Datenschutz verstehen – Die Datenpanne und Meldepflicht nach der DSGVO
Wenn eine sog. Datenpanne tatsächlich vorliegt, müssen Verantwortliche schnell handeln. In der europäischen Datenschutz-Grundverordnung (DSGVO) existieren diverse Fristen, die Verantwortliche in diesem Fall unbedingt einhalten müssen. Darüber hinaus können sich über die Meldung der Datenpanne bei der zuständigen Datenschutzaufsichtsbehörde hinaus weitere Pflichten für den Verantwortlichen ergeben. Verantwortliche müssen daher genau wissen, wie im Fall einer Datenpanne zu handeln ist. In unserem Blogbeitrag erfahren Sie, was eine Datenpanne ist und welche Schritte Sie im Fall der Fälle unternehmen müssen.
Was ist eine Datenpanne und welche Meldefristen müssen eingehalten werden?
Datenschutzvorfälle bzw. Datenpannen, oder offiziell „Verletzung des Schutzes personenbezogener Daten“ gem. Art. 33 Abs. 1 S.1 1. Hs. DSGVO, gehören genau zu den Szenarien, die jeder Verantwortliche vermeiden sollte. Wenn es aber doch zu einem derartigen Datenschutzvorfall kommt, müssen gewisse Mechanismen etabliert sein, die eine rechtzeitige („unverzüglich und binnen 72 Stunden”, vgl. Art. 33 Abs. 1 DSGVO) Meldung an die zuständige Aufsichtsbehörde ermöglichen, um die gesetzlichen Meldefristen zu erfüllen. Ansonsten ist die verspätete Meldung (erst recht die unterlassene Meldung), unabhängig von dem eigentlichen Datenschutzvorfall, bereits ein eigener Datenschutzverstoß, vgl. Art. 83 Abs. 4 lit. a) DSGVO. Falls daher eine Datenpanne nicht fristgerecht gemeldet ist, kann zu dem eigenen Datenschutzverstoß als solchen ein weiteres Bußgeld von der zuständigen Datenschutzbehörde wegen des Verstoßes gegen die Meldepflicht aus Art. 33 DSGVO erteilt werden. Im absoluten Worst-Case-Szenario drohen Verantwortlichen daher mehrere bzw. höhere Bußgelder.
Zu berücksichtigen ist ferner, dass der Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten gem. Art. 33 Abs. 2 DSGVO unverzüglich dem Verantwortlichen melden muss.
Welchen Inhalt muss eine Meldung an die zuständige Datenschutzaufsichtsbehörde haben?
Der Inhalt der Meldung einer Verletzung des Schutzes personenbezogener Daten gem. Art. 33 DSGVO muss mindestens folgende Angaben enthalten, die in Art. 33 Abs. 3 DSGVO aufgezählt werden:
- Die Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze (Art. 33 Abs. 3 lit. a) DSGVO)
- Den jeweiligen Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen (Art. 33 Abs. 3 lit. b) DSGVO)
- Die Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 3 lit. c) DSGVO)
- Die Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen (Art. 33 Abs. 3 lit. d) DSGVO)
Art. 33 Abs. 4 DSGVO stellt klar, dass wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen kann.
Zu beachten ist ferner, dass den Verantwortlichen Dokumentationspflichten hinsichtlich der Verletzung des Schutzes personenbezogener Daten treffen. Gem. Art. 33 Abs. 5 DSGVO muss der Verantwortliche die Verletzungen des Schutzes personenbezogener Daten inklusive aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen, dokumentieren. Diese Dokumentation muss derart ausgestaltet sein, dass die Aufsichtsbehörde die Überprüfung der Einhaltung des Art. 33 DSGVO überprüfen kann.
Benachrichtigungspflicht bezüglich der betroffenen Personen?
Neben der Meldepflicht können für den Fall der Verletzung des Schutzes personenbezogener Daten weitere Pflichten entstehen: Wenn die in Art. 34 DSGVO genannten Voraussetzungen erfüllt sind, müssen die von der Verletzung des Schutzes personenbezogener Daten betroffenen Personen von dem Verantwortlichen benachrichtigt werden. Das ist gem. Art. 34 Abs. 1 DSGVO dann der Fall, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Betroffene Personen müssen dann in klarer und einfacher Sprache über die Art der Verletzung des Schutzes personenbezogener Daten informiert werden. Außerdem muss die Benachrichtigung der betroffenen Personen mindestens die in Art. 33 Abs. 3 lit. b), lit. c) und lit. d) DSGVO genannten Angaben und Maßnahmen enthalten. Auch ein Verstoß gegen diese Pflicht bildet einen eigenen Bußgeldtatbestand, vgl. Art. 83 Abs. 4 lit. a) DSGVO.
Demgegenüber müssen betroffene Personen gem. Art. 34 Abs. 3 DSGVO nicht benachrichtigt werden, wenn eine der folgenden Bedingungen einschlägig ist:
- Der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen wurden auf die von der Verletzung betroffenen personenbezogenen Daten angewandt. Hierzu gehören insbesondere solche Daten, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, z.B. durch Verschlüsselung.
- Die Benachrichtigung der betroffenen Personen ist auch dann nicht erforderlich, wenn der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gem. Art. 34 Abs. 1 DSGVO aller Wahrscheinlichkeit nach nicht mehr besteht.
- Wenn die Benachrichtigung i.S.v. Art. 34 Abs. 1 DSGVO mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
Darüber hinaus kann die Aufsichtsbehörde gem. Art. 34 Abs. 4 DSGVO von dem Verantwortlichen verlangen, die betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, falls der Verantwortliche dies nicht bereits i.S.v. Art. 34 Abs. 1 DSGVO getan hat. Zudem kann die Aufsichtsbehörde nach Art. 33 Abs. 4 DSGVO auch mit einem Beschluss feststellen, dass bestimmte Voraussetzungen des Art. 34 Abs. 3 DSGVO erfüllt sind.
Welche Folgen haben Verstöße gegen diese Vorgaben?
Verstöße gegen die Meldepflicht einer Datenschutzverletzung können gem. 83. Abs. 4 lit. a) DSGVO mit einem Bußgeld von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden, je nachdem, welcher der Beträge höher ist.
Ihr externer Datenschutzbeauftragte etabliert für Sie Prozesse, mit deren Hilfe Verletzungen des Schutzes personenbezogener Daten nach den Vorgaben der DSGVO fristgerecht gemeldet werden. Kontaktieren Sie jetzt das Expertenteam von Keyed für eine individuelle Beratung.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.
