Meldepflicht Datenpanne
Kommt es zu einer Datenpanne, das heißt, wird die Sicherheit personenbezogener Daten verletzt, ist der Verantwortliche gesetzlich dazu verpflichtet, diesen Vorfall zu melden. Zum einen besteht die Meldepflicht gegenüber der zuständigen Aufsichtsbehörde (Art. 33 DS-GVO). Zum anderen müssen unter Umständen auch die betroffenen Personen über die Datenpanne informiert werden (Art. 34 DS-GVO).
Meldepflicht ggü. der Aufsichtsbehörde (Art. 33 DS-GVO)
Grundsätzlich gilt, dass jeder Datenschutzvorfall bzw. jede Datenpanne der zuständigen Aufsichtsbehörde gemeldet werden muss. Die Meldepflicht besteht nur in geringen Ausnahmefällen nicht, nämlich wenn vermutlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Für die Entscheidung, ob eine Meldung erforderlich ist oder nicht, ist eine ausführliche Risikoanalyse erforderlich. Bei dieser ist die Schwere des Schadens für die Betroffenen und dessen Eintrittswahrscheinlichkeit zu berücksichtigen.
Datenschutzvorfälle müssen der Aufsichtsbehörde unverzüglich oder zumindest innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls gemeldet werden (Art. 33 Abs. 1 DS-GVO). Erfolgt die Meldung nach Ablauf der Frist, muss der Verantwortliche die Verzögerung begründen. Wichtig für den Fristbeginn ist außerdem, dass der Verantwortliche nicht zwingend tatsächlich von der Datenpanne wissen muss. Es ist ausreichend, wenn er davon hätte wissen müssen. Aus diesem Grund ist es wichtig, dass Mitarbeiter regelmäßig sensibilisiert werden und ein interner Melde- und Bearbeitungsprozess für potenzielle Datenschutzverletzungen besteht.
Inhalte der Meldung an die Aufsichtsbehörde
Nach Art. 33 Abs. 3 DS-GVO muss die Meldung mindestens vier zentrale Informationen enthalten:
- Beschreibung der Art des Datenschutzvorfalls mit Angabe der Kategorien und Anzahl an betroffenen Personen und Datensätzen
- Kontaktdaten des Datenschutzbeauftragten oder eines anderen Ansprechpartners
- Beschreibung der vermuteten Folgen des Datenschutzvorfalls
- Beschreibung von Maßnahmen oder Vorschlägen, die den Datenschutzvorfall beheben und gegebenenfalls die nachteiligen Auswirkungen abmildern
Stehen dem Verantwortlichen bei der Erstmeldung noch nicht alle diese Informationen zur Verfügung, besteht die Möglichkeit, die Meldung in mehreren Schritten vorzunehmen (Art. 33 Abs. 4 DS-GVO).
Damit die Aufsichtsbehörde die Einhaltung der Bestimmungen des Datenschutzes überprüfen kann, muss der Verantwortliche Datenschutzvorfälle inklusive aller ergriffenen Maßnahmen ausführlich dokumentieren (Art. 33 Abs. 5).
Informationspflicht gegenüber Betroffenen (Art. 34 DS-GVO)
Besteht voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von betroffenen Personen, müssen diese ebenfalls über die Datenpanne informiert werden. Die Frist für die Benachrichtigung ist kürzer als die zur Meldung bei der Aufsichtsbehörde, denn die 72 Stunden werden hier nicht gewährt. Müssen Betroffene über eine Datenpanne informiert werden, hat dies unverzüglich nach Bekanntwerden des Vorfalls zu erfolgen (Art. 34 Abs. 1 DS-GVO).
Von der Informationspflicht gibt es nach Art. 34 Abs. 3 DS-GVO drei Ausnahmen:
- Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zum Schutz der betreffenden personenbezogenen Daten getroffen, um diese vor unbefugtem Zugriff zu schützen (z. B. durch Verschlüsselung).
- Durch Maßnahmen im Anschluss an die Datenpanne wurde sichergestellt, dass das hohe Risiko für die Betroffenen vermutlich nicht mehr besteht.
- Die Benachrichtigung ist mit einem unverhältnismäßig hohen Aufwand verbunden. In diesem Fall muss die Information der Betroffenen allerdings auf andere Weise gewährleistet sein, beispielsweise durch öffentliche Bekanntmachung.
Wird die Informationspflicht nicht erfüllt, kann die Aufsichtsbehörde vom Verantwortlichen unter Umständen verlangen, die Betroffenen zu benachrichtigen.
Inhalte der Benachrichtigung an Betroffene
Die Benachrichtigung an betroffene Personen muss nach Art. 34 Abs. 2 DS-GVO mindestens drei Informationen enthalten. Das heißt, bis auf die Art des Datenvorfalls hat sie die gleichen Inhalte wie die Meldung an die Aufsichtsbehörde:
- Kontaktdaten des Datenschutzbeauftragten oder eines anderen Ansprechpartners
- Beschreibung der vermuteten Folgen des Datenschutzvorfalls
- Beschreibung von Maßnahmen oder Vorschlägen, die den Datenschutzvorfall beheben und gegebenenfalls die nachteiligen Auswirkungen abmildern
Bei der Benachrichtigung ist zu beachten, dass sie klar und einfach zu verstehen sein muss. Das heißt, die Information muss für jede betroffene Person verständlich sein und darf keine komplizierten Darstellungen oder (juristische) Fachsprache enthalten.
Folgen bei ausbleibender Meldung: Risiko eines Bußgeldes
Die Meldung eines Datenschutzvorfalls bzw. der Vorfall an sich muss nicht zwingend ein Bußgeld seitens der Aufsichtsbehörde zur Folge haben. Werden Datenverstöße nicht gemeldet, steigt hingegen die Wahrscheinlichkeit, dass die Aufsichtsbehörde gegen den Verantwortlichen ein Bußgeld verhängt. Bei der Höhe des Bußgeldes wird ebenfalls berücksichtigt, dass die Datenpanne zu spät oder gar nicht gemeldet wurde.
Kommt es zu einer Datenpanne, das Unternehmen meldet diese unverzüglich und bemüht sich bzw. schafft es, die Auswirkungen einzudämmen, wirkt sich dies positiv auf die Höhe des Bußgeldes aus. Je nach Art des Verstoßes, dem Risiko für Betroffene und dem Erfolg der eingeleiteten Maßnahmen des Verantwortlichen fällt das Bußgeld unter Umständen geringer aus.