Datenpannen melden mit Bedacht

Art. 33 und 34 der Datenschutz-Grundverordnung (DS-GVO) regeln Melde- und Benachrichtigungspflichten bei Datenpannen. Dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) werden zahlreiche Datenpannen aus dem nicht-öffentlichen Bereich gemeldet, die auf typische Büroversehen zurückzuführen sind. Aus diesem Anlass wird darauf hingewiesen, dass es sich in der Regel nicht um eine Datenpanne handelt, wenn bei einer E-Mail an mehrere Empfänger CC- und BCC-Felder vertauscht wurden. Allerdings sind auch solche Versehen gemäß Art. 33 Abs. 5 DS-GVO zu dokumentieren, um der Aufsichtsbehörde die Einhaltung der Bestimmungen des Art. 33 DS-GVO zu ermöglichen. Ausnahmsweise kann eine Meldepflicht bestehen, wenn besondere Kategorien personenbezogener Daten gem. Art. 9 DS-GVO offenbart werden. Auch eine besonders hohe Anzahl von Empfängern kann zu einer Meldepflicht führen. Es kommt jedoch auch hier stets auf die Umstände des Einzelfalls und den jeweiligen Kontext an.
Das Kurzpapier Nr. 18 der DSK  gibt weiterführende Hinweise zur Bewertung des Risikos.

Eine Benachrichtigungspflicht der betroffenen Personen gem. Art. 34 DS-GVO besteht in der Regel, wenn besondere Kategorien personenbezogener Daten gem. Art. 9 DS-GVO involviert sind. Dies gilt auch für Steuererklärungen und Gehaltsabrechnungen. Diese enthalten nicht nur Bank- und Sozialdaten, die leicht missbraucht werden können, sondern aufgrund der Kirchensteuer oft auch Angaben zur Religionszugehörigkeit.