Sicherheit + Datenschutz 17. Januar 2020 4 Min Lesezeit

Meldungen zu Datenschutzverletzungen nehmen deutlich zu

Geschrieben von
Roger Klein
gezeichnete bibliothek

Die Datenschutz-Aufsichtsbehörden registrieren seit Einführung der DSGVO im Mai 2017 einen ungewöhnlich starken Anstieg der Meldungen zu Datenschutzverletzungen. Laut einer Übersicht der EU-Kommission wurden EU-weit seither mehr als 40.000 Datenpannen gemeldet. Die weitaus meisten davon in Deutschland. Bis Ende 2018 gab es hierzulande insgesamt 12.256 Meldungen. Genaue Statistiken der einzelnen Bundesländer fehlen, doch laut einer unverbindlichen Auskunft des BayLDA gingen bei ihm etwa 2.005 Meldungen ein. Der Landesdatenschutzbeauftragte von NRW registrierte rund 1.032, Baden-Württemberg etwa 700, Hessen 640, Sachsen-Anhalt etwa 50, Saarland und Thüringen je etwa 70. Schlusslicht war Bremen mit 29 Meldungen.

Die Tendenz ist steigend. Im ersten Halbjahr 2019 wurden in Deutschland bereits in etwa so viele Meldungen abgegeben wie im gesamten Zeitraum Mai bis Dezember 2018. Die Zahlen der europäischen Nachbarstaaten wirken daneben noch überschaubar: Frankreich meldete 2018 lediglich 1.170 Datenpannen, Italien sogar nur 946. Warum die Unterschiede so gross sind, ist nicht bekannt.

Zu den am häufigsten gemeldeten Vorfällen zählen Hacker-Angriffe (auch per Malware und Trojaner), Postfehlversand, E-Mail-Fehlversand und Diebstahl von Datenträgern. Dazu kommen E-Mail-Versand mit offenem Adressverteiler, Fax-Fehlversand und der Verlust von Datenträgern.

Was den massiven Anstieg in Deutschland antreibt, ist nicht abschliessend geklärt. Denkbar ist, dass die Sensibilität datenverarbeitender Unternehmen für das Thema gewachsen ist. Oder dass die spürbar höheren Strafen bei Verstössen gegen Datenschutzvorschriften das Verhalten verändern. Bei Verstössen gegen die Meldepflicht drohen gemäss Art. 83 Abs. 4a DSGVO Geldbussen von bis zu 10.000.000 EUR oder — bei Unternehmen — bis zu 2 % des Jahresumsatzes aus dem vorangegangenen Geschäftsjahr. Möglicherweise fällt es Verantwortlichen auch schwer zu unterscheiden, wann ein meldepflichtiger Verstoss vorliegt und wann nicht. Aus dieser Unsicherheit heraus dürften manche Unternehmen sicherheitshalber auch nicht meldepflichtige Datenpannen melden.

Meldepflichten nach Art. 33 DSGVO (§ 65 BDSG neu)

Mit Einführung der DSGVO im Mai 2018 wurden die Informationspflichten für datenverarbeitende Stellen erheblich verschärft. Nach alter Rechtslage musste bei einer Datenpanne gemäss § 42a BDSG (alt) unverzüglich die zuständige Datenschutzaufsichtsbehörde informiert werden — aber nur, wenn besonders sensible Daten betroffen waren: etwa Gesundheitsdaten, einem Berufsgeheimnis unterliegende oder sich auf strafbare Handlungen beziehende personenbezogene Daten.

Die neue Meldepflicht nach Art. 33 DSGVO greift dagegen bereits bei jeglicher Verletzung personenbezogener Daten. Die im alten § 42a BDSG normierten Erfordernisse des unrechtmässigen Übermittelns oder der unrechtmässigen Kenntnisnahme durch Dritte sind entfallen. Unternehmen müssen unverzüglich — möglichst binnen 72 Stunden nach Bekanntwerden — die zuständige Datenschutzaufsichtsbehörde informieren. Die Meldepflicht kann bereits bei einem einfachen Datenverlust bestehen, zum Beispiel durch versehentliche Löschung oder Vernichtung von Daten.

Art. 33 Abs. 5 DSGVO enthält zudem eine umfassende Dokumentationspflicht zur Art der Datenpanne, deren Auswirkungen und den ergriffenen Abhilfemassnahmen. Gemäss Art. 34 DSGVO sind auch die von der Datenschutzverletzung Betroffenen unverzüglich zu unterrichten — dann nämlich, wenn ein hohes Risiko für deren persönliche Rechte und Freiheiten besteht.

Was muss gemäß gem. Art. 33 Abs. 3 DSGVO gemeldet werden?

