In der DSGVO normierte Meldepflicht bei einem Datenschutzvorfall
Letzte Aktualisierung am: 10. September 2024
Geschätzte Lesezeit: 6 Minuten
Wann sind Datenpannen zu melden?
Sie sitzen im Zug und jemand stiehlt Ihren Laptop samt USB-Stick. Personenbezogene Daten gelangen durch den Fehler eines Mitarbeiters an die Öffentlichkeit. Hacker haben ihr Unternehmen angegriffen. Derartige Datenpannen können sehr riskant werden für die betroffenen Personen, insbesondere wenn deren Daten in die falschen Hände gelangen.
Solche Fälle müssen schnell aufgeklärt und Maßnahmen eingeleitet werden, um die Risiken für die Betroffenen zu minimieren und um mögliche Schäden abzuwenden. Deshalb sieht Art. 33 DSGVO eine Meldepflicht für jede Datenpanne bzw. für jede „Verletzung des Schutzes personenbezogener Daten“ vor, die mit den erwähnten Gefahren einhergehen.
Inhaltsverzeichnis:
FAQ: In der DSGVO normierte Meldepflicht
Ein Verstoß gegen den Datenschutz im Sinne des Art. 33 DSGVO meint eine „Verletzung des Schutzes personenbezogener Daten“, zum Beispiel indem Hacker solche Daten bei einem Cyber-Angriff abschöpfen. An dieser Stelle erklären wir den Begriff ausführlicher.
Ja. Art. 33 DSGVO schreibt eine Meldepflicht für jede Datenschutzverletzung in Bezug auf personenbezogene Daten vor, vorausgesetzt, dass diese Panne mit einem Risiko für den/die Betroffenen einhergeht. Der Vorfall ist der zuständigen Aufsichtsbehörde zu melden. Darüber hinaus schreibt § 65 BDSG eine Meldung an den oder die Bundesbeauftragten vor.
Die Meldung hat unverzüglich, also ohne schuldhaftes Zögern, und möglichst innerhalb von 72 Stunden ab Bekanntwerden der Datenschutzverletzung erfolgen.
Ein Verstoß gegen die Meldepflicht gemäß DSGVO kann ein Bußgeldverfahren nach sich ziehen und laut Art. 83 IV a) DSGVO zu einem Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweit erzielten Vorjahresumsatzes führen.
Begriff der Datenschutzverletzung im Sinne des Art. 33 DSGVO
Als Datenpanne gilt jede „Verletzung des Schutzes personenbezogener Daten“ in Sinne des Art. 4 Nr. 12 DSGVO. Einfach ausgedrückt, ist damit jedes versehentliche oder beabsichtigte Fehlverhalten gemeint, das zum Verlust, zur Vernichtung, Veränderung, unbefugten Offenlegung oder zum unbefugten Zugriff auf diese Daten führt.
In solchen Fällen besteht laut DSGVO eine Meldepflicht gegenüber der Aufsichtsbehörde. Typische Beispiele für derartige Datenpannen sind:
- Verlust von Kommunikationsgeräten und mobilen Datenträgern wie Smartphone, Tablet, Laptop, USB-Stick, etwa durch Diebstahl oder Vergessen bzw. Liegenlassen an öffentlichen Plätzen
- Verlust, Diebstahl oder unsicherer Lagen von Akten, Unterlagen und Dokumenten
- Versenden von personenbezogenen Daten an den falschen Empfänger
- Akten oder Datenträger werden nicht datenschutzgerecht entsorgt und geraten in die falschen Hände, wie beispielsweise im Falle von Betriebsspionage
- Unbefugte bzw. Kriminelle gelangen durch einen Hacker-Angriff oder Phishing an personenbezogene Daten
Allerdings besteht die in der DSGVO normierte Meldepflicht nur in jenen Fällen, in denen die Datenschutzverletzung zu einem Risiko für die Freiheiten und Rechte der betroffenen Personen führt. Besteht sogar ein hohes Risiko, muss der Verantwortliche laut Art. 34 DSGVO außerdem die Betroffenen benachrichtigen. Diese Benachrichtigungspflicht entfällt insbesondere, wenn der Verantwortliche „geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen“ und die personenbezogenen Daten z. B. verschlüsselt hat.
Die Verantwortlichen unterliegen einer Dokumentationspflicht und müssen jeden Datenschutzvorfall genau dokumentieren und anschließend bewerten, ob laut Datenschutz eine Meldepflicht besteht oder nicht.
