Data Breach Verfahren
Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Datenschutzbehörde (Data Breach-Meldungen).
Gemäß Art. 33 DSGVO sind Verantwortliche verpflichtet, eine Verletzung des Schutzes personenbezogener Daten (auch "Data Breach" genannt) unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der Aufsichtsbehörde zu melden. Eine Meldung kann unterbleiben, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so hat die:der Verantwortliche gemäß Art. 34 DSGVO neben der Meldung an die Aufsichtsbehörde unverzüglich die betroffenen Personen von der Verletzung zu benachrichtigen.
Wird eine solche Data Breach-Meldung bei der Datenschutzbehörde eingebracht, so wird im Verfahren von der Datenschutzbehörde geprüft, ob die:der Verantwortliche geeignete Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen gesetzt hat.
Hat die:der Verantwortliche betroffene Personen trotz Vorliegens der Voraussetzungen nicht über den Vorfall benachrichtigt, so wird mittels Bescheid ein entsprechender Leistungsauftrag erteilt.
Rechtsgrundlagen:
Art. 33 DSGVO »
Art. 34 DSGVO »
Kommunikationswege zur Meldung eines Data Breaches:
Online-Formular Data Breach »
PDF-Formular Data Breach »
Brief, E-Mail »
Pflicht der Datenschutzbehörde zur Rückmeldung: ja
Fragen und Antworten zur Meldung von Verletzungen des Schutzes personenbezogener Daten
Was ist eine Verletzung des Schutzes personenbezogener Daten?
Eine „Verletzung des Schutzes personenbezogener Daten“ ist jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Dabei spielt keine Rolle, ob dies unbeabsichtigt bzw. vorwerfbar/schuldhaft passiert.
Wann besteht eine Meldepflicht an die Datenschutzbehörde und welche Fristen sind einzuhalten?
Eine Meldung an die Aufsichtsbehörde hat immer dann zu erfolgen, wenn eine Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die Meldung hat unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, zu erfolgen.
Welchen gesetzlichen Mindestinhalt muss eine Meldung enthalten?
Eine Meldung muss nach Art. 33 Abs. 3 DSGVO mindestens folgende Informationen enthalten:
- Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
- Den Namen und die Kontaktdaten der:des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
- Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
- Eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
Wann müssen Betroffene informiert werden?
Der Verantwortliche hat die betroffenen Personen unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Die Beurteilung der Schwere des Risikos muss bei einem Datenschutzvorfall jeweils konkret geprüft werden und obliegt dem Verantwortlichen selbst.
Hat die:der Verantwortliche betroffene Personen trotz Vorliegens der Voraussetzungen nicht über den Vorfall benachrichtigt, so wird mittels Bescheid ein entsprechender Leistungsauftrag erteilt.
Wie läuft das Data Breach Verfahren ab und was passiert nach einer Meldung?
Nach einer Meldung wird seitens der Datenschutzbehörde überprüft, ob diese den gesetzlichen Mindestanforderungen entspricht und die:der Verantwortliche geeignete Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen gesetzt hat.
Sollte dies nicht der Fall sein, wird die:der Verantwortliche seitens der Datenschutzbehörde zu einer ergänzenden Meldung aufgefordert, ansonsten wird das Verfahren formlos eingestellt.
Wie und wo kann man eine Data Breach Meldung einbringen?
Eine Meldung kann auf folgende Weise erfolgen:
Online-Formular Data Breach »
PDF-Formular Data Breach »
Brief, E-Mail »
Was ist, wenn innerhalb der ersten 72 Stunden noch nicht alle Informationen über den Vorfall vorliegen?
Bei größeren Vorfällen, wie z.B. Ransomware-Attacken, kann es dazu kommen, dass innerhalb der ersten 72 Stunden, noch nicht alle Informationen vorliegen. In so einem Fall ist es möglich, dass der Verantwortliche schrittweise in mehreren Meldungen an die Datenschutzbehörde die Informationen bereitstellt. Es darf jedoch zu keiner unangemessenen weiteren Verzögerung durch die:den Verantwortliche:n kommen.
Was passiert bei einem Verstoß gegen die Melde- und Benachrichtigungspflichten?
Verstößt ein:e Verantwortliche:r gegen die ihr:ihm obliegenden Melde-und Benachrichtigungspflichten gemäß Art. 33 und Art. 34 DSGVO, kann dies letztlich auch die Verhängung von Geldbußen zur Folge haben. Ob und in welcher Höhe eine solche verhängt wird, richtet sich nach den Umständen im Einzelfall. Die Höhe der Geldbuße kann bis zu 10 000 000 EUR oder im Fall eines Unternehmens bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen, je nachdem, welcher der Beträge höher ist.
Wo erhalte ich weiterführende Informationen zu diesem Thema?
Der Europäische Datenschutzausschuss hat Leitlinien zur Meldepflicht betreffend Verletzungen des Schutzes personenbezogener Daten erlassen, an denen sich Verantwortliche orientieren können.
- Leitlinien 9/2022 für die Meldung von Verletzungen des Schutzes personenbezogener Daten
Leitlinien 9/2022 » - Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten
Leitlinien 01/2021 »