Der Inhalt der Meldung muss Folgendes beinhalten:

  • Eine genaue Sachverhaltsschilderung der Datenpanne. Zusätzlich sind die Datenkategorien und die Zahl der Betroffenen sowie der betroffenen Datensätze anzugeben.
  • Name und Kontaktdaten des Datenschutzbeauftragten oder alternativ eines sonstigen Ansprechpartners für weitere Nachfragen.
  • Eine genaue Beschreibung der wahrscheinlichen Auswirkungen der Datenpanne.
  • Eine genaue Auflistung und Beschreibung der vom Unternehmen ergriffenen oder geplanten Massnahmen zur Behebung oder Beschränkung der durch die Datenpanne möglichen nachteiligen Folgen.
  • Wenn voraussichtlich ein hohes Risiko für die Betroffenen besteht, sind diese in klarer und einfacher Sprache über die Datenpanne zu unterrichten.

Gibt es Ausnahmen von den Meldepflichten nach Art. 33, 34 DSGVO?

Die Meldepflicht nach Art. 34 DSGVO entfällt, wenn die Datenschutzverletzung voraussichtlich kein oder nur ein geringes Risiko für die Rechte und Freiheiten der Betroffenen beinhaltet. Dann genügt es, die geringfügigen — oder zunächst geringfügig erscheinenden — Verstösse intern zu registrieren und zu dokumentieren, dass kein oder nur ein geringes Risiko bestand. Das dient einem späteren Nachweis, dass DSGVO-konform reagiert wurde.

Davon unabhängig bleibt die Meldepflicht gegenüber der Datenschutzaufsichtsbehörde nach Art. 33 DSGVO bestehen — auch wenn eine Benachrichtigung der Betroffenen entfällt. Und selbst wenn Unternehmen ihrer Meldepflicht ordnungsgemäss nachkommen, kann die Aufsichtsbehörde dennoch Bussgeld verhängen. Was auf den ersten Blick harmlos wirkt, kann sich als gravierend herausstellen — und umgekehrt. Ob und wie Aufsichtsbehörden Datenschutzverletzungen weiterverfolgen, entscheiden diese selbst. Auch das dürfte dazu beigetragen haben, dass Unternehmen in Deutschland lieber einmal zu viel melden als einmal zu wenig.

Datenpannen systematisch bewerten statt reflexartig melden

Eine Risikoanalyse hilft, Datenschutzverletzungen in Risikogruppen einzuteilen — etwa danach, ob eine Datenpanne überhaupt Schaden verursachen kann oder ob ein möglicher Schaden zwar denkbar, aber unwahrscheinlich ist. Ergibt die Analyse, dass aller Voraussicht nach kein Risiko für die Rechte und Freiheiten der Betroffenen besteht, kann die Meldung unterbleiben. Das schafft Klarheit und könnte den Trend stetig steigender Meldezahlen mittelfristig dämpfen.

Über die Autor:in

Roger Klein

Geschäftsführer dataloft GmbH. WordPress seit Version 3, Frauenfeld. Verantwortet bei dataloft Strategie, Architektur und KI-Integration. Baut mit Mattes und Elena rundum.dog, die grösste deutschsprachige Hunde-Wissensplattform.

→ Wir

Hat dich der Artikel ins Grübeln gebracht?

Wir besprechen sowas gerne im Erstgespräch — schreib uns oder ruf an. Unverbindlich, persönlich, in der Regel innerhalb von 24 Stunden werktags.

→ Direkt zum Kontakt

Wenn du gleich noch was Grösseres anschauen willst

rundum.dog — unsere Hunde-Wissensplattform.

Die grösste deutschsprachige Hunde-Wissensplattform. Unser Eigenprojekt, unser Live-Beweis. Mit ca. einer Million Sessions pro Monat, eigenem KI-Plugin auf Anthropic-API und 17 Custom Post Types.

→ rundum.dog ansehen
Mehr zum Thema Sicherheit + Datenschutz

Drei verwandte Beiträge.

2020-03-25 Achtung im Home-Office: Corona bewirkt Zunahme von Cyber-Kriminalität 2026-02-06 Bundesamt warnt vor SharePoint Phishing Masche 2025-06-04 Immobilienbetrug online: Vorsicht vor gefälschten Inseraten und Fake-Verkäufern

Schreib uns oder ruf an.
Wir antworten in der Regel innerhalb von 24 Stunden werktags.

Roger Klein
Geschäftsführer
E-Mail
info@dataloft.ch
Telefon
+41 52 511 05 05
Adresse
dataloft GmbH · Rietweg 1 · 8506 Lanzenneunforn TG