1. Worum geht es?
Datenpannen sind alltäglich. Vom verlorenen Laptop oder ungeschickten Fehlversand bis zum Einbruchsdiebstahl oder Hacker-Angriff – zahlreiche Gründe können dazu führen, dass Kund:innen- oder Beschäftigtendaten in falsche Hände geraten oder nicht mehr nutzbar sind. Wichtig ist dann ein transparenter Umgang, um größere Schäden zu vermeiden. Betroffene müssen Bescheid wissen, um z.B. im Bankkonto auf unautorisierte Abbuchungen od¬¬er im Posteingang auf Phishing-Mails zu achten. Die Datenschutzbehörde muss in der Lage sein, Betroffenen zielgerichtet zu helfen und auch datenverarbeitende Stellen auf den richtigen Pfad zu bringen. Damit das gelingt, schreibt Art. 33, 34 DSGVO Informationspflichten für sogenannte Data Breaches vor.
2. Welche Fälle sind zu melden?
Meldepflichtig ist die risikoreiche Verletzung des Schutzes personenbezogener Daten, bei der Daten – auch unbeabsichtigt – Unberechtigten zur Kenntnis gelangt oder abhanden gekommen sind. Dabei wird nach dem Grad des Risikos für die Betroffenen unterschieden (siehe Schaubild unten).
3. Wie zeitnah ist zu melden?
Die Behördenmeldung hat unverzüglich, spätestens binnen 72 Stunden zu erfolgen. Fristbeginn ist der Moment, an dem ein*e Beschäftigte*r der verantwortlichen Stelle Kenntnis erlangt hat. Die Betroffeneninformation sind zu schnell wie möglich zu informieren.
4. Wie funktioniert die Meldung?
Für die Meldung an den HmbBfDI wird das Formular unter datenschutz-hamburg.de/meldung-databreach empfohlen. Betroffene sollten in einfacher Sprache so informiert werden, dass sie tatsächlich erreicht werden (z.B. Post/E-Mail/Kundenportal/Aushang). Der Inhalt kann sich an den Feldern des Meldeformulars orientieren.
5. Weitere Informationen
• Ausführliche Handreichung des HmbBfDI
• EDSA Guidelines 9/2022 on personal data breach notification under GDPR
• DSK, Kurzpapier Nr. 18 Risiko für die Rechte und Freiheiten natürlicher Personen,
