Umgang mit Datenschutzverletzungen

Lesezeit: ca. 3 Minuten

In Art. 32 DSGVO sind die Anforderungen an die Sicherheit der Verarbeitung festgelegt. Selbst wenn ein Unternehmen all diese Anforderungen umgesetzt hat, bleibt ein Risiko, dass unberechtigte Zugriffe auf personenbezogene Daten erfolgen. Hierfür sieht die DSGVO ausdrücklich Meldepflichten vor. Das Gesetz differenziert dabei zwischen den Meldepflichten gegenüber der Aufsichtsbehörde in Art. 33 DSGVO und den Meldepflichten gegenüber den Betroffenen in Art. 34 DSGVO.

Eine Meldepflicht besteht bei der Verletzung des Schutzes personenbezogener Daten. In Art. 4 Nr. 12 DSGVO ist festgelegt, wann eine Verletzung des Schutzes personenbezogener Daten vorliegt. Ein solcher Fall tritt beispielsweise ein, wenn Daten unberechtigterweise vernichtet oder verändert werden. Eine Verletzung des Schutzes personenbezogener Daten ist aber auch dann gegeben, wenn eine unbefugte Offenlegung oder ein unbefugter Zugang zu personenbezogenen Daten erfolgte.

In der ersten Stufe ist zu prüfen, ob eine Meldepflicht bei der Aufsichtsbehörde nach Art. 33 DSGVO besteht. Hier hat der Gesetzgeber eine niedrige Schwelle vorgesehen. Es ist zu prüfen, ob die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Da die Vorschriften in Art. 33 und in Art. 34 DSGVO bußgeldbewährt sind, sollte eher zurückhaltend beurteilt werden, ob ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Mit anderen Worten: Es empfiehlt sich eher eine Meldung zu viel als eine Meldung zu wenig abzugeben.

Der Gesetzgeber hat eine Frist festgelegt, innerhalb der eine Meldung an die Aufsichtsbehörde zu erfolgen ist. Es ist eine Meldefrist in Art. 33 Abs. 1 DSGVO von 72 Stunden festgelegt. Die Frist beginnt mit der Kenntnis von dem Vorfall und läuft auch während der Feiertage oder während eines Wochenendes. Die Aufsichtsbehörden haben entsprechende Online-Meldeformulare veröffentlicht.

Es sollte allerdings nicht „leichtfertig“ eine Meldung erfolgen. Es gab bereits Fälle, in denen aufgrund einer Meldung ein Datenschutzverstoß der Aufsichtsbehörde zur Kenntnis gebracht wurde und dann die Aufsichtsbehörde im Nachgang ein Bußgeld für genau diesen Datenschutzverstoß ausgesprochen hat. Insoweit gibt es für Unternehmen ein Spannungsfeld. Auf der einen Seite sind die gesetzlichen Meldepflichten einzuhalten, auf der anderen Seite besteht das Risiko, dass die Aufsichtsbehörden aufgrund der eigenen Schilderung eines Unternehmens und den übermittelten Angaben alle Informationen für die Verhängung eines Bußgelds haben.

In Art. 33 Abs. 5 DSGVO ist darüber hinaus festgelegt, dass die Verletzungen des Schutzes personenbezogener Daten zu dokumentieren sind. Diese Dokumentation soll der Aufsichtsbehörde die Möglichkeit geben, die Einhaltung der Meldepflichten zu überprüfen. In der Praxis bedeutet dies, dass Unternehmen auch die Datenschutzpannen dokumentieren sollten, die nicht gemeldet werden. Es sollte für jeden Einzelfall genau bewertet werden, warum keine Meldung an die Aufsichtsbehörde erfolgte. Es darf also in jedem Unternehmen einen „Ordner“ geben, in dem die entsprechenden Dokumentationen zu Datenschutzpannen hinterlegt sind. Der Datenschutzbeauftragte überwacht die Dokumentation der Datenschutzpannen und den richtigen Umgang mit den Meldepflichten.

Wenn es ein hohes Risiko für die persönlichen Reche und Freiheiten natürlicher Personen gibt, ist nicht nur eine Meldung an die Aufsichtsbehörde abzusetzen, sondern nach Art. 34 DSGVO zusätzlich der Betroffene zu informieren. Eine entsprechende Information und Benachrichtigung soll in klarer und einfacher Sprache erfolgen (Art. 34 Abs. 2 DSGVO).

Insgesamt sollen die Meldungen zum einen die Art der Verletzung des Schutzes personenbezogener Daten beschreiben, die wahrscheinlichen Folgen der Verletzung erklären und die Maßnahmen darstellen, die der Verantwortliche zum Schutz der personenbezogenen Daten eingeleitet hat. Die Erfahrung zeigt, dass für die Zusammenstellung solcher Informationen erhebliche Zeitaufwände entstehen können.

Ein verlorengegangener USB-Stick oder ein verlorenes Notebook können also Meldepflichten auslösen, wenn beispielsweise die Hardware unverschlüsselt ist und ein Zugriff auf E-Mail-Adressen oder Kundenlisten möglich ist. Ein unverschlüsseltes Notebook oder ein unverschlüsselter USB-Stick dokumentiert gleichzeitig einen Verstoß gegen Art. 32 Abs. 1 lit. a) DSGVO, da dort gefordert wird, dass die Verschlüsselung personenbezogener Daten der „Normalzustand“ ist. Damit dokumentiert die Meldung einen bußgeldbewehrten Datenschutzverstoß

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen