DSGVO-Verstoß: Welche Datenpannen sind meldepflichtig?

Ob Hackerangriffe, Attacken mit Ransomware oder ein verlorener USB-Stick, auf dem sich personenbezogene Daten befinden – all das sind Datenpannen, die auch Handwerksbetrieben passieren können. Eine schöne Angelegenheit ist keines dieser Lecks. Doch auch rechtlich können solche Pannen Folgen haben.

Denn laut Artikel 33 der Datenschutz-Grundverordnung (DSGVO) müssen Betriebe alle Datenpannen an die zuständige Landesdatenschutzbehörde melden, wenn dabei der Schutz personenbezogener Daten verletzt wird. Doch wann ist das der Fall? Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat jetzt einen Vermerk herausgegeben, in dem Beispiele für meldepflichtige Datenpannen aufgelistet sind. Dazu können beispielsweise folgende Fälle gehören:

• Datenzugriffe durch eine Cyber-Attacke.
• Ransomware-Attacken, durch die Kundendaten verschlüsselt werden (Erpressungstrojaner).
• Ein Kontoauszug wird versehentlich an falschen Kunden verschickt.
• Hackerangriffe, bei denen Cyberkriminelle Nutzernamen, Passwörter und die Kaufhistorie von Kunden eines Online-Shops erbeuten.
• Den Versand von Werbe-E-Mails an einen offenen Mailverteiler, bei dem die E-Mail-Adressen sichtbar sind und der zudem an viele Empfänger geht.

Zusätzlich zur Aufsichtsbehörde müssen in solchen Fällen in der Regel auch die Betroffenen über die Datenpanne informiert werden – also diejenigen, deren personenbezogene Daten unrechtmäßig für Dritte zugänglich gemacht wurden. Laut Artikel 34 DSGVO ist das immer dann erforderlich, wenn das Datenleck „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge“ hat.

Die vollständige Liste mit Fallbeispielen finden Sie unter datenschutz-hamburg.de.

Beitrag vom 5. Dezember 2019, aktualisiert am 3. Januar 2019.

Auch interessant: [embed]https://www.handwerk.com/eine-chat-plattform-meldet-eine-datenpanne-an-die-datenschutzbehoerde-die-entdeckt-bei-der-pruefung[/embed]