Die Meldepflichten bei der Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung wird erst im Mai 2018 in Kraft treten, jedoch sollten kleine Firmen und Großkonzerne sich schon jetzt damit aktiv beschäftigen. Oft kommt es vor, dass Unternehmen über Datenschutzverstösse nicht berichten, weil sie Angst vor einem Reputationsschaden haben. In Wirklichkeit ist niemand hundertprozentig vor Datenpannen geschützt. In den letzten Jahren sind immer mehr Unternehmen davon betroffen, wie z.B. Apple, Yahoo, große Banken usw., und es ist wichtig, das rechtzeitig mitzuteilen, damit solche Geschehnisse vermieden werden.

In Deutschland ist schon seit 2009 eine Meldepflicht unter §42a BDSG vorhanden. Laut des Gesetzes tritt eine Informationspflicht auf, wenn als Folge einer Datenpanne personenbezogene Daten einem Dritten unrechtmässig bekannt worden sind. Was unter dem Begriff „personenbezogene Daten“ gemeint ist, sind alle Daten wie z.B. Daten, die einem Berufsgeheimnis unterliegen, mit einer strafbaren Handlung verbundene Daten, Bankdaten, darunter auch besondere Arten von Daten wie Rasse, politische Meinungen, Religion, Gesundheit und Sexualleben. Unter bestimmten Umständen ist es dann nötig, sowohl der zuständigen Aufsichtsbehörde als auch die betroffenen Personen darüber zu informieren.

Mit der Datenschutz-Grundverordnung ändern sich die Regelungen nicht nur über Meldepflichten, sondern auch über die Sanktionen. Falls die Unternehmen die neu gelegten Anforderungen nicht einhalten, erwartet sie eine unangenehme Überraschung. Abhängig von dem Verstoß ist es möglich, dass manche Unterhnehmen auch Bußgeld im Betrag von 10 oder 20 Milionen Euro (oder zwei oder vier Prozent des Jahresumsatzes) zahlen werden.  Auf dem ersten Blick scheinen diese Summen ziemlich groß, aber es ist wichtig auch daran zu denken, wie viel betroffene Personen verliern können, wenn ihre Daten gestohlen werden.

Art. 33 der Datesnschutz-Grundverordnung enthält die Meldepflichten gegenüber Aufsichtsbehörden. Demzufolge sind Verantwortliche dazu verpflichtet, jede stattgefundene Datenschutzverletzung den Aufsichtsbehörden zu berichten. Das unterscheidet sich wesentlich von der Situation unter dem BDSG, welches die Meldepflicht nur in bestimmten Ausnahmsfällen verlangt. Eine Ausnahme zu dieser Regel sind Situationen, in denen die Verletzung nicht zu einem voraussichtlichen Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die genaue Beduetung von dieser Vorschrift ist noch nicht geklärt worden, aber es bezieht sich wahrscheinlich auf die Fälle, in denen die Daten verschlüsselt waren oder Mechanismen eingeführt wurden, die die Schaden möglichst stark abgrenzen konnten.

Weiterhin schreibt die Datenschutz-Grundverordnung eine ziemlich kurze Frist zur Erfüllung dieser Pflicht vor, nämlich 72 Stunden nachdem sie von der Verletzung erfahren haben. Eine Verzögerung ist erst dann erlaubt, wenn es eine Begründung gibt, die die Verspätung rechtfertigen kann. Deswegen ist es in der Praxis sehr wichtig, den Beginn der Meldefrist genau zu bestimmen.  Die Anforderungen in Art. 33 deuten an, dass ein bloßer Verdacht nicht ausreichend ist, um den Fristbeginn zu bestimmen, man muss sich auf tatsächliche Anhaltspunkte beziehen. Falls es zur Beschleunigung dieses Prozesses führt, ist es praktisch, auch den Datenschutzbeauftragten des Unternehmens zu involvieren.

Hinsichtlich des Mindestinhalts der Meldung hat sich nicht viel im Vergleich zu der bisherigen Rechtslage unter §42a S.4 BDSG verändert. Etwas ganz Neues ist die Dokumentationspflicht für Datenschutzverletzungen in Art. 33 Abs. 5. Gemäß dieser Vorschrift sind Unternehmen verpflichtet, nicht nur diese Datenschutzverletzungen zu dokumentieren, die auch den Aufsichtsbehörden zu berichten sind, sondern  auch jene, für die keine Meldepflicht besteht. Daher ist es erforderlich, dass Unternehmen ihre Mitarbeiter schon darauf vorbereiten, jede Datenpanne zu notieren und mit dem Datenschutzbeauftragten zu besprechen, damit Fehler mit der Meldebedürftigkeit vermieden werden können.

Im Hinblick auf die Vorschriften zur Meldepflicht in der Datenschutz-Grundverordnung wird klar, dass die Unternehmen ihre interne Melde- und Berichtssysteme verbessern und dem Gesetz anpassen sollen. Die bestehenden Sanktionsandrohungen verkörpern eine sehr überzeugende Motivation für Unternehmen, ihre Verantwortungen möglichst schnell und ordentlich zu erfüllen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 4 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen