Rechtsanwälte | Patentanwälte
European Trademark Attorneys
European Patent Attorneys
European Design Attorneys
European Trademark Attorneys
European Patent Attorneys
European Design Attorneys
Die Pflicht zur Meldung von Datenschutzverletzungen
Die Pflicht zur Meldung von Datenschutzverletzungen
Die Pflicht zur Meldung von Datenschutzverletzungen
Anfang des Monats ist es zu einem Großangriff vermutlich chinesischer Hacker auf E-Mail-Konten gekommen. Die konzentrierten Attacken auf Microsofts Exchange-Server haben insbesondere deutsche Mittelständler betroffen. Die Sicherheitslücke wurde zwar mittlerweile geschlossen, welche Daten abgeflossen sind, ist jedoch größtenteils unklar.
Bei solchen (potentiellen) Datenschutzverletzungen sind Unternehmen verpflichtet, unverzüglich eine Meldung an die Datenschutzbehörde abzugeben. Auch wesentlich weniger schwerwiegende Fälle wie E-Mail-Fehlsendungen, Diebstähle von EDV-Geräten oder Datenverluste können die Meldepflicht auslösen. Wir zeigen Ihnen, wie Sie hiermit richtig umgehen.
Ausgangssituation
In nahezu allen Unternehmen werden personenbezogene Daten auf vielfältige Art und Weise verarbeitet, nämlich in Aktenordnern, per E-Mail oder in EDV-Systemen. Gemeinsam haben diese Bereiche, dass technische oder organisatorische Fehler dazu führen können, dass Daten verloren, missbraucht, verändert oder vernichtet werden. Dies läuft natürlich nicht nur den Verarbeitungszwecken des Unternehmens, sondern auch den Interessen der betroffenen Personen zuwider.
Daher haben Unternehmen technische und organisatorische Maßnahmen vorzuhalten, die diese Daten sichern und schützen. Wenn solche Systeme versagen oder überwunden werden, will der Staat sicherstellen, dass die hiermit einhergehenden Konsequenzen nicht unbeachtet bleiben. Daher ist der Verantwortliche verpflichtet, Verstöße zu melden. Dieser Vorgang ist vergleichbar mit einer (Selbst-)Anzeige. In der Regel kommt es jedoch nicht zu einer Verfolgung per Bußgeld. Anders ist es, wenn die Datenschutzverletzungen nicht gemeldet und auf andere Weise später bekannt werden. In diesem Falle drohen Bußgelder. Schon aus diesem Grunde ist die rechtzeitige Meldung sinnvoll.
Rechtliche Grundlage
Im Falle einer Verletzung des Schutzes personenbezogener Daten ist das verantwortliche Unternehmen nach Art. 33 DSGVO verpflichtet, der Aufsichtsbehörde dies unverzüglich, jedoch spätestens binnen 72 Stunden nach Bekanntwerden der Verletzung, mitzuteilen.
Die Meldung muss enthalten:
1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien von Personen und der ungefähren Zahl der Betroffenen, der betroffenen Kategorien von Daten und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Ausnahme von der Meldepflicht
Verzichtet werden kann auf die Meldung ausnahmsweise, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nur zu einem geringen Risiko für die Rechte und Freiheiten natürlicher Personen führt. Hierbei handelt es sich um einen stark wertungsabhängigen Tatbestand, der anhand der Umstände des jeweiligen Einzelfalls zu beurteilen ist. Nach Auffassung der Behörden dürften geringe Risiken bei stark verschlüsselten Daten, verschlossenen Postrücksendungen oder wenigen, zusammenhanglosen Einzeldaten bestehen. In der Praxis wird die Ausnahme also so gut wie nie greifen. Die Hürde hierfür ist bewusst hoch angesetzt, sodass in der Regel eine Meldepflicht besteht.
Benachrichtigungspflicht gegenüber dem Betroffenen
Nach Art. 34 DSGVO besteht außerdem eine unverzügliche Benachrichtigungspflicht gegenüber dem Betroffenen der Datenschutzverletzung, soweit voraussichtlich ein hohes Risiko für dessen persönliche Rechte und Freiheiten besteht. Für die Bewertung, ob bereits ein „hohes“ Risiko vorliegt, ist eine Bewertung anhand der Frage „Könnte die betroffene Person etwas tun, um ihr eigenes Schadensrisiko zu verringern?“ sinnvoll. Eine Benachrichtigungspflicht besteht also, wenn z. B. eine Passwortänderung oder die Sperrung des Bankkontos Nachteile verhindern oder verringern würde.
Fazit Die Pflicht zur Meldung von Datenschutzverletzungen ist weitreichend und greift bereits bei einfachen Vorfällen. Daher ist es unerlässlich, die Meldung kurzfristig abzusetzen und so ein Bußgeld wegen einer verspäteten Meldung zu vermeiden. Der Betroffene ist hingegen nur bei einem hohen Risiko für dessen Rechte und Freiheiten zu informieren. Für die Verantwortlichen ist eine Dokumentation des eigenen Vorgehens und der getroffenen Entscheidungen wichtig. Bei der Abgabe der Vorfallsmeldung stehen wir Ihnen jederzeit unterstützend zur Verfügung. Dies umfasst insbesondere die Beratung zum Grad der möglichen Datenschutzverletzung sowie die amtliche und außeramtliche Abwicklung. Sprechen Sie uns hierzu gerne an. |
Alexander Brittner, LL.M.
Rechtsanwalt, Datenschutzbeauftragter (TÜV)
E-Mail: alexander.brittner@bolex.de
Telefon: +49 (234) 9136189