Prozess für die Meldung von Datenschutzverstößen

In der EU-DSGVO werden unter dem Begriff der "Verletzung des Schutzes personenbezogener Daten" alle Fälle von Datenschutzverstößen zusammengefasst, die (ob unbeabsichtigt oder unrechtmäßig) zur Vernichtung, zum Verlust oder zur Veränderung, oder zur unbefugten Offenlegung von (beziehungs­weise zum unbefugten Zugang zu) personenbezogenen Daten führen oder führen können. Bei einer Verletzung des Schutzes personenbezogener Daten muss die verantwortliche Stelle gemäß Art. 33 Abs. 1 EU-DSGVO "möglichst binnen 72 Stunden" nach Bekanntwerden dieser Verletzung eine diesbezügliche Meldung an die Aufsichtsbehörde abgeben. Die Meldepflicht besteht nur dann nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Im Vergleich zu den bisherigen Regelungen auf Bundes- und Länderebene muss für die Meldepflicht zukünftig kein schwerwiegendes Risiko für den Betroffenen mehr vorliegen, sondern es reicht bereits jegliches (nicht auszuschließendes) Risiko für eine natürliche Person aus. Zukünftig löst außerdem nicht nur die unberechtigte Kenntnisnahme durch Dritte eine Meldepflicht aus, sondern z.B. bereits eine (versehentliche oder vorsätzliche) Löschung oder Vernichtung von personenbezogenen Daten. Zusätzlich beschränkt sich die Pflicht zur Information der Aufsichtsbehörde nicht mehr nur auf wenige besonders sensible Daten, sondern greift bereits dann, sobald sich aus der Verletzung jeder Art von personenbezogenen Daten irgendein erkennbares (nicht nur hohes) Risiko für die Rechte und Freiheiten der Betroffenen ergibt. Beispiele für meldepflichtige Datenpannen können u.a. sein:

  • Fehlversendungen per Post oder E-Mail,
  • Verlust von Aktenordnern,
  • Verlust von Datenträgern,
  • für Unbefugte einsehbare Dokumente oder einsehbarer Monitor, sofern personenbezogene Daten enthalten oder gespeichert sind.

Wie eng dies im Einzelfall zu sehen und zu handhaben ist, wird man künftig noch sehen müssen. Auch die Aufsichtsbehörden dürften vermutlich wenig Interesse daran haben, mit Meldungen von Bagatellfällen überschüttet zu werden. Dennoch sollte die nach der EU-DSGVO sehr eng gefasste Definition von melde- und vor allem von dokumentationspflichtigen Datenschutzverstößen dazu beitragen, bei allen mit der Verarbeitung von personenbezogenen Daten befassten Mitarbeiterinnen und Mitarbeitern die Aufmerksamkeit für den Datenschutz zu schärfen.

Im Falle einer Meldepflicht sind der Aufsichtsbehörde gemäß Art. 33 Abs. 3 EU-DSGVO verschiedene Informationen zu übermitteln, z.B. Art und Ausmaß der Datenschutzverletzung sowie der Name des Datenschutzbeauftragten. Kann eine Meldung an die Aufsichtsbehörde nicht innerhalb von 72 Stunden erfolgen, so ist der späteren Meldung gemäß Art. 33 Abs. 1 EU-DSGVO eine Begründung für die Verzögerung beizufügen.

Sofern sich aus der Verletzung von personenbezogenen Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte der Betroffenen ergibt, hat gemäß Art. 34 Abs. 1 EU-DSGVO zusätzlich eine Meldung an die Betroffenen zu erfolgen. Eine Meldepflicht gegenüber den Betroffenen besteht nur dann nicht, wenn der Verantwortliche nachweislich vorab geeignete technische und/oder organisatorische Maßnahmen getroffen hat, durch welche jeglicher verwertbare Zugang zu den Daten ausgeschlossen werden kann. Als solch eine Maßnahme kann z.B. gemäß Art. 34 Abs. 3 EU-DSGVO die Verschlüsse­lung der Daten angesehen werden.

Eine Meldepflicht besteht nach Art. 34 Abs. 3 EU-DSGVO zudem dann nicht, wenn durch nachträgliche Maßnahmen ein hohes Risiko für die Betroffenen nicht mehr besteht oder wenn die Meldung an die Betroffenen mit unverhältnismäßigem Aufwand verbunden wäre. In letzterem Fall hat die Meldung der Verletzung des Datenschutzes dann nicht gegenüber den Betroffenen, sondern in allgemeiner Form öffentlich zu erfolgen.

Im Gegensatz zu der bisherigen Regelung ist ausnahmslos jeder Fall einer Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 Abs. 5 EU-DSGVO durch den Verantwortlichen zu dokumentieren. Dies gilt selbst dann, wenn sich aus der Abwägung der Risiken für die Betroffenen keine Meldepflicht ergibt. Die Dokumentation muss die zugrundeliegenden Fakten, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen enthalten. Weiterhin muss die Dokumentation ggf. der Aufsichtsbehörde gemäß Art. 33 Abs. 5 EU-DSGVO vorgelegt werden, damit diese die Einhaltung der Meldepflichten und die Abwägungen in den einzelnen Fällen überprüfen kann.

Jede Verletzung des Schutzes personenbezogener Daten mit einem nicht auszuschließenden Risiko für die Betroffenen ist unter Bereitstellung aller erforderlichen Informationen unverzüglich an den CIO und den DSB sowie den IT-Sicherheitsbeauftragten und das GITZ zu melden. Diese ermitteln anhand der zur Verfügung gestellten Informationen, ob eine Meldepflicht an die Landesbeauftragte für den Datenschutz (LfD) und evtl. an die Betroffenen besteht.

Auf der Seite der LfD steht ein Formular zur Meldung von Datenschutzverstößen zur Verfügung.

Online-Formular


Glossar