Geöffnete Vorhängeschlösser vor alphanumerischen Zeichen
Datenschutz

Datenpanne

Eine Datenpanne bzw. ein Datenschutzvorfall liegt vor, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Diese Verletzung besteht in jeder Verletzung der Sicherheit, die – gleich ob unbeabsichtigt oder unrechtmäßig – zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt, welche übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Dies ist beispielsweise der Fall, wenn Hacker im Rahmen eines Cyberangriffs personenbezogene Daten abgreifen, wenn falsche E-Mail-Adressen für den Versand von personenbezogenen Daten verwendet werden oder wenn Datenträger wie USB-Sticks, Festplatten oder Notebooks mit personenbezogenen Daten verloren gehen oder gestohlen werden. Konkret kann es sich dabei um folgende Vorfälle handeln:

  • Datenverlust durch ein verlorenes oder ein gestohlenes Medium

  • Unberechtigte Weitergabe oder unberechtigter Zugriff Dritter

  • Sendungen an falsche Adressat:innen

  • Fehlentsorgung

  • Fehlerhafte Löschung

  • Cyberangriff

  • Ausspähen von Daten (Skimming)

  • Malware und Ransomware

  • Phishing

  • Softwarefehler

Kommt es zu einer solchen Datenpanne, die je nach Kontext auch als Datenleck oder Datenleak bezeichnet wird, sind Verantwortliche nach Art. 33 Datenschutz-Grundverordnung (DSGVO) und § 51 Berliner Datenschutzgesetz (BlnDSG) grundsätzlich verpflichtet, die Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden der Berliner Beauftragten für Datenschutz und Informationsfreiheit zu melden und unter Umständen auch die betroffenen Personen über den Vorfall zu informieren.

Eine Meldung an die Berliner Beauftragte für Datenschutz und Informationsfreiheit kann nur ausnahmsweise unterbleiben, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Ist der Vorfall voraussichtlich sogar mit einem hohen Risiko für die betroffenen Personen verbunden, haben die Verantwortlichen nach § 52 Abs. 1 BlnDSG zusätzlich die betroffenen Personen zu benachrichtigen.

Mit unserem unter Datenpanne melden bereitgestellten Formular bieten wir Verantwortlichen die einfache Möglichkeit, die Meldung von Verletzungen des Schutzes personenbezogener Daten nach Art. 33 DSGVO bzw. § 51 BlnDSG durchzuführen. Die Meldung muss mindestens die folgenden inhaltlichen Angaben nach Art. 33 Abs. 3 DSGVO bzw. § 51 Abs. 3 BlnDSG enthalten:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Anzahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Anzahl der betroffenen Datensätze;

  • den Namen und die Kontaktdaten der bzw. des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

  • eine Beschreibung der von den Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.