Die Meldepflicht beim Datenschutzverstoß

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Bereits vor der DSGVO galten bei Datenpannen sowohl gegenüber den Datenschutzbehörden als auch im Hinblick auf die Betroffenen Melde-und Anzeigepflichten. Entsprechende Nachlässigkeiten gegen die Meldepflicht bei einem Datenschutzvorfall waren bereits früher bußgeldpflichtig. Allerdings stellt die seit dem 25. Mai 2018 gültige DSGVO höhere Anforderungen in diesem Pflichtenkreis, und auch der Rahmen für Bußgelder wurde drastisch erhöht. Unternehmen müssen entsprechenden Protokollroutinen und Abläufen bei der Meldung der Pflichtverstöße erhöhte Aufmerksamkeit schenken. Hier ist bei den Unternehmen aktives Handeln gefragt, um sich den gesteigerten Anforderungen im betrieblichen Alltag zu stellen.
Die Meldepflicht beim Datenschutzverstoß
Die wichtigsten Erkenntnisse
  • DSGVO erhöht Meldepflichten und Bußgelder bei Datenschutzverstößen drastisch.
  • Datenschutzverstöße müssen binnen 72 Stunden gemeldet werden.
  • Art. 33 DSGVO regelt Meldung an Behörden, Art. 34 DSGVO an Betroffene.
  • Meldepflicht gilt unabhängig vom Verschulden des Unternehmens.
  • Verstöße können Bußgelder bis zu 20 Millionen EUR oder 4% des Jahresumsatzes verursachen.

Die Meldepflicht beim Datenschutzverstoß – Regelungen in der EU- DSGVO

Seit Mai letzten Jahres setzen zwei Vorschriften in der DSGVO den rechtlichen Rahmen für die Meldepflicht beim Datenschutzpannen. Während sich Art. 33 DSGVO mit der Informationspflicht bzw. Pflicht zur Meldung von Verletzungen des Schutzes persongenbezogener Daten gegenüber den Aufsichtsbehörden befasst, regelt Art. 34 DSGVO die Informations- und Anzeigepflicht gegenüber den Betroffenen. Die DSGVO geht dabei deutlich weiter als die alte Regelung des § 42a BDSG. Im Rahmen von Art. 33 DSGVO werden nicht nur Datenpannen mit Verletzung sensibler personenbezogener Daten umfasst, sondern die Vorschrift bezieht sich auf alle personenbezogenen Daten. Die Anforderungen werden hinsichtlich der Meldepflicht nur dahingehend qualifiziert, dass als Ausnahme eine Meldung nicht erfolgen muss, wenn durch die Verletzung voraussichtlich kein Risiko für die Rechte oder Freiheiten natürlicher Person realisiert werden kann. Diese Prognoseentscheidung muss der Verantwortliche treffen. In der Regel nimmt der Datenschutzbeauftragte eine Risikobewertung vor und gibt nach Prüfung des Sachverhaltes eine Empfehlung ab. Die Entscheidung verantwortet jedoch stets der Verantwortliche selbst.

Im Zuge der Neuregelung wird verlangt, dass eine Meldung des Datenschutzverstoßes unverzüglich und möglichst innerhalb von 72 Stunden nachdem die Datenpanne bekannt geworden ist, an die zuständige Aufsichtsbehörde zu melden ist. Dabei detailliert Art. 33 Abs. 5 DSGVO die Dokumentationspflichten, die mit einer Meldung des Datenschutzverstoßes einhergehen müssen. In diesem Rahmen ist nicht nur die Datenschutzpanne selbst zu dokumentieren, sondern auch deren Auswirkungen sowie die entsprechenden Maßnahmen zur Verhütung von Folgeschäden. Auch die betroffenen Dateninhaber sind unverzüglich über die entsprechende Datenschutzpanne zu informieren. Die Information hat so zu erfolgen, dass sie von den Betroffenen erfasst werden kann, das heißt also in einer klaren und einfach strukturierten Sprache. Grundsätzlich hat die Meldung beim Datenschutzverstoß den Betroffenen gegenüber individuell zu erfolgen, als Ausnahme ist bei unverhältnismäßigem Aufwand eine öffentliche Bekanntmachung möglich. Hier finden Sie einen Leitfaden zum Download, wie im Falle eines Datenschutzverstoßes unverzüglich zu reagieren ist.

Weiterhin besteht die Informationspflicht auch verschuldensunabhängig, das heißt, auch wenn das Unternehmen den Datenverlust nicht verschuldet hat, müssen die entsprechenden Meldungen erfolgen. Wobei die DSGVO keine Formvorschriften für die Meldung enthält. Es bietet sich jedoch an, die Meldung in Textform zu verfassen (schon aus Beweiszwecken).

Die Meldepflicht beim Datenschutzverstoß – hohe Bußgelder drohen

Bisher waren Verstöße gegen die Meldepflicht beim Datenschutzverstoß mit bis zu 300.000 EUR Bußgeld bedroht. Die EU-Datenschutzgrundverordnung erhöht diesen Rahmen erheblich. Entsprechende Verstöße sind jetzt mit bis zu 20 Millionen EUR Bußgeld, beziehungsweise mit 4 % des gesamten weltweit erwirtschaften Jahresumsatzes im vorangegangenen Geschäftsjahr sanktioniert. Auch, wenn noch abzuwarten ist, wie dieser Rahmen in der Praxis umgesetzt wird, müssen Unternehmen zukünftig bei der Meldung eines Datenschutzverstoßes unbedingt DSGVO konform vorgehen. Die Meldepflicht beim Datenschutzverstoß gegenüber Behörden und den Betroffenen spielt seit Mai 2018 eine größere Rolle als bisher. Insoweit müssen unter Umständen veränderte technische Maßnahmen zur Überwachung der gesamten Datenverarbeitung zur Anwendung kommen, da nicht mehr nur sensible personenbezogene Daten erfasst werden.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!