In Art. 33 III DSGVO normierte Meldepflicht: Inhalt und Frist
Art. 33 III DSGVO listet genau auf, welche Informationen die Meldung mindestens enthalten muss:
- Art der Datenschutzverletzung, z. B. Hackerangriff oder Diebstahl
- Kategorien der betroffenen Personen, z. B. Mitarbeiter, Kunden etc.
- wie viel Personen sind betroffen?
- Kategorie der betroffenen Datensätze
- Name und Anschrift des Datenschutzbeauftragten
- voraussichtliche Folgen des Datenschutzverstoßes, beispielsweise finanzielle Schäden
- bereits ergriffene oder geplante Schutzmaßnahmen
- weitere noch denkbare Gegenmaßnahmen
Auch wenn die in der DSGVO normierte Meldepflicht keine Vorgaben dazu macht, wie diese Meldung erfolgen soll, ist ein Brief per Einschreiben oder Fax ratsam. So können die Verantwortlichen nachweisen, dass sie ihren Pflichten nachgekommen sind. Auch empfiehlt es sich, die Aufsichtsbehörde zuvor telefonisch zu informieren.
Laut DSGVO sind meldepflichtige Vorfälle unverzüglich zu melden, möglichst aber innerhalb von 72 Stunden nach Bekanntwerden der Datenpanne. Unverzüglich bedeutet, so schnell wie möglich bzw. ohne schuldhaftes Zögern.
Insbesondere bei sehr komplexen oder großen Datenpannen brauchen die Verantwortlichen mitunter mehr Zeit um, alle Informationen zusammenzutragen und zu ermitteln. Sind sie deshalb nicht in der Lage, alle Informationen auf einmal zu melden, so können sie sie auch in mehreren Schritten zur Verfügung stellen, sofern es dadurch nicht zu weiteren unangemessenen Verzögerungen kommt.
Art. 83 DSGVO: Verstoß gegen Meldepflicht kann zu millionenschwerem Bußgeld führen
Verstoßen die Verantwortlichen nach einem Datenschutzverstoß gegen die Meldepflicht, so kann die Aufsichtsbehörde ein eine Geldbuße von bis zu 10 Millionen Euro oder bei einem Unternehmen von bis zu 2 % des weltweit erzielten Vorjahresumsatzes verhängen – je nachdem, welcher Betrag höher ausfällt.
Die Behörde hat bei der Verhängung des Bußgeldes einen gewissen Ermessensspielraum. Sie wird dabei unter anderem folgende Dinge berücksichtigen:
- Art und Schwere sowie Dauer des Verstoßes
- Vorsatz oder Fahrlässigkeit
- mögliche frühere Verstöße
- zur Schadensminderung getroffene Maßnahmen
- Grad der Verantwortung
- bisherige Zusammenarbeit mit der Aufsichtsbehörde zur Abhilfe und Schadensminderung
- Kategorie der betroffenen personenbezogenen Daten
- Art und Weise, wie die Aufsichtsbehörde von dem Vorfall erfahren hat
Alte Rechtslage bis 2017: Meldepflicht nach dem BDSG für automatisierte Datenverarbeitung
Vor Inkrafttreten der DSGVO galt eine Meldepflicht für die automatisierte Datenverarbeitung durch nicht-öffentliche Stellen:
Wenn Unternehmen bei ihrer Arbeit automatisiert personenbezogene Daten nutzten, erhoben oder verarbeiteten, mussten sie ihrer Meldepflicht nach § 4d Bundesdatenschutzgesetz alte Fassung (BDSG a. F.) nachkommen.
Sie waren demnach verpflichtet, die automatisierte Datenverarbeitung und die damit verbundene Speicherung personenbezogener Daten bei der zuständigen Datenschutzbehörde zu melden.
Ohne eine entsprechende Meldung durften große Datensammlungen mit personenbezogenen Daten weder angelegt noch verwendet werden.
Diese Meldepflicht erleichterte es dem Gesetzgeber, die Regelungen zum Datenschutz so umzusetzen, wie es in der EU-Datenschutz-Grundverordnung (EU-DSGVO) vorgeschrieben ist. Inzwischen ist der alte § 4d BDSG ersatzlos weggefallen. Die nachfolgenden Abschnitte erläutern diese alte Rechtslage.
Meldepflicht nach § 4d BDSG a. F.
