das Versenden von Werbemails mit einem offen einsehbaren Mailverteiler kann zur Meldepflicht führen: zum Beispiel wenn es ein großer Verteiler ist und sensible Inhalte übermittelt wurden.

In den meisten Fällen handelt es sich um Einzelfallentscheidungen. Die im Leitfaden genannten Beispiele können nur Anhaltspunkte für eine Beurteilung liefern.

Wann beginnt die Meldefrist von 72 Stunden?

Wenn der Verantwortliche mit einem "angemessenen Grad an Sicherheit davon auszugehen hat, dass ein Data Breach vorliegt", beginnt die Meldefrist. Gleichzeitig darf die Datenpanne nicht erst gemeldet werden, wenn alle zu meldenden Informationen vorliegen, wie die Datenkategorie oder die Anzahl der Betroffenen. Gegebenenfalls muss die Meldung schrittweise erfolgen, und die fehlenden Informationen werden nach und nach geliefert.

Den Leitfaden nachlesen

Den Leitfaden und weitere Informationen zur Meldung von Datenpannen finden Sie auf der Seite des Hamburger Datenschutzbeauftragten.