Risikobewertung bei Datenpanne

Auch: Risikoeinstufung Datenschutzverletzung · Risikoanalyse Datenpanne

Kommt es zu einer Datenpanne (z. B. Hackerangriff, Fehlversand von Kundendaten, Verlust eines Geräts), muss der Verantwortliche einschätzen, wie hoch das Risiko für die Rechte und Freiheiten der Betroffenen ist. Von dieser Risikobewertung hängt ab, ob die Aufsichtsbehörde und/oder die betroffenen Personen informiert werden müssen.

Ausführliche Erklärung

Die DSGVO unterscheidet zwei Meldeschwellen:

  • Meldung an die Aufsichtsbehörde (Art. 33 DSGVO): erforderlich, sobald ein Risiko für die Betroffenen nicht ausgeschlossen werden kann – die Schwelle liegt also niedrig. Frist: unverzüglich, möglichst binnen 72 Stunden nach Kenntnis.
  • Benachrichtigung der Betroffenen selbst (Art. 34 DSGVO): erforderlich erst bei einem voraussichtlich hohen Risiko. Diese Schwelle liegt deutlich höher.

Für die Einstufung sind insbesondere folgende Faktoren zu prüfen:

1. Art und Sensibilität der betroffenen Daten: Kontaktdaten wiegen leichter als Bonitäts-, Gesundheits- oder Ausweisdaten.

2. Umfang: Wie viele Personen sind betroffen, wie viele Datensätze pro Person?

3. Umkehrbarkeit: Kann der Schaden (z. B. durch schnelles Zurückrufen einer E-Mail) noch begrenzt werden?

4. Wahrscheinlichkeit des Missbrauchs: Wurden Daten verschlüsselt an einen falschen Empfänger gesendet (geringeres Risiko) oder unverschlüsselt öffentlich zugänglich gemacht (höheres Risiko)?

5. Mögliche Folgen für Betroffene: Identitätsdiebstahl, finanzieller Schaden, Diskriminierung, Rufschädigung.

Für Maklerbüros ist die Risikobewertung besonders bei Vorfällen mit Bonitätsunterlagen, Ausweiskopien oder Gehaltsnachweisen von Interessenten kritisch, da diese für Identitätsdiebstahl missbraucht werden könnten – hier ist regelmäßig von einem hohen Risiko auszugehen. Bei einer versehentlich an den falschen Interessenten gesendeten Objektadresse ohne weitere sensible Daten kann das Risiko dagegen gering sein.

Wichtig für die Praxis: Auch wenn am Ende kein Meldeerfordernis besteht, muss die Risikobewertung selbst dokumentiert werden (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO) – die Entscheidung „keine Meldung nötig“ muss im Falle einer späteren Prüfung nachvollziehbar begründet werden können.

Beispiel aus der Praxis

Ein Mitarbeiter verschickt versehentlich eine E-Mail mit den Gehaltsnachweisen und Ausweiskopien von zehn Mietinteressenten an einen falschen Empfänger. Die Risikobewertung ergibt aufgrund der Sensibilität der Daten (Ausweis, Einkommen) ein hohes Risiko für Identitätsdiebstahl – das Büro meldet den Vorfall binnen 72 Stunden an die Aufsichtsbehörde und informiert zusätzlich die betroffenen Interessenten direkt.

Rechtsgrundlage

  • Art. 33 DSGVO – Meldepflicht an die Aufsichtsbehörde, sofern ein Risiko nicht ausgeschlossen werden kann.
  • Art. 34 DSGVO – Benachrichtigungspflicht gegenüber Betroffenen bei voraussichtlich hohem Risiko.

Verwandte Begriffe