Melde- und Benachrichtigungspflichten
Melde- und Benachrichtigungspflichten
Unternehmen unterliegen im Falle einer Verletzung des Schutzes personenbezogener Daten der Meldepflicht gegenüber der Aufsichtsbehörde und der Benachrichtigungspflicht gegenüber dem Betroffenen (Artikel 33 der Europäischen Datenschutz-Grundverordnung (DS-GVO).
Meldepflicht gegenüber Aufsichtsbehörde
Für wen gilt die Meldepflicht?
Adressat der Regelung ist jeder Verantwortliche im Sinne der DS-GVO. Dies ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die – allein oder gemeinsam – über die Zwecke und Mittel der Datenverarbeitung entscheidet. Innerhalb eines Unternehmensverbundes können auch mehrere als gemeinsam Verantwortliche kooperieren, sogenannte Joint Controllers. Liegt eine Auftragsverarbeitung vor, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unverzüglich zu informieren. Dieser nimmt dann die Meldung an die Aufsichtsbehörde vor.
Wann besteht die Meldepflicht?
Grundsätzlich ist ein Unternehmen verpflichtet, jede Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zu melden. Nach der DS-GVO stellt jede Verletzung der Sicherheit (egal ob unbeabsichtigt), die zur Vernichtung, zum Verlust, zur Veränderung, zum unbefugten Zugang, oder zur unbefugten Offenlegung von personenbezogenen Daten führt, eine meldepflichtige Verletzung dar.
Die Meldung ist unverzüglich und möglichst binnen 72 Stunden vorzunehmen. Kann die 72 Stunden-Frist nicht eingehalten werden, ist der Meldung eine Begründung für die Verzögerung beizufügen. Eine Meldung kann ausnahmsweise unterbleiben, wenn die Datenschutzverletzung nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.
Ein Risiko – und damit eine Meldepflicht – besteht immer bei Verarbeitungen, die
- zu physischem, materiellen oder immateriellen Schaden, Diskriminierung, Identitätsdiebstahl/-betrug, finanziellem Verlust, Rufschädigung, Vertraulichkeitsverlust von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugter Aufhebung der Pseudonymisierung, erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen können;
- betroffene Personen um Rechte und Freiheiten bringt oder diese an der Kontrolle personenbezogener Daten hindert;
- rassische oder ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, Gesundheitsdaten, Angaben zum Sexualleben, strafrechtliche Verurteilungen betreffen;
- Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Zuverlässigkeit, Verhalten, Aufenthaltsort, Ortswechsel, analysieren oder prognostizieren zwecks Profilings;
- personenbezogene Daten schutzbedürftiger Personen, insbesondere Kinder, betreffen
- große Mengen personenbezogener Daten und eine große Anzahl von Personen betreffen.
Was ist Inhalt der Meldung?
Die Meldung an die Aufsichtsbehörde muss mindestens die Beschreibung der Art der Verletzung, die Angabe von Kategorien und ungefährer Zahl der Betroffenen und der Datensätze enthalten. Außerdem ist – sofern die Pflicht zur Bestellung besteht – Name und Kontakt des Datenschutzbeauftragten zu benennen. Abschließend hat eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung, sowie der von dem Verantwortlichen ergriffenen und vorgeschlagenen Maßnahmen zur Behebung zu erfolgen.
Benachrichtigungspflicht gegenüber dem Betroffenen
Wann ist zu benachrichtigen?
Hat die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person zur Folge, hat der Verantwortliche den Verstoß nicht nur der zuständigen Aufsichtsbehörde zu melden, sondern muss darüber hinaus die betroffene Person ohne unangemessene Verzögerung benachrichtigen. Die Benachrichtigung sollte so rasch wie möglich und in enger Absprache mit der zuständigen Aufsichtsbehörde erfolgen.
Ausnahme von der Benachrichtigungspflicht
Eine Benachrichtigung muss nicht erfolgen, wenn
- Risiken für die betroffene Person durch geeignete technische und organisatorische Sicherheitsvorkehrungen ausgeschlossen wurden oder
- der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für Rechte und Freiheiten der betroffenen Person nicht mehr besteht oder
- dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen.
Inhalt der Benachrichtigung
Die Benachrichtigung muss Angaben über die Art der Verletzung, die wahrscheinlichen Folgen sowie die zur Behebung ergriffenen oder vorgeschlagenen Maßnahmen enthalten. Diese Angaben müssen in klarer und einfacher Sprache abgefasst werden. Darüber hinaus sind – sofern die Pflicht zur Bestellung besteht – Name und Kontakt des Datenschutzbeauftragten zu nennen.
Was passiert bei Verstoß gegen die Melde-/ oder Benachrichtigungspflicht?
Bei Verstoß gegen die Melde- und Benachrichtigungspflichten können gegen Unternehmen Bußgelder von bis zu 10 Millionen Euro oder zwei Prozent des weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres verhängt werden.
Quelle: IHK Stuttgart