Florian Padberg
Datenschutzbeauftragter
Schon nach dem alten BDSG, welches bis zum 24. Mai 2020 galt, waren Unternehmen dazu verpflichtet die Aufsichtsbehörden, sowie die Betroffenen bei Datenschutzverstößen in Form von Datenpannen zu informieren. Diese Verpflichtungen werden nun mit der neuen EU-DSGVO deutlich verschärft. Die Meldung von Verletzungen des Schutzes personenbezogener Daten ist in Art. 33 und 34 EU-DSGVO geregelt.
Was unter einer „Datenpanne“ zu verstehen ist, ist unter Art. 4 Nr. 12 EU-DSGVO legal definiert:
Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert, oder auf sonstige Weise verarbeitet wurden.
Dies meint eine Verletzung der Sicherheit der Datenverarbeitung i.S.v. Art. 32 EU-DSGVO sowohl in Form externer Angriffe als auch in Form eines Fehlverhaltens von Mitarbeitern.
Grundsätzlich muss jede Verletzung des Schutzes personenbezogener Daten an die der gemäß Art. 55 EU-DSGVO zuständigen Aufsichtsbehörde durch den Verantwortlichen unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde gemeldet werden, nach Art. 33 Abs. 1 S. 1 EU-DGVO. Eine Ausnahme davon beinhaltet der Fall, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Gemäß Art. 33 Abs. 2 EU-DSGVO muss eine Begründung für die Verzögerung beigefügt werden, wenn eine Meldung des Verantwortlichen nicht binnen 72 Stunden an die zuständige Aufsichtsbehörde geht.
Bei der Berechnung der 72 Stundenfrist spielen Wochenende und Feiertage keine Rolle.
Für den Inhalt der Meldung sieht die Verordnung in Art. 33 Abs. 3 EU-DSGVO einen Katalog an Mindestanforderung vor. Dieser Katalog beinhaltet zumindest:
Gemäß Art. 33 Abs. 2 EU-DSGVO muss eine Begründung für die Verzögerung beigefügt werden, wenn eine Meldung des Verantwortlichen nicht binnen 72 Stunden an die zuständige Aufsichtsbehörde geht.
Bei der Berechnung der 72 Stundenfrist spielen Wochenende und Feiertage keine Rolle.
Die Meldung an die zuständige Aufsichtsbehörde sollte in jedem Fall schriftlich erfolgen, obwohl diese nach der Verordnung nicht an eine bestimmte Form gebunden ist. Zur Vereinfachung für den Verantwortlichen trägt dazu bei, dass viele Aufsichtsbehörden ein entsprechendes Online-Formular auf ihren Homepages eingestellt haben, dass der Verantwortliche nur auszufüllen braucht und alle notwendigen Informationen enthält.
In der Verordnung wird leider nicht näher konkret, welche Risiken hier gemeint sein könnten. Zur Beantwortung dieser Frage wird wohl vor allem auf das potenzielle Schadensausmaß abzustellen sein, wobei es insofern auf die Menge die Art der betroffenen Daten und das Missbrauchspotenzial ankommen dürfte. In Erwägungsgrund 85 erwähnt die Verordnung explizit mögliche Risiken. Es muss also folgerichtig eine Risikoabwägung seitens des Verantwortlichen bzgl. des Risikos und des zu erwartenden Schadens stattfinden, also eine Prognose hinsichtlich der Wahrscheinlichkeit eines Schadenseintritts.
Da Prognosen stets ein Element der Unsicherheit anhaftet, kann insofern lediglich verlangt werden, dass sie „auf einer methodisch nachvollziehbaren Analyse des zum Zeitpunkt der Prognose verfügbaren Wissens“ beruht.
Wann der Betroffene oder die Betroffenen über die Verletzung des Schutzes personenbezogener Daten informiert werden muss bzw. werden müssen, richtet sich maßgeblich nach Art. 34 Abs. 1 EU-DSGVO. Danach muss der Verantwortliche den Betroffenen informieren, wenn „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge“ hat, gemäß Art. 34 Abs. 1 EU-DSGVO.
Der Verantwortliche hat dabei nach Art. 34 Abs. 2 EU-DSGVO den Betroffenen in klarer und einfacher Sprache über die Art der Verletzung des Schutzes personenbezogener Daten zu informieren und teilt ihm auch zumindest die in Art. 33 Abs. 3 lit. b, c und d genannten Informationen und Maßnahmen mit.
Eine Ausnahme von der Benachrichtigung des Betroffenen macht Art. 34 Abs. 3 EU-DSGVO. Danach entfällt diese, wenn eine der Voraussetzungen gemäß Art. 34 Abs. 3 lit. a, b oder c EU-DSGVO vorliegen.
Kommt der Verantwortliche einer der in Art. 33 und Art. 34 EU-DSGVO normierten Pflichten nicht oder nicht rechtzeitig nach, so kann dies seitens der Aufsichtsbehörde mit einem Bußgeld geahndet werden. Die Höhe des Bußgeldes richtet sich nach Art. 83 Abs. 4 EU-DSGVO und kann dementsprechend 10 Millionen Euro oder 2% des weltweiten getätigten Vorjahresumsatzes betragen.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!