Meldepflichten bei Datenschutzpannen nach der DSGVO

Lesezeit: ca. 4 Minuten

Die EU-Datenschutz-Grundverordnung findet seit 2018 unmittelbar in allen Mitgliedsstaaten Anwendung.

Alte Rechtslage zu Meldepflichten

Bisher gibt es in § 42 a Bundesdatenschutzgesetz eine Regelung, wenn Dritte unrechtmäßig von personenbezogenen Daten Kenntnis erlangt haben. Allerdings sieht die Regelung einen eher engen Anwendungskreis vor.

Es sollen nicht generell bei allen personenbezogenen Daten Informationspflichten bestehen, sondern beispielsweise nur bei personenbezogenen Daten zu Bank- oder Kreditkartenkonten oder besonders geschützten personenbezogenen Daten.

Hier haben einige Unternehmen bereits sehr unerfreuliche Erfahrungen mit dem Gesetz machen dürfen. Beispielsweise bei dem Verlust von Gesundheitsdaten gibt es immer wieder Krankenhäuser, die entsprechend den gesetzlichen Regelungen halbseitige Zeitungsanzeigen in bundesweit erscheinenden Tageszeitungen schalten müssen, wenn die Betroffenen nicht mehr vollständig recherchiert und damit auch nicht mehr informiert werden können.

Hier gibt es für Behörden und Unternehmen nach der Datenschutz-Grundverordnung erhebliche Änderungen.

Neue Meldepflichten nach der DSGVO

In Art. 33 der Datenschutz-Grundverordnung (DSGVO) muss innerhalb von maximal 72 Stunden die Aufsichtsbehörde informiert werden, wenn es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist. In Art. 4 Abs. 9 DSGVO ist näher definiert, was unter der Verletzung des Schutzes personenbezogener Daten zu verstehen ist.

Dabei geht es um eine Verletzung der Sicherheit der Daten, die beispielsweise zu einer Vernichtung, zu einem Verlust oder zu einer Veränderung führen kann. Es ist unerheblich, ob dies zufällig oder unrechtmäßig geschieht oder ob es eine unbefugte Weitergabe oder einen unbefugten Zugang zu personenbezogenen Daten gab.

Die bisherigen im deutschen Recht vorgesehenen Einschränkungen auf bestimmte Typen von personenbezogenen Daten finden sich in der DSGVO nicht mehr.

Ähnlichkeiten mit dem IT-Sicherheitsgesetz

Bei näherer Betrachtung ähnelt die Meldepflicht den neuen Meldepflichten nach dem IT-Sicherheitsgesetz, die Kritische Infrastrukturen zu beachten haben. In Art. 33 Abs. 3 DSGVO sind verschiedene Informationen genannt, die eine Meldung an die Aufsichtsbehörde enthalten muss.

Dabei geht es nicht nur um die Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sondern auch um eine Beschreibung der Folgen und um eine Beschreibung von Maßnahmen, um den Schutz der personenbezogenen Daten wiederherzustellen.

Deutlich weist die DSGVO darauf hin, dass im Zweifel schrittweise Informationen jeweils nach dem Erkenntnisstand des für die Verarbeitung Verantwortlichen an die Aufsichtsbehörde gegeben werden müssen.

Die Meldepflicht entfällt nur dann, wenn es bei der Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten der Betroffenen kommt. Hier ergeben sich für die Unternehmen und Behörden zukünftig Risiken.

Meldepflicht nur bei erheblichen Verletzungen der DSGVO

Aus den Erwägungsgründen ist zu entnehmen, dass der EU-Gesetzgeber durchaus den physischen, materiellen und moralischen Schaden aus Datenschutzverletzungen im Blick hat. Beispielhaft wird in den Erwägungsgründen der Identitätsdiebstahl oder der Identitätsbetrug sowie auch eine Rufschädigung oder der Verlust der Vertraulichkeit als Folge der Datenschutzverletzung genannt.

Hier muss im Einzelfall ein Unternehmen oder eine Behörde für sich entscheiden, ob es im konkreten Fall eine Verletzung des Schutzes personenbezogener Daten gibt. Es wird keine Bestätigung der jeweiligen Aufsichtsbehörden geben, ob die jeweilige rechtliche Entscheidung so den gesetzlichen Vorgaben entspricht.

Bußgeld bei fehlender Umsetzung

Im Gegenteil: In den Bußgeldvorschriften der DS-GVO in Art. 79 ist unter Abs. 3 vorgesehen, dass bei einer Verletzung der Pflicht zur Meldung an die Aufsichtsbehörde eine Geldbuße von bis zu 10.000.000,00 € und im Falle eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden kann.

Hier werden sowohl Unternehmen als auch Behörden zukünftig genauer hinschauen, ob die Meldepflichten eingehalten werden.

Meldung an Betroffene

Aber nicht nur an die Aufsichtsbehörden sind entsprechende Meldungen abzusetzen. Auch die betroffenen Personen sind über die Verletzung des Schutzes personenbezogener Daten zu benachrichtigen.

Hier gibt es in Art. 34 Abs. 3 DSGVO einen Ausnahmekatalog. Wenn beispielsweise kein hohes Risiko mehr für die Rechte und Freiheiten betroffener Personen besteht, müssen die betroffenen Personen nicht informiert werden.

Auch ein unverhältnismäßiger Aufwand kann dazu führen, dass eine individuelle Information unterbleiben kann. Dann fordert aber die DSGVO eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme.

Hier entfällt die bisherige Festlegung auf zwei halbseitige Zeitungsanzeigen in überregionalen Tageszeitungen.

Zu bedenken ist aber, dass zwar für die Meldung einer Datenschutzverletzung an die betroffenen Personen Ausnahmeregelungen vorgesehen sind. Diese führen aber nicht dazu, dass die Meldepflichten an die Aufsichtsbehörde entfallen.

Hier hat der EU-Gesetzgeber zwei unterschiedliche Meldepflichten und Anforderungen definiert.

Es wird für viele Unternehmen und Behörden zukünftig eine besondere organisatorische Herausforderung sein, diese Meldepflichten einzuhalten.

Hier sind auch Datenschutzbeauftragte und Compliance-Beauftragte vor dem Hintergrund der immensen Bußgeldandrohungen gefordert, rechtssichere interne Meldewege, die auch den engen Zeitrahmen von 72 Stunden einhalten, mit der Unternehmens- und Behördenleitung zu vereinbaren.

 
1 Star2 Stars3 Stars4 Stars5 Stars 5 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen