• Mehr als 25 Jahre Erfahrung
  • Individuelle betriebswirtschaftliche Beratung
  • Praxisorientiert mit Know-how
Start » Lexikon » Meldepflicht von Datenpannen

Wissenswertes

Lexikon

Meldepflicht von Datenpannen

Art 33, 34 DSGVO

Die im Rahmen der DSGVO neu geschaffenen Art. 33, 34 DSGVO regeln, wann und wem gegenüber Verantwortliche eine Verletzung des Schutzes personenbezogener Daten zu melden haben. Hierbei unterscheidet die DSGVO noch einmal zwischen einer Meldung gegenüber der Aufsichtsbehörde sowie gegenüber den betroffenen Personen.

Mit den Pflichten aus Art. 33, 34 DSGVO soll insbesondere Transparenz über stattgefundene Datenschutzverletzungen geschaffen werden und es den Datenschutzbehörden und Betroffenen erleichtert werden, aus der Datenschutzverletzung resultierende Folgeschäden zu vermeiden bzw. zu minimieren. Zugleich sollen die Regelungen auch präventive Wirkung entfalten, indem sie für die Normadressaten einen Anreiz schaffen, Maßnahmen zur Verhinderung von meldepflichtigen Ereignissen zu ergreifen.

Den Meldepflichten nicht nachzukommen, kann mit einem Bußgeld von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden.

Art. 33 DSGVO Meldung von Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Meldepflicht)

Nach Art. 33 DSGVO hat der Verantwortliche Verletzungen des Schutzes personenbezogener Daten unverzüglich der gem. Art. 51 DSGVO zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Der Begriff „unverzüglich“ ist für den juristischen Sprachgebrauch legaldefiniert als „ohne schuldhaftes Zögern“ (§ 221 BGB). Dies bedeutet, dass die Meldung keineswegs sofort nach Bemerken der Datenpanne erfolgen muss. Eine Verzögerung muss jedoch durch die verantwortliche Stelle begründet werden können.

Art. 33 DSGVO steht dabei in unmittelbarem sachlichem Zusammenhang mit dem nachfolgenden Art. 34 DSGVO, wonach neben den Aufsichtsbehörden ggf. auch die Betroffenen selbst von der Datenschutzverletzung zu benachrichtigen sind.

Meldepflichtig ist gem. Art. 33 Abs. 1 DSGVO nur der für die Datenverarbeitung Verantwortliche. Ist die Datenverarbeitung an einen Auftragsverarbeiter ausgelagert und entsteht die Datenschutzverletzung in dessen Sphäre, hat er nach Art. 33 Abs. 2 DSGVO unverzüglich den Verantwortlichen zu informieren, der wiederrum die Meldung an die Behörde vornimmt.

Die Datenschutzverletzung ist der Aufsichtsbehörde „unverzüglich“, möglichst binnen 72 Stunden, nach Bekanntwerden zu melden. Diese Frist sollte nur überschritten werden, wenn die Überschreitung ihrerseits begründet werden kann. Sollten dem Verantwortlichen zum Zeitpunkt der Meldung noch nicht alle Informationen vorliegen, muss er die Meldung trotzdem durchführen. Dies ist die sogenannte vorläufige Meldung. Sobald er weitere Informationen zum Sachverhalt erlangt, hat er diese an die Aufsichtsbehörde nachzumelden.

Anforderungen an Form und Inhalt der Meldung an die Aufsichtsbehörde

Art. 33 Abs. 3 DSGVO macht explizite Vorgaben zum Mindestinhalt der Meldung der Datenschutzverletzung gegenüber der Aufsichtsbehörde. Danach muss die Meldung zumindest folgende Informationen enthalten:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Dokumentation von Datenschutzverletzungen

Um der Aufsichtsbehörde die Überprüfung der Einhaltung der Meldepflicht nach Art. 33 Abs. 5 DSGVO zu ermöglichen, ist der für die Verarbeitung Verantwortliche zur Dokumentation von Verletzungen des Schutzes personenbezogener Daten verpflichtet. Zu dokumentieren ist die Datenschutzverletzung einschließlich aller Auswirkungen und ergriffenen Abhilfemaßnahmen, die im Zusammenhang mit der Verletzung stehen. Die zu dokumentierenden Informationen gehen insofern über den Mindestinhalt des Abs. 2 DSGVO hinaus, der eine Meldung der Datenschutzverletzung gegenüber der Behörde zum Inhalt hat. Die Aufsichtsbehörde kann die Bereitstellung der Dokumentation nach Art. 58 Abs. 1 lit. a) DSGVO verlangen.

Benachrichtigung der verletzen Person gemäß Art. 34 DSGVO

Hat die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, sind nach Art 34 Abs.1 DSGVO die betroffenen Personen unverzüglich zu benachrichtigen.

Nach Abs. 2 ist die Benachrichtig in einfacher Sprache zu formulieren und hat als Mindestanforderung die in Art 33 Abs. 3 lit. b), c) und d) genannten Informationen zu enthalten.

Der Verordnungsgeber hat jedoch mit dem Abs. 3 einen allumfassenden Ausnahmenkatalog geschaffen, der eine Pflicht zur Benachrichtigung des Betroffenen unter den Voraussetzungen der lit. a), b) und c) ausschließt. Demnach müssen die betroffenen Personen nicht benachrichtigt werden, wenn

  • der Verantwortliche geeignete TOMs getroffen hat und diese auf die Verletzung der personenbezogenen Daten angewandt wurden;
  • durch Abhilfemaßnahmen wahrscheinlich nicht weiterhin ein hohes Risiko besteht;
  • die Meldung einen unverhältnismäßigen Aufwand bedeuten würde (in diesem Fall muss stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen).