Gehen Daten verloren und werden sie insbesondere Dritten zugänglich, so sieht die DSGVO schon in einfachen Fällen scharfe Meldepflichten innerhalb kürzester Zeit vor. Ein verlorener USB-Stick kann schon reichen. Drohen Kunden oder Mitarbeitern dadurch erhebliche Nachteile, müssen auch sie sofort informiert werden.

Fragt man die Aufsichtsbehörden, was dort im Jahr 2019 neben den unzähligen Beschwerden für die meiste Arbeit gesorgt hat, wird das Gespräch schnell auf die enorme Anzahl von Meldungen nach Art. 33 DSGVO kommen. Die DSGVO sieht vor, dass Verletzungen des Schutzes personenbezogener Daten bereits dann zu melden sind, wenn diese zu „einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führen. Damit beschränken sich die Anforderungen also nicht auf besonders schwere Datenlecks, sondern umfassen nahezu jeden Verlust persönlicher Informationen.

Die Aufsichtsbehörden fassen die Anwendbarkeit weit, wenn auch nicht immer einheitlich. So kann bereits eine falsch verschickte E-Mail oder ein falsch adressierter Brief ausreichen. Umstritten ist, ob der Verlust eines USB-Sticks mit Kundendaten eine Meldepflicht nach sich zieht. Man kann aber wohl inzwischen davon ausgehen, dass dies zumindest dann nicht der Fall ist, wenn die Informationen nach dem Stand der Technik verschlüsselt sind. Nicht umstritten ist die Verpflichtung, umfangreiche Datenpannen oder Malware-Angriffe weiterzugeben.

Eile ist geboten

Die Meldung muss unverzüglich und „möglichst binnen 72 Stunden“ ab Kenntnis des Vorfalls erfolgen. Diese extrem kurze Frist lässt dem Betroffenen kaum Zeit für eine Aufarbeitung der Geschehnisse. Wird eine Überschreitung dieser Frist nötig, sollte der Verantwortliche hierfür gute Argumente haben. Welche Inhalte die zu übermittelnde Meldung aufweisen muss, regelt Art. 33 Abs. 3 der DSGVO. Danach sind folgende Informationen Pflicht:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • der Name und die Kontaktdaten des Datenschutzbeauftragten (…);
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Damit nicht genug müssen die Datenschutzverletzungen „einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen“ von dem Verantwortlichen dokumentiert werden. In der Praxis bedeutet dies, dass ein umfangreiches Protokoll der Geschehnisse sowie der ergriffenen Maßnahmen anzufertigen ist. Ziel ist es, der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen von Art. 33 zu ermöglich.

Meldepflichten: Nachricht an Kunden und Mitarbeiter

Doch die Verpflichtungen des Verantwortlichen können sogar noch weiter gehen. Hat die Datenpanne „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ zur Folge, ist die betroffene Person unverzüglich von der Verletzung zu benachrichtigen. Da hier ein „hohes Risiko“ erforderlich ist, liegen die Anforderungen höher als bei einer Meldung an die Behörden.

Die Benachrichtigung betroffener Personen muss stets „unverzüglich“, also so rasch wie möglich erfolgen. Umso wichtiger ist es, sich auf solche Notfälle angemessen vorzubereiten. Hierzu gehört es insbesondere, ein interdisziplinäres Team auch aus externen Profis ins Leben zu rufen, dass kurzfristig verfügbar ist und schnell reagieren kann.

Autor: Joerg Heidrich, Fachanwalt für IT-Recht, Kanzlei Heidrich Rechtsanwälte in Hannover, www.recht-im-internet.de

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Ein ungebrochener Trend und ein Dauerbrennpunkt im Bereich des Datenschutzrechtes ist das Thema Videoüberwachung. Es ist eines der wichtigsten Schwerpunkte in der Arbeit der Datenschutzbehörden und häufiger Gegenstand in datenschutzpolitischen Diskussionen. Was ist...

    read more
    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Einstellung Matomo ermöglicht das Tracking von Webseitenbesucherinnen und -besuchern mittels Cookies oder JavaScript. Auch im Hinblick auf die zunehmende Verbreitung von Schutzmechanismen in Webbrowsern ist ein Tracking per JavaScript dem Tracking durch...

    read more
    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Rechtliche Anforderungen an den Einsatz von Microsoft 365

    Teil 1: Microsoft 365: Aufsichtsbehörden im Fokus – Was sagen die Datenschützer?   Dies ist der Auftakt einer Beitragsreihe zur rechtskonformen Nutzung von Anwendungen und Diensten der cloudbasierten „Produktivitätsplattform“ Microsoft 365 (Word, Excel,...

    read more