Meldepflicht bei Verstößen

Wenn Pannen im Datenschutz passieren und personenbezogene Daten offengelegt, manipuliert oder vernichtet werden, müssen sie den entsprechenden Behörden gemeldet werden. Hierbei ist neben dem vorgegebenen Zeitfenster noch vieles weiteres zu beachten.

Alle Vorfälle, bei denen persönliche Daten unbeabsichtigt offengelegt, manipuliert oder vernichtet werden, gelten als Datenschutzverstöße. Ob diese gegenüber der Behörde meldepflichtig sind, hängt von den betroffenen Daten und dem daraus resultierenden Risiko für den Betroffenen ab. Zieht die Datenschutzpanne einen physischen, materiellen oder immateriellen Schaden nach sich, zum Beispiel ein Identitätsdiebstahl oder Rufschädigung, muss sie immer gemeldet werden. Bei der Entscheidung, in welchen Fällen eine Meldepflicht begründet sein könnte, sollten sich Unternehmen professionell beraten lassen.

Meldepflicht: Verstöße gegen Datenschutz (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union hat auch die Meldepflichten bei einem Verstoß gegen Datenschutz neu geregelt. Verglichen mit der früheren Regelung durch das Bundesdatenschutzgesetz sind die Meldepflichten gegenüber den Aufsichtsbehörden deutlich verschärft worden. Demgegenüber müssen die Betroffenen selbst deutlich seltener über einen Verstoß gegen Datenschutz informiert werden. Das ist nur noch der Fall, wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen besteht, etwa wenn es sich um besonders sensible Daten wie Gesundheitsdaten oder biometrische Daten handelt.

Verstoß gegen Datenschutz: Meldefrist

Der Artikel 33 der DSGVO schreibt vor, dass die Frist zu Meldung von Datenschutzverstößen an die Aufsichtsbehörde 72 Stunden nach Kenntnisnahme der Verletzung beträgt. Die Meldung muss die Art der Verletzung sowie Angaben zur ungefähren Zahl der betroffenen Personen und Datensätze enthalten. Außerdem sollte dargelegt werden, welche Maßnahmen geeignet erscheinen, die Folgen des Verstoßes zu mildern.

Was ist ein Verstoß gegen Datenschutz?

Es liegt in der Natur jeder Gesetzgebung, dass sie nicht jeden Einzelfall konkret beschreiben kann und gegebenenfalls von Gerichten ausgelegt werden muss. Dementsprechend allgemein ist ein Verstoß gegen den Schutz personenbezogener Daten definiert als jede unrechtmäßige oder unbeabsichtigte Handlung, die „zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt“ (vgl. Art. 4 Zif. 12 DSGVO). Nicht minder allgemein gehalten ist die Formulierung, dass Datenschutzverstöße meldepflichtig sind, wenn sie „Freiheiten oder Rechte“ der betroffenen Personen gefährden.

Nicht alle Fälle sind eindeutig

Wenn Unbefugte Zugang zu personenbezogenen Daten erhalten, ist dies ein meldepflichtiger Verstoß gegen Datenschutz. Es sei denn, dass die Verletzung nicht zu einem Risiko für die Rechte und Freiheit des Betroffenen führt. Wann das der Fall ist und wann nicht, ist zum Teil Interpretationssache. Wird zum Beispiel eine E-Mail an einen falschen Empfänger verschickt, kommt es auf den Inhalt an, ob ein meldepflichtiger Verstoß vorliegt. Handelt es sich dabei beispielsweise nur um eine Teilnahmebestätigung, ist das Risiko für den Betroffenen gering und die Panne nicht meldepflichtig. Enthält die E-Mail aber Steuer- oder gar Gesundheitsdaten, liegt definitiv ein meldepflichtiger Datenschutzverstoß vor.

Oder die Anmeldedaten von Besuchern einer Webseite gehen durch Schadsoftware verloren und hierdurch können die Kunden nicht mehr auf ihre Konten zugreifen. Hier ist der Grundsatz der Datenverfügbarkeit verletzt und es handelt es sich um einen klaren Datenschutzvorfall. Greifen dadurch unbefugte Dritte auf das Konto zu, sind die Rechte der Betroffenen maßgeblich gefährdet und der Vorfall meldepflichtig. Hat der Webseitenbetreiber den Vorfall schnell bemerkt und das Konto rechtzeitig gesperrt, handelt es sich nicht um einen meldepflichtigen Verstoß. Denn der einzige Schaden darin besteht, dass der Zugriff auf eine Webseite temporär nicht möglich ist.

Tags
  • DSGVO
  • Datenschutz
  • Datenpanne
  • Datenschutzbeauftragter
  • DSB
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649