Meldepflichten im Datenschutz – Was tun, wenn’s brennt?

Wir unterstützen Sie bei der Aufarbeitung und Meldung von Datenlecks und IT-Sicherheitsvorfällen nach der DSGVO!

Antivirus

„Antivirus“ by [https://www.flickr.com/photos/136770128@N07/41397204425/ Richard Patterson] is licensed under CC BY 2.0

Warum Meldungen von Sicherheitsvorfällen?

Data Breaches sind in den allermeisten Fällen innerhalb von einem sehr kurzen Zeitrahmen an die zuständigen Aufsichtsbehörden der Bundesländer zu melden. Hierzu zählen etwa der Verlust der Kontrolle über personenbezogene Daten etwa durch gezielte Einbrüche, ein Datenleck oder auch den Verlust von sensiblen Informationen, aber auch ein verlorener USB-Stick. In Fällen mit einem besonderen Risiko sind zusätzlich auch noch die Betroffenen zu informieren, also die Kunden.

Hierfür bleiben den betroffenen Unternehmen lediglich eine kurze Frist von nur 72 Stunden. Die Kanzlei Heidrich Rechtsanwälte hat viel Erfahrung im Umgang mit diesen Fällen. Wir unterstützen Sie bei der Einschätzung, ob es erforderlich ist, einen Vorfall an die Behörden und sogar die Kunden erforderlich ist. Sofern dies der Fall ist, sind wir Ihnen auch bei der Erstellung eines Schreibens und bei der Abwicklung der Vorfälle behilflich.

Nehmen Sie gerne mit uns Kontakt auf, wir besprechen mit Ihnen den Vorfall und erstellen ggf. ein unverbindliches Angebot.

Welche Vorfälle sind meldepflichtig?

Meldepflichtig sind „Verletzungen des Schutzes personenbezogener Daten“ bereits dann, wenn diese zu „einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führen. Damit beschränken sich die Anforderungen also nicht auf besonders schwere Datenlecks sondern umfassen ohne größere Einschränkung nahezu jeden Verlust persönlicher Informationen.

Hierzu zählen zum Beispiel:

  • Gestohlener USB-Stick, Smartphone oder Laptop (ohne wirksame Verschlüsselung)
  • Datenzugriff durch Cyber-Attacke mit Zugriff auf Kundendaten
  • Ransomware-Attacke, die Kundendaten verschlüsselt (Erpressungstrojaner)
  • Kontoauszug an falschen Kunden verschickt
  • Kunden können aufgrund eines Programmierfehlers im Kundenportal fremde Kundendaten einsehen
  • Werbe-E-Mail mit offenem Mailverteiler (cc statt bcc)

Was muss so eine Meldung beinhalten?

Welche Inhalte die zu übermittelnde Meldung aufweisen muss, regelt Art. 33 Abs. 3 der DSGVO. Danach sind unter anderem folgende Informationen Pflicht:

  • die Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • die Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

 

Weiterhin müssen die „Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen“ von dem Verantwortlichen dokumentiert werden.

 

Faktisch ist also innerhalb von kurzer Zeit ein umfangreiches Protokoll der Geschehnisse sowie der ergriffenen Maßnahmen anzufertigen. Ziel ist es, der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen von Art. 33 zu ermöglich.

 

Wann müssen die Kunden des Unternehmens informiert werden?

Doch die Verpflichtungen des Unternehmens können sogar noch weiter gehen. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein „hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ zur Folge, sind die betroffene Person unverzüglich von der Verletzung zu benachrichtigen.

Dies bedeutet nicht weniger, als dass jeder einzelne der betroffenen Kunden anzuschreiben ist und diese dann über den Vorfall informiert werden müssen. Hierbei gilt es vor allem, eine angemessene Sprache zu finden, denn so ein Vorgang hat leicht das Potential zu einem PR-GAU für das Unternehmen. In einigen Fällen empfiehlt es sich, hierfür einen PR-Profi hinzuzuziehen. Auch hier haben wir gute Verbindungen und können gerne behilflich sein.

 

Wie kann Ihnen die Kanzlei Heidrich Rechtsanwälte dabei helfen?

Als im Datenschutzrecht erfahrene Anwälte kennen wir die Strukturen gerade in KMUs und stehen Ihnen beratend im Vorfeld, aber auch im Notfall gerne unterstützend deutschlandweit und kurzfristig zur Verfügung. Wir haben schon viele Unternehmen erfolgreich bei der Bewältigung einer solchen Krise unterstützt. Weitere Informationen über uns finden Sie auf der Website recht-im-internet.de.

Wir können Ihnen behilflich sein bei der Bewertung von Zwischenfällen ebenso wie bei der wichtigen Frage, ob eine Meldepflicht tatsächlich besteht. Sollte es zu einem Notfall gekommen sein, beraten wir Sie bei der Formulierung der Meldungen an die Aufsichtsbehörden und auch bei der Außenwirkung ihrer Handlungen.

Hierbei besteht auch die Möglichkeit, im Rahmen unserer Kooperationen auf IT-Experten zuzugreifen, die Ihnen ebenfalls kurzfristig zur Bewertung eines Notfalls zur Verfügung stehen. Kontaktieren Sie uns gerne unverbindlich!

„Hacker“ by Infosec Images is licensed under CC BY 2.0

Jetzt Kontakt aufnehmen

Einwilligungserklärung Datenschutz

Ja, ich habe die Datenschutzerklärung zur Kenntnis genommen und bin damit einverstanden, dass die von mir angegebenen Daten elektronisch erhoben und gespeichert werden. Meine Daten werden dabei nur streng zweckgebunden zur Bearbeitung und Beantwortung meiner Anfrage benutzt.

Schnelle unbürokratische Hilfe

Auch am Abend und am Wochenende

Spezialisiert auf DSGVO-Meldungen

Erfahrene Datenschutz-Anwälte

Unser Team

heidrich

Jörg Heidrich

Rechtanwalt
Fachanwalt für IT-Recht

scheuch

Brian Scheuch

Rechtsanwalt

akinci

Nick Akinci

Rechtsanwalt