Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Was muss wem wann wie gemeldet werden?
Geänderte Meldepflicht von Datenschutzverletzungen nach DS-GVO
Schon nach altem Bundesdatenschutzgesetz gab es die Pflicht, Datenpannen selbst und aktiv an die zuständige Datenschutzaufsichtsbehörde und die Betroffenen mitzuteilen (§ 42a BDSG a.F.). Allerdings nur für Pannen mit bestimmten Arten von Daten und schwerwiegenden Beeinträchtigungen für die Betroffenen, also für „schlimme” Datenpannen. Die Anzahl der Mitteilungen an die Aufsichtsbehörden hielt sich sehr in Grenzen, zum Teil sicher auch, weil die Pflicht zur Mitteilung gar nicht bekannt war.
Die per Pressemitteilung vom BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) am 27.01.2019 veröffentlichte Zahl von mehr als 12.000 bundesweit gemeldeten Datenschutzverletzungen seit Anwendungsbeginn der DS-GVO zeigt, dass die verschärften Vorschriften inzwischen bei vielen Unternehmen bekannt sind und entsprechende Meldeprozesse etabliert wurden.
Das mag auch hauptsächlich daran liegen, dass Verstöße gegen die Meldepflicht mit Geldbußen i.H.v. bis zu 2% des weltweiten Jahresumsatzes oder 10.000.000 Euro sanktioniert werden können …
Meldeprozess und Verantwortlichkeit muss definiert und im Unternehmen bekannt sein.
Um den gesetzlichen Vorgaben überhaupt nachkommen zu können, muss in jedem Unternehmen eine Verantwortlichkeit für den Umgang mit Datenpannen („Datenpannen-Verantwortlicher”, das kann, muss aber nicht der Datenschutzbeauftragte sein) definiert und ein Meldeprozess für Datenpannen etabliert sein. Alle Mitarbeiter müssen diese Verantwortlichkeit und den Prozess natürlich auch kennen!
Was muss wem gemeldet werden?
Jede Datenschutzverletzung ist der Aufsichtsbehörde zu melden, außer sie führt voraussichtlich nicht zu einem Risiko für den oder die Betroffenen (Art. 33 Abs. 1 Satz 1 DS-GVO).
Zudem ist die Datenschutzverletzung an den oder die Betroffenen zu melden, wenn sie voraussichtlich zu einem hohen Risiko führt (Art. 34 Abs. 1 DS-GVO).
Wie bei vielen anderen Themen der DS-GVO wird auch hier in Einzelfällen heiß diskutiert, was das nun bedeutet. Ist z. B. jeder versehentliche Fehlversand personenbezogener Daten an einen falschen Empfänger per Post oder E‑Mail meldepflichtig?
Was eine Datenschutzverletzung überhaupt ist, kann z. B. aus dem Meldeformular der bayerischen Datenschutzaufsichtsbehörde aus der Auswahlliste bei der Frage „Was ist passiert?” herausgelesen werden. Vom Cyber- über den Virenangriff, Softwarefehler und Verlust ist auch der Fehlversand auswählbar.
Einen guten Einstieg in das Thema bietet aus meiner Sicht zudem die Veröffentlichung der hamburgischen Datenschutzaufsichtsbehörde zu Data-Breach-Meldungen vom 15.11.2018. Hier sind auf den Seiten 4 und 5 Beispiele für Datenpannen und deren Folgen nach Meinung der hamburgischen Datenschutzaufsichtsbehörde aufgeführt.
So soll z. B. der Verlust eines USB-Sticks mit verschlüsselten Daten (!) nicht zu einer Meldepflicht führen. Der Versand eines Kontoauszugs an einen falschen Kunden soll dagegen die Meldepflicht an die Aufsichtsbehörde auslösen, nicht aber die Meldepflicht an den Betroffenen. Bei versehentlicher Versendung von Schülerdaten an eine Mailingliste seien sowohl Aufsichtsbehörde, als auch die Betroffenen zu informieren.
Meine Meinung: im Zweifel sollten Sie die Meldung bei der Aufsichtsbehörde lieber durchführen. Die Nicht-Durchführung einer Meldung ist mit Geldbuße bewehrt …
Übrigens: auch wenn nicht gemeldet wird, muss die Datenpanne unternehmensintern dokumentiert werden. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Meldepflicht ermöglichen (Art. 33 Abs. 5 DS-GVO).
Wann muss gemeldet werden?
Die Meldung an die Aufsichtsbehörde muss binnen 72 Stunden erfolgen. Die Frist beginnt mit Kenntnisnahme der wesentlichen Tatsachen durch das Unternehmen.
Die Meldung an die Betroffenen muss, sofern sie notwendig ist, unverzüglich erfolgen, d. h. soll schnell wie möglich (ohne schuldhaftes Zögern).
Wie muss gemeldet werden?
Alle deutschen Aufsichtsbehörden haben m. W. n. inzwischen die Möglichkeit einer Online-Meldung geschaffen, z. B. in Hamburg unter (s. Link) oder in Bayern (wie oben) unter (s. Link).
Die Meldung an die Betroffenen muss in klarer, einfacher Sprache unter Mitteilung der Art der Datenschutzverletzung, der Kontaktdaten für weitere Informationen, einer Beschreibung der wahrscheinlichen Folgen und der vom Verursacher ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung nachteiliger Folgen erfolgen. Ob dies schriftlich oder elektronisch (oder auf beiden Wegen) erfolgen muss, hängt sicherlich vom Einzelfall ab.
Abschluss der Ausbildung mit dem zweiten juristischen Staatsexamen 1997. Seitdem in unterschiedlichen Bereichen bei der DATEV eG in Nürnberg tätig. Praktische Erfahrung im IT-Umfeld hat er insbesondere in seiner zehnjährigen Tätigkeit in der Softwareentwicklung gesammelt. Hierbei war er u.a. mit der Einrichtung und Aktualisierung von Netzwerkumgebungen in Steuerberater- und Rechtsanwaltskanzleien betraut. Seit fünf Jahren ist Bernd Bosch als externer Datenschutzberater für Kanzleien tätig.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare