Erfahrungen & Bewertungen zu AB - Erfolg durch Kompetenz UG
18. Oktober 2018

Verlust von Daten

Was ist beim Verlust von Daten zu beachten?
  • Beim Verlust von Daten gelten unterschiedliche Vorgaben,
  • Der Inhaber hat verpflichtende Aufgaben,
  • in den meisten Fällen gilt eine 72 Stunden Frist für Meldungen

Notfallplan – Was ist zu tun im Falle eines Datenschutzverstoßes?

Ein Datenschutzverstoß, kann zu materiellen, physischem oder immateriellen Schaden führen, wenn nicht rechtzeitig und richtig gehandelt wird.
(Auch der Verlust der Daten durch versehentliches Löschen ist ein Verlust und somit ein Verstoß.)

Diskriminierung, Rufschädigung, finanzielle Verluste und Identitätsdiebstahl sowie erhebliche wirtschaftliche oder gesellschaftliche Nachteile können die Folgen für Betroffene sein.

Auch der gute Ruf Ihres Unternehmens steht auf dem Spiel.

Ganz wichtig ist hierbei noch die drohenden Geldstrafen und Auflagen durch die Landesdatenschutzbehörde!

Bevor wir jedoch auf die notwendigen Schritte zu sprechen kommen, die Sie im Falle einer Datenschutzverletzung durch Sie oder Ihre Angestellten einleiten müssen, klären wir zuerst folgende Fragen:

Was ist ein meldepflichtiger Verstoß gegen die DSGVO?

Grundsätzlich ist hier festzustellen, dass die Meldepflicht nur dann entfällt, wenn nur ein geringes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Das Risiko wird bemessen am Umfang der betroffenen Daten und die Art der betroffenen Daten.

  • Eine verlorene Liste mit den Geburtstagen der Mitarbeiter stellt ein geringeres Risiko dar, als die Gesundheitsdaten Ihrer Patienten.

Sollten Sie also einen Brief falsch adressiert haben und der Postdienstleister bringt Ihnen den Brief ungeöffnet zurück, dann besteht Ihrerseits keine Meldepflicht, da das Risiko für die betroffene Person nur als gering einzustufen ist.

Anders ist die Lage, wenn der Brief sensible Daten, wie Konto- oder Gesundheitsdaten der betroffenen Personen enthält. Dann besteht eine Meldepflicht.

Wem müssen Sie einen Datenschutzverstoß melden?

Man unterscheidet zwischen der Meldepflicht an die zuständige Datenschutzbehörde und der Benachrichtigungspflicht gegenüber den betroffenen Personen. Die gesetzlichen Vorschriften finden Sie in folgenden Artikeln, der DSGVO:

  • Meldepflicht nach Art. 33 Abs. 1 DSGVO
  • Benachrichtigungspflicht nach Art. 34 Abs. 1 DSGVO

Die Meldepflicht gegenüber der Datenschutzbehörde besteht im Falle eines meldepflichtigen Schadensfalles immer.

Es führt jedoch nicht jeder eingetretene Schaden auch dazu, dass Sie die betroffenen Personen benachrichtigen müssen.

Eine Benachrichtigungspflicht besteht für Sie dann, wenn:

Ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bestehen und für die Betroffenen mit erheblichen Konsequenzen bzw. schwerwiegenden Beeinträchtigungen zu rechnen ist.

Vor allem sollten Sie die Betroffenen dann informieren, wenn diese durch eigenes Handeln (Änderung von Passwörtern, PINs, Sperrung der Kreditkarte, etc.) ihr Schadensrisiko verringern können.

Vor diesem Hintergrund haben wir für Sie einen „Notfallplan“ aufgestellt.

Was tun Sie, wenn es trotz aller Maßnahmen und aller Vorsicht in Ihrem Unternehmen zu einem Datenverlust kommt? Sammeln Sie zunächst Informationen!

Wir empfehlen folgende Vorgehensweise:

  1. Stellen Sie fest, welche Daten verloren gegangen sind.
  2. Stellen Sie fest, wann die Daten verloren gegangen sind.
  3. Stellen Sie fest, wie die Daten verloren gegangen sind.
  4. Stellen Sie fest, welche Personen betroffen sein können.
  5. Welche Folgen kann der Verlust nach sich ziehen?
  6. Welche Maßnahmen (TOMs) werden ergriffen/wurden bereits umgesetzt, um zu verhindern, dass der Vorfall andauert oder sich wiederholen kann?

(Falls Sie keine Änderungen beschlossen haben, formulieren Sie eine Begründung, warum Sie aus Ihrer Sicht nichts an Ihren organisatorischen oder baulichen Gegebenheiten ändern müssen und fügen diese schriftlich in Ihre Dokumentation ein.)

Wenn Sie für sich geklärt haben, was passiert ist und wie es zu diesem Vorfall gekommen ist, informieren Sie die für Sie zuständige Datenschutzbehörde und gegebenenfalls die betroffenen Personen.

Notieren Sie den Zeitpunkt sowie die Art und Weise, wie sie betroffene Personen informiert haben.

Art. 33 Abs. 1 DSGVO regelt, dass eine Meldung unverzüglich und binnen innerhalb von 72 Stunden zu erfolgen hat. Falls die Meldung später erfolgt, müssen Sie die Verzögerung schriftlich begründen.

Eine Meldung kann in aller Regel per Online-Formular bei Ihrer zuständigen Aufsichtsbehörde erfolgen. Diese Formulare finden sich zumeist im Servicebereich der Webseiten.

Falls Sie einen Datenschutzbeauftragten bestimmt haben, sollten Sie nicht vergessen, diesen ebenfalls zu informieren!


Bei Frage rufen Sie unseren Datenschutz-Fachmann Jörg Zehentmaier einfach direkt an


Die gesamte Datenschutzgrundverordnung in ihrem Wortlaut finden Sie hier.