Was ist eine Datenpanne?

Die meisten werden bei dieser Frage wohl eher an einen Hackerangriff, die berühmte Ransomware-Attacke mittels Verschlüsselungstrojaner oder zumindest die versehentliche Zugänglichmachung einer Datenbank im Internet denken.

Eine Datenpanne, wie es die Datenschutzgrundverordnung (DSGVO) versteht, ist aber beispielsweise auch schon der verlorene USB-Stick mit personenbezogenen Daten, das geklaute Betriebshandy oder der im ICE vergessene Firmen-Laptop.

Und es wird sogar noch umfangreicher: Denn eine Datenpanne ist auch schon die E-Mail, die an den falschen Empfänger geht (der Autovervollständigung von E-Mail-Adressen sei Dank) oder der offene E-Mail-Verteiler.

Wird also eine Sammelmail statt in BCC in CC oder direkt als Empfänger an eine Vielzahl an Personen geschickt: Problem!

Bußgeld wegen offenem E-Mail-Verteiler

Jetzt hat die italienische Datenschutzaufsichtsbehörde gegen den Anbieter einer Gesundheitsapp ein Bußgeld nach DSGVO in Höhe von immerhin 45.000 Euro verhängt.

Der Anlass? Genau: Eine E-Mail an ca. 2.000 Kunden mit offenem Verteilerkreis (CC statt BCC).

Wer es nachlesen möchte, hier der Link zu der Mitteilug durch den Europäischen Datenschutzausschuss (EDSA) in englischer Sprache:
https://edpb.europa.eu/news/national-news/2022/italian-sa-fines-us-company-offering-diabetes-app_en

Was ist also zu tun?

Nun, am besten ist es, Datenpannen zu vermeiden. Dazu sollte man die IT-Sicherheit erhöhen, technische und organisatorische Maßnahmen treffen und – vor allem – die Mitarbeiter sensibilisieren und schulen.

Was, wenn es doch passiert? Dann muss jeder Mitarbeiter wissen, dass es eilig ist. Denn es sind genau 72 Stunden, in denen nach Kenntnis einer Datenpanne die Datenschutzbehörde informiert werden muss. Nicht in jedem Fall, aber im Regelfall ist das so.

Artikel 33 Absatz 1 DSGVO sagt dazu:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Also muss es einen schnellen und abgestimmten Kommunikationsprozess geben. Darin ist der Datenschutzbeauftragte unverzüglich zu berücksichtigen. Denn er muss prüfen, ob es eine Meldepflicht gibt oder nicht.

Wobei wir Ihnen helfen können?

Bei allem. Angefangen von den Prozessen und den Maßnahmen bis hin zur Prüfung, ob eine Meldepflicht besteht. Auch den Datenschutzbeauftragten können wir Ihnen stellen.

Rufen Sie doch unter 0721 / 120 500 an oder schreiben Sie eine E-Mail an info@schutt-waetke.de (den Empfänger nicht verwechseln bitte) und informieren Sie sich, was wir alles für Sie tun können.

Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht

Urheberangabe für das Foto für diesen Beitrag:

  • Glhbirne – Bild auf Tafel: © psdesign1 - Fotolia.com