Wie benachrichtige ich betroffene Personen über eine Datenpanne?

Eine Datenpanne ist nach Art. 33 DSGVO eine Sicherheitsverletzung, die zur Vernichtung, zum Verlust, zur Änderung oder zur unbefugten Offenlegung personenbezogener Daten führt. Eine Datenpanne kann ganz plötzlich eintreten, ein versehentlich versendetes Dokument, ein IT-Ausfall oder ein Cyberangriff. Art. 34 der EU-Datenschutz-Grundverordnung (DSGVO) regelt für diesen Fall, wann betroffene Personen informiert werden müssen. In diesem Leitfaden erfahren Sie, wie Sie die Situation schnell einschätzen, das Risiko bewerten und die Benachrichtigung durchführen.

Voraussetzungen der Benachrichtigungspflicht

Die Pflicht zur Benachrichtigung trifft den Verantwortlichen und gilt ausschließlich für natürliche Personen, deren Rechte und Freiheiten durch die Datenpanne voraussichtlich einem hohen Risiko ausgesetzt sein könnten.

Die Pflicht zur Benachrichtigung tritt zusammen mit der Meldepflicht an die Aufsichtsbehörde (Art. 33 DSGVO) auf. Entscheidend für die Pflicht zur Benachrichtigung der betroffenen Personen einer Datenpanne sind demnach zwei Faktoren:

• Liegt eine Datenpanne gemäß Art. 33 DSGVO vor?
• Besteht für die Betroffenen ein hohes Risiko für ihre Rechte und Freiheiten?

Die Risikobewertung

Das hohe Risiko für die Rechte und Freiheiten betroffener Personen wird über eine Risikobeurteilung festgestellt. Die wesentlichen Merkmale der Beurteilung umfassen folgende Aspekte:

• Art und Umfang der Daten (z.B. „nur“ Kontaktdaten oder auch Gesundheitsdaten betroffen?), Anzahl der betroffenen Personen, Art der Verarbeitung (befinden sich alle Server in der EU oder in einem Drittland?)
• Ein hohes Risiko besteht, wenn die Datenschutzverletzung voraussichtlich erhebliche Auswirkungen auf die Rechte und Freiheiten der Betroffenen hat – hierzu zählen etwa Diskriminierung, Identitätsdiebstahl, finanzieller Schaden oder Rufschädigung
• Die Risikobeurteilung muss schriftlich dokumentiert werden, um gegenüber der Aufsichtsbehörde nachweisen zu können, dass die Bewertung sachgerecht und nachvollziehbar erfolgt ist.
• Schutzmaßnahmen wie Verschlüsselung oder Zugriffsbeschränkungen nach Art. 32 DSGVO werden bei der Risikobewertung berücksichtigt. Ausreichend hohe Schutzmaßnahmen können die Pflicht zur Benachrichtigung betroffener Personen auffangen. Siehe auch diese Orientierungshilfe zu den Meldepflichten mit einer Grafik auf Seite 21

Nur wenn das Risiko für die betroffenen Personen hoch ist, greift die Pflicht zur direkten Benachrichtigung. Es handelt sich hierbei um eine Bewertung im Einzelfall.

Alle Entscheidungen, Risikobeurteilungen und Maßnahmen müssen sorgfältig dokumentiert werden. Verantwortliche müssen nachweisen können, dass die gewählten Maßnahmen sachgerecht und risikominimierend waren. Diese Dokumentation ist zentral für die Rechenschaftspflicht gegenüber der Aufsichtsbehörde.

Welche Inhalte muss die Benachrichtigung enthalten?

Die Mitteilung an betroffene Personen muss verständlich und nachvollziehbar sein. Sie sollte mindestens folgende Punkte enthalten:

• Beschreibung der Datenpanne
• Wahrscheinliche oder mögliche Folgen für die betroffenen Personen
• Ergriffene oder geplante Maßnahmen zur Behebung oder Minderung der Auswirkungen
• Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle

Die Benachrichtigung kann schriftlich, elektronisch oder, bei unverhältnismäßigem Aufwand, über eine öffentliche Bekanntmachung erfolgen. Entscheidend ist, dass sie unverzüglich nach Kenntnisnahme der Panne erfolgt.

Ausnahmen von der Benachrichtigungspflicht

Nicht jede Datenpanne verpflichtet zur direkten Information der Betroffenen. Art. 34 DSGVO kennzeichnet differenzierte Ausnahmen:

• Vorsorgliche Risikoabschirmung: Wenn technische Maßnahmen wie Verschlüsselung das Risiko für Betroffene erheblich reduzieren.
• Nachträgliche Risikominderung: Wenn nachträgliche Maßnahmen die Gefahr effektiv auf ein geringes Niveau senken.
• Unverhältnismäßiger Aufwand: Wenn die individuelle Benachrichtigung mit einem derart hohen Aufwand verbunden wäre, dass dieser im Verhältnis zum Risiko für die Betroffenen außer Acht gelassen werden kann; alternativ kann eine öffentliche Bekanntmachung erfolgen.
• Schutz von rechtlich geschützten Interessen: Manche Informationen müssen gesetzlich geheim bleiben; hier kann die Benachrichtigung entfallen, es sei denn, das Interesse der Betroffenen überwiegt.

Zweck der Benachrichtigung

Die Benachrichtigung betroffener Personen ist nicht nur Pflicht, sondern auch eine Chance: Wer Art. 34 DSGVO sorgfältig umsetzt, schützt die Rechte der betroffenen Personen, erhöht Transparenz und stärkt das Vertrauen in das eigene Unternehmen. Wenn Sie als Verantwortliche die Prozesse klar regeln, Risiken sorgfältig beurteilen und Dokumentation ernst nehmen, minimieren Sie die Folgen einer Datenpanne.