Die Meldepflicht im Datenschutz sieht vor, dass Sie Verletzungen des Schutzes personenbezogener Daten zeitnah mitteilen, möglichst binnen 72 Stunden. Die Meldung erfolgt bei der zuständigen Aufsichtsbehörde Ihres Bundeslandes. Wir verraten Ihnen, welche Konsequenzen eine solche Meldung nach sich zieht, wann Sie einen Datenschutz-Verstoß überhaupt melden müssen und wie Sie dabei am besten vorgehen.

Das Wichtigste in Kürze

  • Sollten Sie die den Datenschutz nach DS-GVO bewusst oder unbewusst verletzt haben, müssen Sie dies unter Umständen als Datenschutz-Verstoß melden.
  • Für die Meldung besteht ein erstes Zeitfenster von 72 Stunden nach Bekanntwerden des Verstoßes.
  • Der DSB ist Ihr erster Ansprechpartner für die Planung weiterer Schritte.
  • Bei der Meldung müssen Sie Informationen wie die Art des Verstoßes, die beteiligten Personen und eine Einschätzung der möglichen Folgen auflisten.
  • In bestimmten Fällen müssen zudem die betroffenen Personen benachrichtigt werden.
  • Um Verstöße gegen die DS-GVO zu vermeiden, sollten Sie von Anfang an auf einen qualifizierten Datenschutzbeauftragten setzen.

In diesem Beitrag

  1. Was ist überhaupt ein DS-GVO-Verstoß?
  2. Beispiele für DS-GVO Verstöße
  3. Wann und wie müssen Sie den DS-GVO-Verstoß melden?
  4. Wem muss ein DS-GVO-Verstoß gemeldet werden?
  5. In welchen Situationen kann die Meldung des DS-GVO-Verstoßes umgangen werden?
  6. Strafen bei einem DS-GVO-Verstoß
  7. Was passiert, wenn Sie einen DS-GVO-Verstoß nicht melden?
  8. So vermeiden Sie Verstöße von vorneherein
  9. Fazit: DS-GVO-Verstoß frühzeitig melden

Was ist überhaupt ein DS-GVO-Verstoß?

Zunächst sollten Sie wissen: Nicht jede Verletzung der DS-GVO ist meldepflichtig. Es muss also zunächst geprüft werden, ob ein meldepflichtiger Verstoß i.S.d. Art. 32 DS-GVO vorliegt. Ihr Datenschutzbeauftragter kann Ihnen bei der Einschätzung helfen.

Beispiele für DS-GVO Verstöße

Ein klassischer Verstoß ist der unrechtmäßige Umgang mit personenbezogenen Daten. Wurden persönliche Informationen ohne Einwilligung oder gar gegen den Willen von Betroffenen gespeichert oder veröffentlicht, liegt eine Missachtung der DS-GVO vor.

Wann und wie müssen Sie den DS-GVO-Verstoß melden?

Bei Verletzungen des Schutzes personenbezogener Daten herrscht laut Artikel 33 DS-GVO eine grundsätzliche Meldepflicht. Möchten Sie den Datenschutz-Verstoß melden, haben Sie dafür 72 Stunden nach Bekanntwerden Zeit. Feiertage und Wochenenden unterbrechen diese Frist übrigens nicht. Wenden Sie sich also so schnell wie möglich an die zuständige Aufsichtsbehörde. Nicht zuletzt, um die Folgen des Verstoßes einzudämmen. Wenn Sie das Zeitfenster aus zwingenden Gründen nicht einhalten können, zum Beispiel weil Sie schnell Gegenmaßnahmen ergreifen mussten, fügen Sie dafür eine entsprechende Begründung bei.

Sie sollten den Verstoß so detailliert wie möglich beschreiben und beziffern, wie viele Personen betroffen sind. Können Sie die Anzahl nicht genau prüfen – wenn beispielsweise ein USB-Stick mit persönlichen Daten verloren gegangen ist – können Sie die Zahl auch schätzen. Um die zeitlichen Fristen einzuhalten, bietet es sich an, eine Erstmeldung bei der Behörde einzureichen und ggf. eine Zweitmeldung „nachzuschieben“, nachdem weitergehende Informationen in Erfahrung gebracht wurden. Schreiben Sie außerdem auf, welche Folgen durch den Verstoß voraussichtlich zu erwarten sind. Geben Sie abschließend einen Ansprechpartner mit Kontaktadresse an. Meist ist dies Ihr Datenschutzbeauftragter.

Wem muss ein DS-GVO-Verstoß gemeldet werden?

Laut DS-GVO-Meldepflicht muss eine Verletzung des Schutzes personenbezogener Daten umgehend bei der zuständigen Aufsichtsbehörde Ihres Bundeslandes gemeldet werden. Auch wenn die Zeit drängt, sollte das aber nicht Ihr erster Schritt sein. Informieren Sie stattdessen zunächst den Datenschutzbeauftragten Ihres Unternehmens. Er kann das Risiko durch die Verletzung der Meldepflicht im Datenschutz einschätzen und Ihnen bei allen weiteren Schritten beratend zur Seite stehen. Ist in Ihrem Unternehmen kein Datenschutzbeauftragter benannt worden, sollten Sie den Landesbeauftragten für Datenschutz kontaktieren.

