DSGVO – Wann Meldepflicht und wie Vorgehen

Durch die neue Datenschutzgrundverordnung DSGVO gab es für Unternehmen vor dem 25. Mai 2018 jede Menge zu tun. Doch was ist, wenn es beim Datenschutz zu einer Panne kommt? Dieser Artikel gibt Tipps über die Vorgehensweise zur Meldepflicht.

DSGVO Meldepflicht

Es gab und gibt wohl niemanden, der keine Probleme bei der Umsetzung der DSGVO hatte bzw. hat. Die Anforderungen sind teils sehr verwirrend und viele gegenteilige Ansichten kursieren im Internet, besonders in Bezug auf die korrekte Umsetzung der Datenschutzgrundverordnung auf Webseiten.

Umso tragischer, wenn es dann zu einer Panne kommt. Dann greift nämlich die Meldepflicht, die ebenfalls Bestandteil der neuen Verordnung ist.
Eine Panne muss aber nicht immer durch Fehler von Mitarbeitern eintreten. Wenn Hacker die Kundendatenbank des Online-Shops knacken oder das Firmenhandy eines Mitarbeiters mit allen gespeicherten Kundenkontakten gestohlen wird – nützen auch die besten internen Maßnahmen für besseren Datenschutz nichts.

Egal ob menschliches Versagen oder kriminelle Handlungen: Gelangen personenbezogene Daten in fremde Hände, muss dieser Vorfall vom Unternehmen bei der Datenschutz- bzw. Aufsichtsbehörde gemeldet werden. Aber wie muss man dabei vorgehen?

Vorgehensweise zur Meldepflicht

Wichtig ist die Wahrung der Frist, in welcher der Vorfall einer Verletzung der DSGVO gemeldet werden muss. Diese Frist beträgt 72 Stunden nach Bekanntwerden, sofern durch die Verletzung ein Risiko für die Rechte und Freiheit der betroffenen Person entsteht. Die betroffenen Personen müssen sogar unverzüglich informiert werden, wenn dieses Risiko als sehr hoch eingestuft wird.

Was ein normales und ein hohes Risiko ist, darüber sind kaum Informationen zu finden. Das richtige Vorgehen kommt auf die personenbezogenen Daten an, die „entwendet“ wurden.

 

Was ist eine Datenpanne?

Definition zu finden in Art. 4 Nr 12 DSGVO. Laut Gesetz eine Verletzung des Schutzes personenbezogener Daten – eine Verletzung der Sicherheit,

 

  • die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur
  • oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten

führt.

 

Datenschutzvorfälle sind Unregelmäßigkeiten in der Verarbeitung von personenbezogenen Daten, die zu einem Risiko für die Betroffenen führen. Dies kann die unbewusste Veröffentlichung von personenbezogenen Daten im Internet sein, der Zugriff nach einer Hackerattacke auf eine Datenbank, aber auch der bloße Verlust eines Laptops, eines USB-Sticks oder eines Mobiltelefons.

 

Beim Beispiel des gestohlenen Handys kann wohl von einem normalen Risiko ausgegangen werden – wobei hier die Frage ist, ob für die gespeicherten Kontakte durch den Diebstahl eine Einschränkung von Recht und Freiheit gegeben ist.

Anders sieht es schon bei einer Datenbank mit Kundendaten aus, in der zusätzlich zum Namen auch noch Adresse, E-Mail und womöglich ein Kennwort hinterlegt sind, hier kann von einem hohen Risiko ausgegangen werden.

Inhalte der Meldung zur Datenschutzverletzung

Muss eine Meldung an die Aufsichtsbehörde erfolgen, müssen die folgenden Punkte darin enthalten sein. Inhalte einer solchen Meldung müssen gem. Art. 33 Abs. 2 EU-DSGVO folgendes enthalten:

  • Eine Schilderung des Sachverhalts und wie es dazu kam
    • Die Anzahl der betroffenen Personen
    • Kontakt des eigenen Datenschutzbeauftragten für Nachfragen
    • Mögliche Folgen der Datenpanne
    • Bereits ergriffene MaßnahmenZusätzlich zur Meldung besteht auch eine Pflicht zur Dokumentation der Datenschutzverletzung, auch diese Pflicht ist strikt zu beachten, um einem Bußgeld zu entgehen.

 

Weitere News zur DSGVO:

https://datenschutzbeauftragter-dsgvo.com/dsgvo-strenge-oder-liberale-auslegungssache-gilt-in-allen-laendern-wirklich-das-gleiche/