Meldung von Datenpannen und vorläufige Meldung nach DSG‑EKD

Nach dem kirchlichen Datenschutzgesetz DSG‑EKD müssen Datenpannen, also Verletzungen des Schutzes personenbezogener Daten, die voraussichtlich ein nicht unerhebliches Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, unverzüglich der zuständigen kirchlichen Aufsichtsbehörde gemeldet werden (§ 32 Abs. 1 DSG‑EKD). Eine Datenpanne kann zum Beispiel den Verlust von Datenträgern, unbefugte Offenlegung von Daten, den Diebstahl von Geräten oder den Bekanntwerden von Passwörtern umfassen. Entscheidend ist, dass die Verantwortlichen handeln, sobald sie von der Panne Kenntnis erlangen, unabhängig davon, ob die Sicherheitslücke bereits geschlossen oder die Ursachen vollständig geklärt sind.

Die Meldung erfolgt durch die verantwortliche kirchliche Stelle. Innerhalb dieser Stelle trifft die Pflicht die Leitung. Der örtlich Beauftragte für den Datenschutz unterstützt beratend, insbesondere bei der Erfassung der Panne, der Risikobewertung und der Planung von Abhilfemaßnahmen (§ 36 DSG‑EKD). Die Haftung für die Einhaltung der datenschutzrechtlichen Pflichten liegt ausschließlich bei der verantwortlichen Stelle.

Für die Meldung steht ein Online-Formular bereit, das die notwendigen Angaben strukturiert abfragt. Dazu gehören die Art und der Zeitpunkt der Panne, die betroffene Stelle, die Anzahl und Kategorien der betroffenen Daten, die wahrscheinlichen Folgen für die Betroffenen, ergriffene oder geplante Maßnahmen sowie die Kontaktdaten der Meldenden. Besonderes Merkmal ist die Möglichkeit einer vorläufigen Meldung, wenn nicht alle Informationen sofort verfügbar sind. Diese kann später durch eine Folgemeldung ergänzt werden, sobald die fehlenden Daten vorliegen.

Die DSG‑EKD unterscheidet sich an dieser Stelle von der DSGVO. Während die DSGVO eine starre Frist von 72 Stunden ab Kenntnis der Panne vorschreibt, definiert die DSG‑EKD den Meldezeitpunkt flexibler als „unverzüglich“ oder „ohne schuldhaftes Zögern“. Dadurch kann die verantwortliche Stelle die Meldung praktisch organisieren, erste Abhilfemaßnahmen einleiten und fehlende Informationen über die vorläufige Meldung später nachreichen. Diese Praxis orientiert sich an den tatsächlichen Möglichkeiten der Organisation und stellt sicher, dass die Meldepflicht eingehalten wird, ohne unverhältnismäßigen Druck zu erzeugen.

Neben der Meldung an die Aufsichtsbehörde kann es erforderlich sein, betroffene Personen zu informieren, insbesondere wenn die Datenpanne ein hohes Risiko für ihre Rechte und Freiheiten darstellt. Die Information sollte verständlich sein und die Art der Daten, mögliche Folgen sowie die getroffenen Abhilfemaßnahmen erläutern. Ausnahmen sind möglich, wenn das Risiko durch interne Maßnahmen bereits beseitigt wurde oder ein unverhältnismäßiger Aufwand eine direkte Benachrichtigung unmöglich macht.

Jede Datenpanne muss intern dokumentiert werden. Die Verantwortlichen sollen Prozesse etablieren, die ein schnelles Erkennen, Melden und Bearbeiten von Vorfällen ermöglichen. Dazu gehört die Sensibilisierung der Mitarbeitenden sowie eine interne Alarmkette, damit Meldungen unverzüglich an die Leitung gelangen und die notwendigen Schritte zur Risikominimierung eingeleitet werden.

Wichtige Normen im Überblick:

  • § 32 DSG‑EKD – Meldepflicht für Datenpannen
  • § 36 DSG‑EKD – Aufgaben und Einbindung des örtlich Beauftragten
  • § 37 DSG‑EKD – Einbeziehung der Aufsicht bei hohem Risiko