Meldepflichten bringen neue Anforderungen (EU-DSGVO)

Die EU-Datenschutz-Grundverordnung, die 2018 unmittelbar in allen Mitgliedsstaaten Anwendung findet, wirft bereits ihre Schatten voraus. Wenn die EU-Verordnung in Kraft tritt, entfallen die Regelungen aus dem Bundesdatenschutzgesetz und dem Landesdatenschutzgesetz.

Bisher gibt es in § 42 a Bundesdatenschutzgesetz eine Regelung, wenn Dritte unrechtmäßig von personenbezogenen Daten Kenntnis erlangt haben. Allerdings sieht die Regelung einen eher engen Anwendungskreis vor. Es sollen nicht generell bei allen personenbezogenen Daten Informationspflichten bestehen, sondern beispielsweise nur bei personenbezogenen Daten zu Bank- oder Kreditkartenkonten oder besonders geschützten personenbezogenen Daten. Hier haben einige Unternehmen bereits sehr unerfreuliche Erfahrungen mit dem Gesetz machen dürfen. Beispielsweise bei dem Verlust von Gesundheitsdaten gibt es immer wieder Krankenhäuser, die entsprechend den gesetzlichen Regelungen halbseitige Zeitungsanzeigen in bundesweit erscheinenden Tageszeitungen schalten müssen, wenn die Betroffenen nicht mehr vollständig recherchiert und damit auch nicht mehr informiert werden können.

Hier gibt es für Behörden und Unternehmen nach der Datenschutz-Grundverordnung erhebliche Änderungen.

In Art. 31 der Datenschutz-Grundverordnung (DS-GVO) muss innerhalb von maximal 72 Stunden die Aufsichtsbehörde informiert werden, wenn es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist. In Art. 4 Abs. 9 ist näher definiert, was unter der Verletzung des Schutzes personenbezogener Daten zu verstehen ist. Dabei geht es um eine Verletzung der Sicherheit der Daten, die beispielsweise zu einer Vernichtung, zu einem Verlust oder zu einer Veränderung führen kann. Dabei ist es unerheblich, ob dies zufällig oder unrechtmäßig geschieht oder ob es eine unbefugte Weitergabe oder einen unbefugten Zugang zu personenbezogenen Daten gab. Die bisherigen im deutschen Recht vorgesehenen Einschränkungen auf bestimmte Typen von personenbezogenen Daten finden sich in der DS-GVO nicht mehr.

Bei näherer Betrachtung ähnelt die Meldepflicht den neuen Meldepflichten nach dem IT-Sicherheitsgesetz, die Kritische Infrastrukturen zu beachten haben. In Art. 31 Abs. 3 DS-GVO sind verschiedene Informationen genannt, die eine Meldung an die Aufsichtsbehörde enthalten muss. Dabei geht es nicht nur um die Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sondern auch um eine Beschreibung der Folgen und um eine Beschreibung von Maßnahmen, um den Schutz der personenbezogenen Daten wiederherzustellen. Deutlich weist die DS-GVO darauf hin, dass im Zweifel schrittweise Informationen jeweils nach dem Erkenntnisstand des für die Verarbeitung Verantwortlichen an die Aufsichtsbehörde gegeben werden müssen.

Die Meldepflicht entfällt nur dann, wenn es bei der Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten der Betroffenen kommt. Hier ergeben sich für die Unternehmen und Behörden zukünftig Risiken. Aus den Erwägungsgründen ist zu entnehmen, dass der EU-Gesetzgeber durchaus den physischen, materiellen und moralischen Schaden aus Datenschutzverletzungen im Blick hat. Beispielhaft wird in den Erwägungsgründen der Identitätsdiebstahl oder der Identitätsbetrug sowie auch eine Rufschädigung oder der Verlust der Vertraulichkeit als Folge der Datenschutzverletzung genannt. Hier muss im Einzelfall ein Unternehmen oder eine Behörde für sich entscheiden, ob es im konkreten Fall eine Verletzung des Schutzes personenbezogener Daten gibt. Es wird keine Bestätigung der jeweiligen Aufsichtsbehörden geben, ob die jeweilige rechtliche Entscheidung so den gesetzlichen Vorgaben entspricht.

Im Gegenteil: In den Bußgeldvorschriften der DS-GVO in Art. 79 ist unter Abs. 3 vorgesehen, dass bei einer Verletzung der Pflicht zur Meldung an die Aufsichtsbehörde eine Geldbuße von bis zu 10.000.000,00 € und im Falle eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden kann. Hier werden sowohl Unternehmen als auch Behörden zukünftig genauer hinschauen, ob die Meldepflichten eingehalten werden.

Aber nicht nur an die Aufsichtsbehörden sind entsprechende Meldungen abzusetzen. Auch die betroffenen Personen sind über die Verletzung des Schutzes personenbezogener Daten zu benachrichtigen. Hier gibt es in Art. 32 Abs. 3 DS-GVO einen Ausnahmekatalog. Wenn beispielsweise kein hohes Risiko mehr für die Rechte und Freiheiten betroffener Personen besteht, müssen die betroffenen Personen nicht informiert werden. Auch ein unverhältnismäßiger Aufwand kann dazu führen, dass eine individuelle Information unterbleiben kann. Dann fordert aber die DS-GVO eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme. Hier entfällt die bisherige Festlegung auf zwei halbseitige Zeitungsanzeigen in überregionalen Tageszeitungen.

Zu bedenken ist aber, dass zwar für die Meldung einer Datenschutzverletzung an die betroffenen Personen Ausnahmeregelungen vorgesehen sind. Diese führen aber nicht dazu, dass die Meldepflichten an die Aufsichtsbehörde entfallen. Hier hat der EU-Gesetzgeber zwei unterschiedliche Meldepflichten und Anforderungen definiert.

Es wird für viele Unternehmen und Behörden zukünftig eine besondere organisatorische Herausforderung sein, diese Meldepflichten einzuhalten. Hier sind auch Datenschutzbeauftragte und Compliance-Beauftragte vor dem Hintergrund der immensen Bußgeldandrohungen gefordert, rechtsichere interne Meldewege, die auch den engen Zeitrahmen von 72 Stunden einhalten, mit der Unternehmens- und Behördenleitung zu vereinbaren.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*