Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Eine Pflicht aus der neuen EU-Datenschutz-Grundverordnung
Neuer Umgang mit Datenpannen ab Mai 2018
Die ab 25.05.2018 zu beachtende neue EU-Datenschutz-Grundverordnung verlangt eine viel häufigere Kontaktaufnahme mit der zuständigen Aufsichtsbehörde.
Wie in meinem ersten Beitrag zur neuen EU-Datenschutz-Grundverordnung vom Mai 2016 versprochen, greife ich heute eine der geänderten Pflichten auf.
Viel häufiger Meldungen von Datenpannen
Ab 25.05.2018 müssen alle Datenpannen, die im Unternehmen passieren, dokumentiert werden (vgl. Art. 33 Abs. 5 EU-DSGVO). Solche Datenpannen, bei denen nicht ausgeschlossen werden kann, dass ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, müssen zudem binnen 72 Stunden aktiv an die zuständige Datenschutzaufsichtsbehörde (in Deutschland eine zuständige Behörde pro Bundesland) gemeldet werden. Dagegen müssen die Betroffenen nur informiert werden, wenn durch die Datenpanne voraussichtlich ein HOHES Risiko für die Rechte und Freiheiten der betroffenen Personen besteht (vgl. Art. 34 Abs. 1 EU-DSGVO).
Ein Beispiel für eine bereits heute meldepflichtige Datenpanne finden Sie in meinem Beitrag vom 10.04.2017. Weitere Datenpannen können sein:
- Fehlversendungen per Post oder E‑Mail
— Verlust von Aktenordnern
— Verlust von Datenträgern
sofern personenbezogene Daten enthalten oder gespeichert sind.
Heute sind Datenpannen nur dann meldepflichtig, wenn bestimmte, im § 42a BDSG aufgeführte, Arten von Daten betroffen sind UND schwerwiegende Beeinträchtigungen für die Betroffenen drohen. Vergleichbar mit dem oben genannten HOHEN Risiko für die Rechte und Freiheiten der Betroffenen. Viele Datenpannen unterliegen heute deswegen keiner Meldepflicht.
Ab dem Mai 2018 wird also die aktive Meldung an die Aufsichtsbehörde viel häufiger erfolgen müssen, da („irgendein denkbares“) Risiko für die Rechte und Freiheiten der Betroffenen wohl fast immer vorliegen dürfte.
Was sollten Sie zur Vorbereitung tun?
Sie sollten in Ihrem Unternehmen unbedingt Ihre Mitarbeiter informieren und Meldeprozesse definieren, damit Sie auch jede Datenpanne kennen. Sie müssen außerdem jede Datenpanne spätestens ab dem 25.05.2018 in Ihrem Unternehmen dokumentieren. Gemeinsam mit Ihrem Datenschutzbeauftragten müssen Sie die Datenpannen bewerten. Ist ein Risiko für die Betroffenen nicht auszuschließen, muss die Datenpanne ab 25.05.2018 aktiv an die für Ihr Unternehmen zuständige Datenschutzaufsichtsbehörde gemeldet werden.
Die Inhalte einer solchen Meldung müssen gem. Art. 33 Abs. 2 EU-DSGVO Folgendes umfassen:
- Sachverhaltsschilderung der Datenpanne mit Angabe der Kategorien und der Zahl der Betroffenen sowie der betroffenen Datensätze
— Name und Kontaktdaten Ihres Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Nachfragen
— eine Beschreibung der wahrscheinlichen Folgen der Datenpanne
— eine Beschreibung der von Ihnen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der durch die Datenpanne möglichen nachteiligen Auswirkungen
Besteht voraussichtlich ein hohes Risiko für die Betroffenen, müssen auch die Betroffenen in klarer und einfacher Sprache über die Datenpanne informiert werden.
Folgen einer Nichtbeachtung
Die Pflichten zur Dokumentation und ggf. Meldung einer Datenpanne aus dem Art. 33 EU-DSGVO nicht zu beachten, kann auch keine Lösung sein. Ein Verstoß ist in Art. 83 Abs. 4 a EU-DSGVO mit einem Bußgeld von bis zu EUR 10.000.000,- oder 2% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem welche Zahl höher ist) bedroht.
4 Kommentare zu Neuer Umgang mit Datenpannen ab Mai 2018
Schreiben Sie einen Kommentar

Abschluss der Ausbildung mit dem zweiten juristischen Staatsexamen 1997. Seitdem in unterschiedlichen Bereichen bei der DATEV eG in Nürnberg tätig. Praktische Erfahrung im IT-Umfeld hat er insbesondere in seiner zehnjährigen Tätigkeit in der Softwareentwicklung gesammelt. Hierbei war er u.a. mit der Einrichtung und Aktualisierung von Netzwerkumgebungen in Steuerberater- und Rechtsanwaltskanzleien betraut. Seit fünf Jahren ist Bernd Bosch als externer Datenschutzberater für Kanzleien tätig.

Ab welcher Betriebsgröße gilt denn die neue Meldepflicht?
Die neue Meldepflicht gilt, wie alle anderen Pflichten aus der EU-Datenschutz-Grundverordnung auch, für alle Unternehmen in der EU, die personenbezogene Daten verarbeiten, unabhängig von der Unternehmensgröße. Die einzige, an eine Unternehmensgröße gekoppelte Pflicht ist die Pflichtbestellung eines Datenschutzbeauftragten. Diese ist in Deutschland (schon heute) ab 10 Personen, die ständig personenbezogen Daten automatisiert verarbeiten, notwendig.
Heisst das also auch, dass z.B. jeder Einzelunternehmer der einen Newsletter verschickt meldepflichtig ist?
Wenn dem so ist, dann frage ich mich …
… ab wann ist eine Datenerfassung automatisiert? Bereits mit einem Anmeldeformular?
… ab welchem Punkt ist sie personenbezogen? Allein schon durch die bloße Angabe der E‑Mailadresse?
… wenn der Server nur gemietet ist, wer meldet dann die Datenpannen — der Hoster oder der Mieter?
Ja, auch ein Einzelunternehmer ist grundsätzlich meldepflichtig, sofern eine Datenpanne passiert ist (unter den im Beitrag genannten Voraussetzungen). Automatisierte Verarbeitung liegt vor, wenn — ganz allgemein ausgedrückt — Daten in Computersystemen verarbeitet werden. Personenbezogen sind Daten, wenn sich diese auf eine identifizierte oder identifizierbare natürliche Person beziehen (eine E‑Mail-Adresse ist wohl grundsätzlich immer ein personenbezogenes Datum). Die Pflicht zur Meldung der Datenpanne trifft den Verantwortlichen auch im Falle einer Datenpanne, die bei einem Dienstleister passiert ist. In diesen Fällen (nach EU-DSGVO sog. Auftragsverarbeitung) muss natürlich der Dienstleister unverzüglich den Auftraggeber (Verantwortlichen) über Datenpannen informieren.