Meldepflicht bei Datenschutzverletzungen

Die Gründe für Datenschutzverstöße können vielfältig sein, wie z.B. falsches Verhalten von Mitarbeitern oder fehlerhaft konfigurierte IT-Systeme. Ob Datenpanne oder vorsätzlicher Verstoß, bei Bekanntwerden ist eine Meldung notwendig. Andernfalls droht ein noch erheblich größerer Schaden. Was logisch klingt, führt dennoch in der Praxis immer wieder zu Schwierigkeiten. Hier einige Beispiele, weshalb Verletzungen im Datenschutz nicht weitergetragen werden.
 

• Kein oder geringes Bewusstsein der Mitarbeiter zur Relevanz von Datenschutz und IT-Sicherheit und wenig praktisches Verständnis (Awareness)
   
• Angst vor Repressalien, z.B. bei Verlust eines USB-Sticks durch einen Mitarbeiter
   
• Unklare Zuständigkeiten aufgrund des Fehlens einer zentralen Meldestelle oder einer nicht definierten Informationskette
   
• Es ist kein Meldeprozess implementiert, Mitarbeitern steht keine Meldevorlage zur Verfügung

Arten der Meldung

Je nach Kontext ist womöglich nicht immer klar, was mit einer Meldung gemeint ist bzw. an wen sich diese richten sollte. Wir unterscheiden zwischen zwei Arten.
 

1. Meldung innerhalb der eigenen Organisation
   an die für den Datenschutz verantwortliche Person, wie z.B. den externen Datenschutzbeauftragten.
    
2. Meldung an die zuständige Aufsichtsbehörde
   durch den für den Datenschutz Verantwortlichen.

Rechtsgrundlagen zur Meldepflicht

Art. 33, Abs. 1 DSGVO:
"Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen."

Risiken im Zusammenhang mit der Meldung von Verstößen

Sobald jemand innerhalb der Organisation von einem Verstoß gegen datenschutzrechtliche Vorschriften erfährt, ist richtiges Handeln gefragt. Immerhin bestehen erhebliche Risiken, die es auszuschließen oder wenigstens zu reduzieren gilt.
 

• Verspätete Meldung der Datenschutzverletzung
  Wird ein meldepflichtiger Datenschutz-Verstoß erst nach Ablauf der Meldefrist an die Aufsichtsbehörde übermittelt, kann sich dies auf die Höhe des Bußgeldes auswirken
   
• Keine zeitnahe fachliche Bewertung des Risikos
  Folgt die interne Mitteilung über einen Verstoß nicht zeitnah oder setzt sich der Verantwortliche nicht umgehend mit dem Vorgang auseinander, führt dies zu einer unnötigen Verschärfung der Situation
   
• Fahrlässiges Verhalten
  Ein Fehlverhalten, wie z.B. das Verschweigen meldepflichtiger Vorfälle, ist besonders riskant. Bei Bekanntwerden der Datenschutzverletzung kann eine drakonische Strafe drohen
   
• Vergrößerung des Schadens
  Wird ein Vorfall nicht umgehend intern weitergetragen, könnte sich dessen Ausmaß noch vergrößern, weil z.B. ein Datenleck bestehen bleibt.

Verletzungen zeitnah melden – so gelingt es!

Awareness der Mitarbeiter stärken: Zunächst ist es entscheidend, dass Datenpannen und andere Verstöße im Datenschutz von den Mitarbeitern als solche erkannt werden. Andernfalls können diese über längere Zeit bestehen und werden womöglich zuerst von außerhalb (z.B. durch Kunden, Partner oder gar die Medien) entdeckt.
 

• Zuständigkeiten regeln
  Klar definierte Verantwortlichkeiten helfen dabei, bei Erkennen einer Datenschutzverletzung die notwendigen Hebel in Bewegung zu setzen und damit Ausmaß sowie Konsequenzen des Vorgangs so gering wie möglich zu halten.
   
• Meldeprozess entwickeln und implementieren
  Der richtige Prozess stellt sicher, dass Verletzungen im Datenschutz rasch intern gemeldet werden können und hierbei den richtigen Weg nehmen. Darüber hinaus lässt er sich so abstimmen, dass im Ernstfall schnell entschieden ist, ob eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde besteht und welche konkreten Informationen an diese weiterzuleiten sind.

Wie Datenschutzspezialisten weiterhelfen?

Unsere Unterstützung erfolgt zielgerichtet nach Bedarf. Angenommen es besteht noch kein Meldeprozess, so führen wir zunächst eine Analyse durch und entwickeln anschließend eine maßgeschneiderte Lösung. Ebenso ist es möglich, bereits umgesetzte Datenschutzlösungen auf den Prüfstand zu stellen.

Profitieren Sie hierbei von unserer langjährigen Erfahrung im betrieblichen Datenschutz und unserer praxisorientierten Herangehensweise. Deren Ergebnis sind zuverlässige und wirtschaftlich attraktive Lösungen. Gerne leisten wir Unterstützung bei Ihren Schulungen, bs indem wir mit Ihnen gemeinsam Inhalte abstecken. Auf Wunsch führen wir auch Schulungen durch.

Ob Meldung von Datenschutzverstößen oder andere Fachthemen, wie der sichere Umgang mit Bewerberdaten, Löschanfragen oder  Datenschutz-Folgeabschätzungen, unsere Datenschutzexperten unterstützen Sie gerne. Nutzen Sie unsere kostenlose Erstberatung.

Fragen & Antworten zum Thema

​➔ Abkürzungen