gehackt – muss ich meine Kunden über einen Datenschutzvorfall informieren?

1.png

Zu einem Datenschutzvorfall kann es auch unter den besten Bedingungen kommen. Kommt es zu einem Verlust bzw. zu einer sogenannten "Verletzung des Schutzes personenbezogener Daten" kommen, muss nach Art. 33 DSGVO innerhalb von 72 Stunden eine Meldung bei der Aufsichtsbehörde erfolgen. Besteht zudem ein hohes Risiko für die betroffene/n Person/en, so ist die Verletzung nach Art. 34 DSGVO auch der betroffenen Person selbst zu melden.

Ziel der Meldepflichten ist es nicht, ein Unternehmen für ein etwaiges Fehlverhalten zu bestrafen, sondern vielmehr die - sich aus der Verletzung ergebenden - Gefahren für die Betroffenen zu minimieren.

Was muss ich an die Behörde melden?

Inhaltlich muss die Meldung an die Aufsichtsbehörde mindestens eine Beschreibung über die Art der Verletzung von personenbezogenen Daten, die Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der voraussichtlichen Folgen sowie eine Beschreibung über bereits ergriffene und vorgeschlagene Maßnahmen enthalten. Die Meldung muss von den Verantwortlichen selbst erfolgen. Sollte es demnach bei einem Auftragsverarbeiter zu einer Verletzung gekommen sein, so muss die Meldung durch den Verantwortlichen (Auftraggeber) und nicht den Auftragsverarbeiter erfolgen.

Die Meldung an die Aufsichtsbehörde erfolgt unabhängig von der Meldung an die Betroffenen selbst. Die eigenen Kunden über einen solchen Datenschutzvorfall informieren zu müssen, kann auch auf künftige Geschäftsbeziehungen Auswirkungen haben, deshalb sollte eine solche Meldung auch Transparent über die ergriffenen Schutzmaßnahmen aufklären, um nicht auch noch das letzte Vertrauen der Kunden zu verwirken.

Muss ich meinen Kunden benachrichtigen?

Aus diesem Grund muss hinsichtlich der Benachrichtigungspflicht (der betroffenen Personen) eine Abwägung getroffen werden, inwieweit die persönlichen Rechte und Freiheiten der Betroffenen durch die Datenverletzung gefährdet sind. Laut Art. 34 DSGVO ist dies regelmäßig der Fall, wenn ein hohes Risiko besteht. Ein solch hohes Risiko besteht, wenn eine Prognose ergibt, dass ein geringer Schaden entweder mit hoher Wahrscheinlichkeit eintreten wird oder der Schaden (bei einer geringen Eintrittswahrscheinlichkeit) hoch ausfallen könnte.

Bei dieser Prognose ist auch einzubeziehen, ob die Benachrichtigung die Risiken für die betroffenen Personen abmildern könnte. In einem solchen Fall wäre eine Meldung an die Betroffenen ebenfalls in jedem Fall als verpflichtend anzusehen.

Im Übrigen können betroffene Personen im Sinne dieser Regelung nur natürliche Personen sein, denn anderenfalls wären keine personenbezogenen Daten betroffen.

Gibt es Ausnahmen von der
Benachrichtigungspflicht?

Von dieser Benachrichtigungspflicht gibt es nach Art. 34 Abs. 3 DSGVO einige Ausnahmen. Alle Ausnahmen stellen aber darauf ab, dass entweder bereits zuvor oder unmittelbar nach dem Vorfall Maßnahmen ergriffen wurden, welche das Risiko für die betroffenen Personen auf ein vertretbares (siehe oben) Risiko absenken. So ist bei einem Datenschutzvorfall, bei dem - nach dem Stand der Technik - verschlüsselte Daten abhandengekommen sind, in der Regel keine Benachrichtigung erforderlich.

Ist die Benachrichtigung nur mit einem enorm hohen Aufwand möglich (z. B. aufgrund der hohen Anzahl der Betroffenen) so ist ersatzweise auch eine öffentliche Bekanntmachung des Vorfalls möglich.

Zusammenfassend lässt sich festhalten, dass bei einem Datenschutzvorfall nur in Fällen mit einem sehr geringen Risiko für die Betroffenen von einer Benachrichtigung abgesehen werden kann.

Testen Sie Glasskube kostenlos

Erlangen Sie Ihre digitale Souveränität zurück und automatisieren Sie Informationssicherheit und Datenschutz.