Die Meldepflicht beim Datenschutzverstoß

Die Meldepflicht beim Datenschutzverstoß – Regelungen in der EU- DSGVO

Seit Mai letzten Jahres setzen zwei Vorschriften in der DSGVO den rechtlichen Rahmen für die Meldepflicht beim Datenschutzpannen. Während sich Art. 33 DSGVO mit der Informationspflicht bzw. Pflicht zur Meldung von Verletzungen des Schutzes persongenbezogener Daten gegenüber den Aufsichtsbehörden befasst, regelt Art. 34 DSGVO die Informations- und Anzeigepflicht gegenüber den Betroffenen. Die DSGVO geht dabei deutlich weiter als die alte Regelung des § 42a BDSG. Im Rahmen von Art. 33 DSGVO werden nicht nur Datenpannen mit Verletzung sensibler personenbezogener Daten umfasst, sondern die Vorschrift bezieht sich auf alle personenbezogenen Daten. Die Anforderungen werden hinsichtlich der Meldepflicht nur dahingehend qualifiziert, dass als Ausnahme eine Meldung nicht erfolgen muss, wenn durch die Verletzung voraussichtlich kein Risiko für die Rechte oder Freiheiten natürlicher Person realisiert werden kann. Diese Prognoseentscheidung muss der Verantwortliche treffen. In der Regel nimmt der Datenschutzbeauftragte eine Risikobewertung vor und gibt nach Prüfung des Sachverhaltes eine Empfehlung ab. Die Entscheidung verantwortet jedoch stets der Verantwortliche selbst.

Im Zuge der Neuregelung wird verlangt, dass eine Meldung des Datenschutzverstoßes unverzüglich und möglichst innerhalb von 72 Stunden nachdem die Datenpanne bekannt geworden ist, an die zuständige Aufsichtsbehörde zu melden ist. Dabei detailliert Art. 33 Abs. 5 DSGVO die Dokumentationspflichten, die mit einer Meldung des Datenschutzverstoßes einhergehen müssen. In diesem Rahmen ist nicht nur die Datenschutzpanne selbst zu dokumentieren, sondern auch deren Auswirkungen sowie die entsprechenden Maßnahmen zur Verhütung von Folgeschäden. Auch die betroffenen Dateninhaber sind unverzüglich über die entsprechende Datenschutzpanne zu informieren. Die Information hat so zu erfolgen, dass sie von den Betroffenen erfasst werden kann, das heißt also in einer klaren und einfach strukturierten Sprache. Grundsätzlich hat die Meldung beim Datenschutzverstoß den Betroffenen gegenüber individuell zu erfolgen, als Ausnahme ist bei unverhältnismäßigem Aufwand eine öffentliche Bekanntmachung möglich. Hier finden Sie einen Leitfaden zum Download, wie im Falle eines Datenschutzverstoßes unverzüglich zu reagieren ist.

Weiterhin besteht die Informationspflicht auch verschuldensunabhängig, das heißt, auch wenn das Unternehmen den Datenverlust nicht verschuldet hat, müssen die entsprechenden Meldungen erfolgen. Wobei die DSGVO keine Formvorschriften für die Meldung enthält. Es bietet sich jedoch an, die Meldung in Textform zu verfassen (schon aus Beweiszwecken).

Die Meldepflicht beim Datenschutzverstoß – hohe Bußgelder drohen

Bisher waren Verstöße gegen die Meldepflicht beim Datenschutzverstoß mit bis zu 300.000 EUR Bußgeld bedroht. Die EU-Datenschutzgrundverordnung erhöht diesen Rahmen erheblich. Entsprechende Verstöße sind jetzt mit bis zu 20 Millionen EUR Bußgeld, beziehungsweise mit 4 % des gesamten weltweit erwirtschaften Jahresumsatzes im vorangegangenen Geschäftsjahr sanktioniert. Auch, wenn noch abzuwarten ist, wie dieser Rahmen in der Praxis umgesetzt wird, müssen Unternehmen zukünftig bei der Meldung eines Datenschutzverstoßes unbedingt DSGVO konform vorgehen. Die Meldepflicht beim Datenschutzverstoß gegenüber Behörden und den Betroffenen spielt seit Mai 2018 eine größere Rolle als bisher. Insoweit müssen unter Umständen veränderte technische Maßnahmen zur Überwachung der gesamten Datenverarbeitung zur Anwendung kommen, da nicht mehr nur sensible personenbezogene Daten erfasst werden.