Liegt ein besonders hohes Risiko der persönliche Freiheiten und Rechte der Personen vor, die unmittelbar vom Verstoß betroffen sind, müssen diese über die Verletzung in Kenntnis gesetzt werden. Um das Risiko konkret abschätzen zu können, hilft wieder die Rücksprache mit Ihrem Datenschutzbeauftragten.

Ein klassisches Beispiel wäre hier ein erfolgreicher Hackerangriff.

In welchen Situationen kann die Meldung des DS-GVO-Verstoßes umgangen werden?

Sie müssen einen Datenschutz-Verstoß dann melden, wenn er eindeutig festgestellt wurde und voraussichtlich ein Risiko für die Betroffenen besteht – beispielsweise bezüglich ihrer persönlichen Rechte und Freiheiten. Wenn allerdings kein oder nur ein geringes Risiko zu bestehen scheint, sieht das anders aus. Die Datenpanne ist dann nicht mehr meldepflichtig. Als geringes Risiko gelten zum Beispiel verschlüsselte Daten, die durch eine Datenpanne zwar an Dritte geraten sind, von diesen aber nicht ausgelesen werden können.

Hilfreich ist die Risikoabwägung gemeinsam mit dem zuständigen Datenschutzbeauftragten.

Strafen bei einem DS-GVO-Verstoß

Wenn Sie einen DS-GVO-Verstoß melden, ist das mit Konsequenzen verbunden. Diese sind jedoch nicht einheitlich geregelt. Das liegt daran, dass die Verletzungen im Datenschutzrecht so unterschiedlich ausfallen. Ob bewusst oder fahrlässig gehandelt wurde, spielt ebenso eine Rolle wie die möglichen Folgen des Verstoßes. In der Regel müssen Sie mit einem Bußgeld im vier- oder fünfstelligen Bereich rechnen.

Was passiert, wenn Sie einen DS-GVO-Verstoß nicht melden?

Wenn Sie die DS-GVO-Meldepflicht bei einem Verstoß missachten, drohen Ihnen auch hier Bußgelder. Sie können von sechsstellige Summen bis hin zu Millionenbeträgen reichen – das Risiko lohnt sich also nicht. In Artikel 83 DS-GVO sind sogar Geldstrafen von bis zu 20 Millionen Euro oder alternativ bis zu vier Prozent des weltweiten Jahresumsatzes (des Unternehmens) festgehalten.

Auch kann nach Art. 82 DS-GVO ein Schadensersatzanspruch gegen Ihr Unternehmen geltend gemacht werden, wenn eine Meldung bei der Aufsichtsbehörde unterbleibt.

Doch mit diesen Kosten ist es nicht getan. Ihrem Unternehmen entsteht zudem ein Imageschaden, denn Kunden und Partner nehmen Datenpannen selten auf die leichte Schulter. Wenn herauskommt, dass Sie neben der Datenpanne auch die Meldepflicht laut Datenschutzgesetz umgangen haben, verlieren Geschäftspartner das Vertrauen in Ihr Unternehmen und Ihre Produkte. Besser ist es also, sich den Fehler direkt einzugestehen, den DS-GVO-Verstoß sofort zu melden und passende Gegenmaßnahmen zu ergreifen. Gern gesehen sind hier zum Beispiel große Investition in die zukünftige Datensicherheit.

So vermeiden Sie Verstöße von vorneherein

Vorsicht ist besser als Nachsicht. Wenn Sie von Beginn an auf die Unterstützung durch einen qualifizierten internen oder externen Datenschutzbeauftragten setzen, können Sie Bußgelder durch DS-GVO-Verstöße zuverlässig vermeiden. Der DSB kümmert sich um die regelkonforme Speicherung und Verarbeitung von personenbezogenen Daten. Außerdem haben Sie einen erfahrenen Experten an Ihrer Seite, der Sie je nach Vertrag von jeglicher Haftung im Datenschutzbereich entbindet.

Fazit: DS-GVO-Verstoß frühzeitig melden

Sie sollten einen DS-GVO-Verstoß zeitnah melden, um die Konsequenzen so gering wie möglich zu halten. Außerdem drohen hohe Geldbußen und der Vertrauensverlust Ihrer Kunden, wenn Sie Verstöße nicht melden und diese im Nachhinein aufgedeckt werden. Ihre beste Option besteht darin, einen zuverlässigen Datenschutzbeauftragten zu benennen, der Verstöße gegen die DS-GVO-Meldepflicht und ähnliche Regelungen vermeidet.

Neue Beiträge die Sie interessieren könnten

Das Recht auf Vergessenwerden: Was steckt dahinter und funktioniert es wirklich?

Das Wichtigste in Kürze

  • Mit der DS-GVO wurden die Rechte von Betroffenen gestärkt. 
  • Das Recht...
Weiterlesen

Keine Daten mehr ins EU-Ausland: Was bedeutet das EuGH-Urteil Schrems II für Anwältinnen und Anwälte?

Das sogenannte Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) markiert eine Zäsur im...

Weiterlesen

Aktuelle Trends zu Bußgeldern im europäischen Datenschutz

Weiterlesen

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

DataCo GmbH | Dachauer Str. 65 | D-80335 München