Eine Pflicht aus der neuen EU-Daten­schutz-Grund­ver­ordnung

Neuer Umgang mit Daten­pannen ab Mai 2018

Die ab 25.05.2018 zu beach­tende neue EU-Daten­­schutz-Grun­d­­ver­­­ordnung ver­langt eine viel häu­figere Kon­takt­auf­nahme mit der zustän­digen Auf­sichts­be­hörde.

Wie in meinem ersten Beitrag zur neuen EU-Daten­­schutz-Grun­d­­ver­­­ordnung vom Mai 2016  ver­sprochen, greife ich heute eine der geän­derten Pflichten auf.

Viel häu­figer Mel­dungen von Daten­pannen
Ab 25.05.2018 müssen alle Daten­pannen, die im Unter­nehmen pas­sieren, doku­men­tiert werden (vgl. Art. 33 Abs. 5 EU-DSGVO). Solche Daten­pannen, bei denen nicht aus­ge­schlossen werden kann, dass ein Risiko für die Rechte und Frei­heiten der betrof­fenen Per­sonen besteht, müssen zudem binnen 72 Stunden aktiv an die zuständige Daten­schutz­auf­sichts­be­hörde (in Deutschland eine zuständige Behörde pro Bun­desland) gemeldet werden. Dagegen müssen die Betrof­fenen nur infor­miert werden, wenn durch die Daten­panne vor­aus­sichtlich ein HOHES Risiko für die Rechte und Frei­heiten der betrof­fenen Per­sonen besteht (vgl. Art. 34 Abs. 1 EU-DSGVO).

Ein Bei­spiel für eine bereits heute mel­de­pflichtige Daten­panne finden Sie in meinem Beitrag vom 10.04.2017. Weitere Daten­pannen können sein:

- Fehl­ver­sen­dungen per Post oder E‑Mail
— Verlust von Akten­ordnern
— Verlust von Daten­trägern

sofern per­so­nen­be­zogene Daten ent­halten oder gespei­chert sind.

Heute sind Daten­pannen nur dann mel­de­pflichtig, wenn bestimmte, im § 42a BDSG auf­ge­führte, Arten von Daten betroffen sind UND schwer­wie­gende Beein­träch­ti­gungen für die Betrof­fenen drohen. Ver­gleichbar mit dem oben genannten HOHEN Risiko für die Rechte und Frei­heiten der Betrof­fenen. Viele Daten­pannen unter­liegen heute des­wegen keiner Mel­de­pflicht.

Ab dem Mai 2018 wird also die aktive Meldung an die Auf­sichts­be­hörde viel häu­figer erfolgen müssen, da („irgendein denk­bares“) Risiko für die Rechte und Frei­heiten der Betrof­fenen wohl fast immer vor­liegen dürfte.

Was sollten Sie zur Vor­be­reitung tun?
Sie sollten in Ihrem Unter­nehmen unbe­dingt Ihre Mit­ar­beiter infor­mieren und Mel­de­pro­zesse defi­nieren, damit Sie auch jede Daten­panne kennen. Sie müssen außerdem jede Daten­panne spä­testens ab dem 25.05.2018 in Ihrem Unter­nehmen doku­men­tieren. Gemeinsam mit Ihrem Daten­schutz­be­auf­tragten müssen Sie die Daten­pannen bewerten. Ist ein Risiko für die Betrof­fenen nicht aus­zu­schließen, muss die Daten­panne ab 25.05.2018 aktiv an die für Ihr Unter­nehmen zuständige Daten­schutz­auf­sichts­be­hörde gemeldet werden.

Die Inhalte einer solchen Meldung müssen gem. Art. 33 Abs. 2 EU-DSGVO Fol­gendes umfassen:

- Sach­ver­halts­schil­derung der Daten­panne mit Angabe der Kate­gorien und der Zahl der Betrof­fenen sowie der betrof­fenen Daten­sätze
— Name und Kon­takt­daten Ihres Daten­schutz­be­auf­tragten oder einer sons­tigen Anlauf­stelle für weitere Nach­fragen
— eine Beschreibung der wahr­schein­lichen Folgen der Daten­panne
— eine Beschreibung der von Ihnen ergrif­fenen oder vor­ge­schla­genen Maß­nahmen zur Behebung oder Abmil­derung der durch die Daten­panne mög­lichen nach­tei­ligen Aus­wir­kungen

Besteht vor­aus­sichtlich ein hohes Risiko für die Betrof­fenen, müssen auch die Betrof­fenen in klarer und ein­facher Sprache über die Daten­panne infor­miert werden.

Folgen einer Nicht­be­achtung
Die Pflichten zur Doku­men­tation und ggf. Meldung einer Daten­panne aus dem Art. 33 EU-DSGVO nicht zu beachten, kann auch keine Lösung sein. Ein Verstoß ist in Art. 83 Abs. 4 a EU-DSGVO mit einem Bußgeld von bis zu EUR 10.000.000,- oder 2% des weltweit erzielten Jah­res­um­satzes des vor­an­ge­gan­genen Geschäfts­jahres (je nachdem welche Zahl höher ist) bedroht.