Mitteilung einer unrechtmäßigen Datenübermittlung bzw. unrechtmäßigen Kenntniserlangung von Daten durch Dritte („Datenpanne“) gemäß Art. 33 Abs. 1 DSGVO
oder § 15a TMG i.V.m. §42a BDSG
Hinweise:
Bei bestimmten Datenschutzverstößen und Datenschutzpannen müssen die Sie als verantwortliche Stelle die zuständige Datenschutzaufsichtsbehörde (www.datenschutz-wiki.de/Aufsichtsbeh%C3%B6rden_und_Landesdatenschutzbeauftragte) und die betroffenen Personen innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes gem. Art. 33 Abs. 1 DSGVO oder § 15a TMG i.V.m. §42a BDSG informieren. (Hinweis: In der Regel werden hier auch beschreibbare PDFs auf den Seiten der Landesdatenschutzbeauftragten vorgehalten.)
Eine solche „Verpflichtung zur Selbstanzeige“ besteht, wenn Dritte unrechtmäßig von bestimmten sensiblen Daten Kenntnis erlangt haben. Dies gilt nur dann nicht, wenn die Datenschutzpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 I s.2 DSGVO). Da das Bestehen einer Ausnahme von dem jeweiligen Verein zu beweisen wäre, sollte zunächst grundsätzlich jede Datenpanne dem zuständigen Landesdatenschutzbeauftragten gemeldet werden.
Voraussetzungen für die Informationspflicht
Die Informationspflicht tritt ein, wenn folgende im Gesetz abschließend genannten Arten personenbezogener Daten von einem Datenschutzverstoß bzw. einer Datenpanne betroffen sind:
- besondere Arten personenbezogener Daten gemäß
- personenbezogene Daten, die z.B. bei Ärzten, Apothekern, Rechtsanwälten, Steuerberatern oder Personenversicherern einem Berufsgeheimnis unterliegen,
- personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder auf einen Verdacht hierauf beziehen,
- personenbezogene Daten zu Bank- und Kreditkartenkonten, z.B. Kontonummern mit Bankleit-zahl oder Kreditkartennummern und
- Bestands- und Nutzungsdaten im Bereich der Telemedien (Internet), z.B. Benutzerkennungen, Passworte.
Die unrechtmäßige Kenntniserlangung von Daten durch Dritte kann auf einer unrechtmäßigen Übermittlung von Daten beruhen (z.B. Fehl-Versendungen, illegale Datenweitergaben oder Datenabrufe). Die Daten können aber auch auf sonstige Weise dritten Personen unrechtmäßig zur Kenntnis gelangen, insbesondere beim Verlust von Datenträgern durch Einbrüche, Diebstähle und Fundunterschlagungen oder beim Internet-Datenhacking.
Es muss nicht im Einzelfall schon belegt sein, dass dritte Personen von den Daten tatsächlich Kenntnis erlangt haben, z.B. durch bereits eingetretene Schadensfälle wie illegale Lastschrifteinzüge von Bankkonten oder Internetbestellungen auf Kosten der Geschädigten. Es reicht aus, dass aufgrund der Lebenserfahrung eine hohe Wahrscheinlichkeit dafür besteht, dass die Daten von einem Dritten zur Kenntnis genommen wurden bzw. werden. Dies ist insbesondere gegeben, wenn Daten durch eine kriminelle Handlung in den Verfügungsbereich Dritter gelangt sind. Denn dann besteht eine hohe Wahrscheinlichkeit dafür, dass z.B. Diebe, Cyberkriminelle oder ihre Abnehmer die gespeicherten Daten für rechtswidrige Zwecke nutzen, womit für die Betroffenen eine konkrete Gefahr droht.
Bei der Frage, ob schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der betroffenen Personen drohen, ist eine Prognoseentscheidung zu treffen, ob eine schwerwiegende Beeinträchtigung in eine bedrohliche Nähe gerückt ist. Dabei ist zu berücksichtigen, um welche Art von Daten es geht, wer - vermutlich - in den Besitz der Daten gelangt ist ("vertrauenswürdige Umgebung" oder kriminelle Personen) und welche potentiellen Auswirkungen sich für die betroffenen Personen ergeben können, z.B. finanzielle Schäden, Identitätsbetrug, soziale Nachteile, Bloßstellung, Erpressbarkeit.
Umsetzung der Informationspflicht
Die verantwortliche Stelle muss innerhalb von 72 Stunden nach Bekanntwerden des Datenschutzverstoßes gem. Art. 33 Abs. 1 DSGVO oder § 15a TMG i.V.m. §42a BDSG die zuständige Datenschutzaufsichtsbehörde und unverzüglich die betroffenen Personen, um deren Daten es geht, gem. Art. 34 Abs. 1 DSGVO informieren, wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen durch den Verstoß vorliegt. Dabei muss sie mitteilen, was konkret geschehen ist, welche Maßnahmen zur Abhilfe inzwischen getroffen wurden und was die betroffenen Personen selbst für ihren Schutz noch tun können.
Die zuständige Datenschutzaufsichtsbehörde kann nach der Information prüfen, ob die meldende Stelle die möglichen bzw. gebotenen Abhilfe-, Schutz- und Sicherheitsmaßnahmen schon getroffen hat und bei Bedarf weitere Maßnahmen einfordern.
