Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen

Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen
Es kann immer mal vorkommen, dass bei der Verarbeitung oder dem Umgang mit denen im Unternehmen gespeicherten Daten etwa schiefläuft und gegen den Datenschutz verstoßen wird. Eine solche Datenpanne führ dazu, dass das Unternehmen unverzüglich handeln muss. Was aber genau ist zu tun? Grundsätzlich unterliegt das Unternehmen der Meldepflicht gegenüber der Aufsichtsbehörde und Benachrichtigungspflicht gegenüber dem Betroffenen, beides aber nicht in jedem Fall.
Nach der Europäischen Datenschutzgrundverordnung (DSGVO) unterliegen Unternehmen im Falle einer Verletzung des Schutzes personenbezogener Daten folgenden Pflichten:
der Meldepflicht gegenüber der Aufsichtsbehörde gemäß Artikel 33 und
der Benachrichtigungspflicht des Betroffenen gemäß Artikel 34.


I. Meldepflichten gegenüber Aufsichtsbehörde

Wann besteht die Meldepflicht?
  1. Grundsätzlich besteht die Meldepflicht immer. Sobald es irgendeinen Vorfall im Unternehmen gibt, bei dem, egal ob unbeabsichtigt oder unrechtmäßig, die Sicherheit personenbezogener Daten betroffen sind (z.B. Daten wurden vernichtet, verändert, Dritten gegenüber offengelegt, z.B. durch Versenden einer E-Mail an den falschen Adressaten, oder zugänglich gemacht wurden, ist ein Unternehmen verpflichtet dies an die zuständige Aufsichtsbehörde zu melden.
    Die Meldung ist unverzüglich und möglichst binnen 72 Stunden vorzunehmen. Kann die 72 Stunden-Frist nicht eingehalten werden, ist der Meldung eine Begründung für die Verzögerung beizufügen.

  2. Kann eine Meldung auch unterbleiben?
    Eine Meldung kann ausnahmsweise unterbleiben, wenn die Datenschutzverletzung nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Ein Risiko – und damit eine Meldepflicht - besteht insbesondere hier immer dann, wenn es aufgrund der Datenpanne zu physischem, materiellen oder immateriellen Schaden, Diskriminierung, Identitätsdiebstahl/-betrug, finanziellem Verlust, Rufschädigung, Vertraulichkeitsverlust von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugter Aufhebung der Pseudonymisierung oder erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen für den Betroffenen führen kann. Der Verantwortliche muss die Datenpanne unter diesem Aspekt begutachten und dementsprechend handeln.
  3. Inhalt der Meldung
    Die Meldung an die Aufsichtsbehörde muss mindestens die Beschreibung der Art der Verletzung, die Angabe von Kategorien und ungefährer Zahl der Betroffenen und der Datensätze enthalten. Außerdem ist Name und Kontakt des Datenschutzbeauftragten zu benennen. Abschließend hat eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung, sowie der von dem Verantwortlichen ergriffenen und vorgeschlagenen Maßnahmen zur Behebung zu erfolgen.
  • Es muss im Unternehmen geregelt sein/werden, wie die interne Meldung und an wen (Verantwortlicher/betrieblicher Datenschutzbeauftragter/IT-Sicherheitsbeauftragter) zu erfolgen hat.
  • Ist eine Meldung notwendig, sind aber noch keine Einzelheiten der Verletzung bekannt, sollte innerhalb der 72 Stunden eine kurze Meldung an die Aufsichtsbehörde erfolgen mit dem Hinweis, dass weitere Einzelheiten folgen werden.
4. Für wen gilt die Meldepflicht?
  1. Adressat der Regelung ist jeder Verantwortliche im Sinne der DSGVO, in der Regel wird das im Unternehmen der Datenschutzbeauftragte, der Geschäftsführer oder der Inhaber des Betriebes sein. Grundsätzlich ist das jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die – allein oder gemeinsam – über die Zwecke und Mittel der Verarbeitung entscheidet. Innerhalb eines Unternehmensverbundes können auch mehrere als gemeinsam Verantwortliche kooperieren, sogenannte Joint Controllers. Liegt eine Auftragsverarbeitung vor, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unverzüglich zu informieren. Dieser nimmt dann die Meldung an die Aufsichtsbehörde vor.

II. Benachrichtigungspflicht gegenüber dem Betroffenen

  1. Wann ist zu benachrichtigen? Hat die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person zur Folge, hat der Verantwortliche den Verstoß nicht wie dargestellt nur der zuständigen Aufsichtsbehörde zu melden, sondern muss darüber hinaus die betroffene Person ohne unangemessene Verzögerung benachrichtigen. Hier erfolgt also eine zweistufige Überprüfung des Vorfalls: liegt ein Verstoß vor und führt dies zu einem hohen Risiko für den Betroffenen. Nur wenn beides bejaht wird, muss der Betroffenen informiert werden, andernfalls bleibt es gegebenenfalls bei der Meldepflicht gegenüber der Aufsichtsbehörde.
  2. Ausnahme von der Benachrichtigungspflicht? Eine Benachrichtigung muss nicht erfolgen, wenn
    • kein hohes Risiko für den Betroffenen besteht oder
    • Risiken für die betroffene Person durch geeignete technische und organisatorische Sicherheitsvorkehrungen ausgeschlossen wurden oder
    • der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für Rechte und Freiheiten der betroffenen Person nicht mehr besteht oder
dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat eine öffentliche Bekanntmachung oder
ähnliches zu erfolgen.
3. Inhalt der Benachrichtigung
Die Benachrichtigung muss Angaben über die Art der Verletzung, die wahrscheinlichen Folgen sowie die zur Behebung ergriffenen oder vorgeschlagenen Maßnahmen enthalten. Diese Angaben müssen in klarer und einfacher Sprache abgefasst werden. Darüber hinaus sind Name und Kontakt des Datenschutzbeauftragten zu nennen.

III. Was passiert bei verstoß gegen die Melde-/ oder Benachrichtigungspflicht?

Die DSGVO sieht vor, dass bei einem Verstoß gegen die Pflichten aus Artikel 33 und 34 Bußgeldern von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Es empfiehlt sich daher, die Bestimmungen der DSGVO genau einzuhalten und seinen Verpflichtungen nachzukommen.

Rechtliche Grundlagen:
Art. 4 Nr. 12 DSGVO
Art. 33 DSGVO
Art. 34 DSGVO
Art. 83 DSGVO
sowie die dazugehörigen Erwägungsgründe
Weitere Dokumente:
Hinweise des Bayerischen Landesamts für Datenschutzaufsicht: https://www.lda.bayern.de/media/baylda_ds-gvo_8_data_breach_notification.pdf