Grundsätzlich galt diese Datenschutz-Meldepflicht für alle Verfahren, bei denen personenbezogenen Daten automatisiert verarbeitet wurden, insbesondere für:
- die Verwaltung von Kunden- und Lieferantendaten, z. B. für einen Onlineshop
- die Verwaltung von Bank- und Kreditdaten eines Kreditinstituts
- die Erfassung von Telefondaten
- die Videoüberwachung
Diese Meldepflicht galt nach § 4d Absatz 4 BDSG a. F. ausnahmslos für automatisierte Verarbeitungsverfahren, wenn personenbezogene Daten geschäftsmäßig aus folgenden Gründen gespeichert wurden:
- zum Zweck der Übermittlung nach § 29 BDSG a. F. (Hierunter fielen insbesondere der Adresshandel, Werbung und Auskunfteien.)
- für die anonymisierte Übermittlung im Sinne von § 30 BDSG a. F.
- für die Markt- und Meinungsforschung gemäß § 30 a BDSG a. F.
Wer musste melden?
Zur Meldung verpflichtet war immer die Stelle, die für die Verarbeitung der personenbezogenen Daten verantwortlich war.
Unternehmen konnten diese Pflicht nicht dadurch abwälzen, dass sie ein anderes Dienstleistungsunternehmen mit der Datenverarbeitung beauftragten. Dies geht aus § 11 BDSG a. F. hervor. Das heißt, die Meldepflicht zum Datenschutz blieb auch im Falle einer solchen Beauftragung bestehen.
Wann musste die Meldung erfolgen?
Die Meldung hatte bereits vor der Inbetriebnahme der entsprechenden Datenverarbeitung zu erfolgen. Auch Änderungen zu den meldepflichtigen Verfahren und deren Beendigung mussten vorher gemeldet werden.
Ausnahmen von der Meldepflicht zum Datenschutz nach § 4d BDSG a. F.
Wurden personenbezogene Daten zu anderen Zwecken gespeichert bzw. verarbeitet, konnte diese Verpflichtung unter bestimmten Voraussetzungen entfallen. Hatte die verantwortliche Stelle einen betrieblichen Datenschutzbeauftragten (DSB) bestellt, so entfiel diese Meldepflicht nach § 4 Absatz 2 BDSG a. F.
Eine weitere Ausnahme sah Absatz 3 dieser Vorschrift vor. Sie griff unter folgenden Voraussetzungen:
- Die verantwortliche Stelle erhob, verarbeitete oder nutzte diese Daten nur für eigene Zwecke.
- In der Regel waren maximal neun Personen mit der Erhebung, Nutzung oder Verarbeitung beschäftigt.
- Es lag eine Einwilligung der betroffenen Personen vor.
- Die Erhebung, Nutzung oder Verarbeitung diente der Begründung, Durchführung oder Beendigung eines Schuldverhältnisses mit dem Betroffenen.
Was musste gemeldet werden – Der Inhalt der Meldung
Der Inhalt der Meldung ergab sich aus § 4e BDSG a. F. Danach waren folgende Angaben zu machen:
- Firmenname der verantwortlichen Stelle
- Name der Firmenleitung und idealerweise Name des Datenschutzbeauftragten
- Anschrift der Firma bzw. verantwortlichen Stelle
- Zweck der Datenverarbeitung, -erhebung oder -nutzung
- Übersicht zu den betroffenen Personen, deren Daten erfasst werden
- Empfänger der Daten bzw. Kategorien von Empfängern
- Fristen für die Datenlöschung
- Datenübermittlung an Drittstaaten, soweit diese geplant sind
- eine Beschreibung zur Datensicherheit bzw. zu getroffenen Sicherheitsmaßnahmen
Verletzung der Meldepflicht
Verstöße gegen die Pflicht stellten eine Ordnungswidrigkeit dar. Wenn ein Verantwortlicher seine Meldung unterließ oder ihr zu spät bzw. nur unvollständig nachkam, riskierte er ein Bußgeld in Höhe von 50.000 Euro.
Konnten wir Ihnen weiterhelfen? Dann bewerten Sie uns bitte:
Hallo.! 29.09.2018. Seit nun mehr von 20 Jahren steht in meinen PA die Anschrift meiner Hauptwohnung. Dies wiederum wird mir eine Schriftliche Nutzungsuntersagung ausgeschrieben per 03.09.2018. Grund es gibt im Deutschen Gestz – Gesetze die sich koliedieren was nun Meldeplicht , Meldegesetz , Bedgriff Wohnung alles eingehalten, Androhung des Entzuges der Anschrift.
Wer möchte Unterlagen einsehen bzw oder hat einen Tipp für mich bin für jeden Hinweis Dankbar Für eine Nachricht auf meiner e – mail bedanke ich mich im voraus. M.f.G. D. Schuh