Die Information der betroffenen Personen muss folgenden Inhalt haben:
- Name der verantwortlichen Stelle mit Ansprechpartnern und Kontaktdaten,
- Datum/Zeitraum des Vorfalls sowie Ursache der Datenpanne (kurze Beschreibung des Sachverhalts) mit Beschreibung der betroffenen personenbezogenen Daten,
- Nennung der (möglichen) Dritten, die Kenntnis erlangt haben bzw. die eine Möglichkeit zur Kenntnisnahme hatten,
- mögliche Folgen bzw. nachteilige Auswirkungen der Datenpanne (z.B. finanzieller Schaden, Ruf-/Imageschädigung, Bloßstellung) mit Hinweisen auf mögliche Vorkehrungen der betroffenen Personen dazu, und
- infolge der Datenpanne durch die verantwortliche Stelle ergriffene Maßnahmen.
Aufgrund der Information sollen die betroffenen Personen die Möglichkeit haben, Schaden von sich abzuwenden oder Schutzmaßnahmen zu treffen.
Ein Verstoß gegen die Informationsverpflichtung gegenüber der Datenschutzaufsichtsbehörde oder den betroffenen Personen ist bußgeldbewehrt (Art. 83 Abs. 4a DSGVO bzw. § 43 Abs. 2 Nr. 7 BDSG).
Für den Fall bekannt werdender Datenpannen sollte die verantwortliche Stelle organisatorisch gerüstet sein und ein geeignetes Prüfungs- und Meldesystem vorbereitet haben.
Absendende Stelle
Name: _______________________________ Datum: __________
Anschrift: _______________________________ E-Mail-Adresse: __________
_______________________________ Telefon: __________
An
zuständige Datenschutzaufsichtsbehörde
(siehe Liste im Netz, Link siehe oben)
Mitteilung einer unrechtmäßigen Datenübermittlung bzw. unrechtmäßigen Kenntniserlangung von Daten durch Dritte gemäß Art. 33 Abs. 1 DSGVO
oder § 15a TMG i.V.m. §42a BDSG
Sehr geehrte Damen und Herren,
mit nachfolgenden Angaben informieren wir Sie gemäß Art. 33 Abs. 1 DSGVO
oder § 15a TMG i.V.m. §42a BDSG über die unrechtmäßige Datenübermittlung bzw. unrechtmäßige Kenntniserlangung von Daten durch Dritte:
1. Name der meldepflichtigen bzw. verantwortlichen Stelle im Verein
Eckhard Lauer Vorsitzender Polizei Schieß Sport Club Dinslaken e.V.
2. Name und Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners aus dem Verein für weitere Informationen
Andreas Bauer-Brockerhoff, Am Stadtbad 1, 46537 Dinslaken,
3. Zeitraum oder Zeitpunkt des Vorfalls
(Möglichst „exakte“ Zeitangabe)
4. Zeitpunkt der Feststellung des Vorfalls
(Möglichst „exakte“ Angabe, wann und wie vom Vorfall Kenntnis erlangt wurde)
5. Ursache bzw. Ort der Datenpanne
(Möglichst „exakte“ Sachverhaltsbeschreibung)
6. Welche Dritten haben Kenntnis erlangt bzw. hatten Möglichkeit zur Kenntnisnahme?
(Möglichst „exakte“ Benennung des relevanten Personenkreises)
7. Art und Inhalt der betroffenen personenbezogenen Daten
Besondere Arten von Daten im Sinne von § 3 Abs. 9 BDSG (Als besondere Daten gelten, Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.)
Daten zu Bank- oder Kreditkartenkonten
Telemedien-Bestands- oder -Nutzungsdaten (einschließlich Zugangsdaten, Passworte), § 15a TMG (Hier sind u.a. Pannen oder Hackerangriffe über die vom Verein bereitgestellte Internetseite gemeint.)
Ggf. nähere Erläuterungen hierzu.
8. Technische und organisatorische Maßnahmen, die die meldepflichtige Stelle wegen der Datenpanne in Bezug auf die betroffenen personenbezogenen Daten ergriffen hat (oder ergreifen wird)
(Möglichst „exakte“ Beschreibung, was bereits veranlasst wurde und was zu einem späteren Zeitpunkt -wann- noch veranlasst werden soll)
9. Anzahl der Betroffenen (ggf. Schätzung)
10. Mögliche Folgen bzw. nachteilige Auswirkungen für Betroffene (z. B. finanzieller Schaden, Ruf-/Imageschädigung, Bloßstellung)
(Möglichst „exakte“ Einschätzung der Folgen bzw. Auswirkungen, die für die Betroffenen durch die Datenpanne drohen können)
11. Benachrichtigung der Betroffenen
Benachrichtigung ist bereits erfolgt am __________________ (Datum)
per _________________ (Kommunikationsmittel)
Benachrichtigung ist geplant für __________________ (Datum)
Als Anhang zu dieser Meldung ist die Benachrichtigung der Betroffenen über die Datenpanne im Originaltext beizulegen.
Datum Ort, Unterschrift