Umgang mit Datenpannen: Folgende Meldepflichten müssen Unternehmen beachten

Dr. Oliver Hornung - 15. Dezember 2017 - EU-DSGVO

Datenpannen treten trotz aller Vorsicht regelmäßig auf. Prominente Beispiele aus den letzten Monaten sind Uber, PYÜR (Primacom und Tele Columbus) oder Facebook. Sie können in verschiedener Art und Form auftreten, z.B.:

•    Löschung durch eine nicht autorisierte Person,
•    Abhandenkommen eines Schlüssels zur Entschlüsselung von Daten,
•    Unmöglichkeit der Wiederherstellung eines Backups,
•    Datendiebstahl (durch Hacking oder physisches Eindringen in eine geschützte Umgebung),
•    Befall durch Ransomware oder
•    Verlust eines mobilen, unverschlüsselten Datenträgers.

Mit diesem Beitrag soll daher in die neuen und im Vergleich zum bestehenden BDSG verschärften Meldepflichten bei Datenpannen eingeführt werden, um rechtliche und wirtschaftliche Nachteile sowie hohe Reputationsrisken nach Möglichkeit zu minimieren oder gar auszuschließen. Die Meldepflicht bei Datenschutzverletzungen gegenüber der Aufsichtsbehörde gem. Artikel 33 DSGVO und die Benachrichtigungspflicht der betroffenen Person gemäß Artikel 34 DSGVO sind im Vergleich zu der bisher geltenden Regelung des § 42a BDSG erheblich umfangreicher.


Meldepflicht gegenüber Aufsichtsbehörden – Art. 33 DSGVO


Adressat der Regelung ist jeder Verantwortliche im Sinne der DSGVO. Dies ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Liegt eine Auftragsverarbeitung nach Art. 28 DSGVO vor, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unverzüglich zu informieren, sodass dieser die Meldung an die Aufsichtsbehörde vornehmen kann.

Grundsätzlich ist ein Unternehmen verpflichtet, jede Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zu melden. Nach Art. 4 Nr. 12 DSGVO stellt jede Verletzung der Sicherheit, die unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust, zu Veränderungen oder zu unbefugten Offenlegungen von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, eine meldepflichtige Verletzung dar. Das ist eine erhebliche Erweiterung gegenüber den engen Meldepflichten nach § 42a BDSG.

Die Meldung ist unverzüglich und möglichst binnen 72 Stunden vorzunehmen. Kann diese Frist nicht eingehalten werden, ist der Meldung eine Begründung für die Verzögerung beizufügen.

Eine Meldung an die Aufsichtsbehörde kann ausnahmsweise unterbleiben, wenn die Datenschutzverletzung nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führt. Ein Risiko und somit eine Meldepflicht besteht nach Erwägungsgrund 75 der DSGVO unter anderem bei solchen Verarbeitungen, die zu einem physischen, materiellen oder immateriellen Schaden, Diskriminierung, Identitätsdiebstahl, Identitätsbetrug, finanziellem Verlust, Rufschädigung, Vertraulichkeitsverlust des Berufsgeheimnisses unterliegenden personenbezogenen Daten, unbefugter Aufhebung der Pseudonymisierung, erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen können. Die Meldung an die Aufsichtsbehörde muss mindestens

•    die Beschreibung der Art der Verletzung,
•    die Kategorien von betroffenen Daten,
•    die Anzahl der betroffenen Personen und der Datensätze,
•    eine Einschätzung der Folgen für die betroffene Person sowie
•    die Maßnahmen zur Ursachenbeseitigung bzw. zur Schadensminimierung bei der betroffenen Person umfassen.

Die Verpflichtung zur Meldung von Datenpannen an die Aufsichtsbehörden ist ernst zu nehmen. Eine Zuwiderhandlung kann mit einem möglichen Bußgeldrahmen von bis zu 10 Millionen Euro bzw. 2 Prozent des konzernweiten Umsatzes geahndet werden.



Sie möchten mehr über dieses Thema erfahren oder haben konkrete Fragen? Dann nehmen Sie gerne Kontakt zu unserem Experten auf:

Dr. Oliver Hornung
Tel. +49 69630001-65, Email: o.hornung@skwschwarz.de, SKW Schwarz Rechtsanwälte, Mörfelder Landstraße 117, 60598 Frankfurt am Main

Herr Hornung ist Rechtsanwalt und berät und betreut seit über 15 Jahren nationale und internationale IT-Dienstleister, Cloud Anbieter sowie IT-Anwender, hauptsächlich in IT-Projekten und IT-Outsourcing-Vorhaben, einschließlich notleidender Projekte und der dortigen Konfliktbewältigung. Seine Tätigkeit umfasst insbesondere auch die Beratung und Vertretung in Prozess-, Schlichtungs- und Schiedsverfahren. Ein weiterer Schwerpunkt von Dr. Oliver Hornung sind Fragen des Datenschutzes und der IT-Compliance. Im Urheberrecht und Wettbewerbsrecht begleitet Dr. Oliver Hornung die Verteidigung und Sicherung des geistigen Eigentums seiner Mandanten.


Praxisrelevante Tipps für Führungskräfte, Entscheider und Spezialisten

Archiv

2018 (28)
September (3) August (3) Juli (4) Juni (5) Mai (2) April (8) März (1) Februar (1) Januar (1)
2017 (20)
Dezember (2) November (1) Oktober (1) September (1) August (2) Juli (3) Juni (3) Mai (3) April (3) März (1)