Datenschutzmeldung an die Aufsichtsbehörde
Nach der DSGVO müssen alle Verletzungen des Schutzes personenbezogener Daten unverzüglich an die zuständige Aufsichtsbehörde gemeldet werden. Dies bezeichnet man als Datenschutzmeldung.
Beispiele von Datenschutzrisiken:
- Ein unverschlüsseltes mobiles Gerät (Laptop, Handy, Tablet, USB-Stick) wurde verloren / vergessen / gestohlen;
- Hackerangriff, bei dem personenbezogene Daten gestohlen wurden;
- Unbeabsichtigte Datenlecks;
- Personenbezogene Daten der betroffenen Personen wurden an falschen Empfänger zugesendet;
- Lohn- und Gehaltsdaten sind aufgrund eines Softwarefehlers für alle Mitarbeiter einsehbar.
Frist für eine Datenschutzmeldung
Der Datenschutzverstoß ist unverzüglich, möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, an die Aufsichtsbehörde zu melden.
Die Meldepflicht liegt bei dem zu der Verarbeitung Verantwortliche. Die folgenden Informationen müssen in der Datenschutzmeldung enthalten sein:
- Beschreibung der Art der Verletzung. Die Kategorien und die ungefähre Zahl der betroffenen Personen, die betroffenen Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Datensätze müssen, soweit möglich, angegeben werden;
- Den Namen und die Kontaktdaten des Datenschutzbeauftragten für weitere Informationen;
- Die wahrscheinlichen Folgen der Verletzung;
- Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn der Verantwortliche die 72-Stunden-Frist nicht einhalten kann, muss er begründen, warum die Aufsichtsbehörde so spät informiert wurde.
Auswirkungen auf die Betroffenen
Datenschutz- und Sicherheitsverletzungen können, wenn nicht rechtzeitig und angemessen reagiert wird, große Auswirkungen auf die betroffenen Personen haben:
Wann ist keine Meldung notwendig?
Der Verantwortliche muss keine Datenschutzmeldung bei der Aufsichtsbehörde machen, wenn die Verletzung voraussichtlich nicht zu einem Risiko der Rechte und Freiheiten natürlicher Personen führt.
Unabhängig davon, ob die Datenschutzverletzung gemeldet wurde oder nicht, müssen Verstöße gegen personenbezogene Daten dokumentiert werden, einschließlich aller damit verbundenen Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen.
Meldung an die Betroffenen
Wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen wird, muss der Verantwortliche die betroffenen Personen unverzüglich von der Verletzung benachrichtigen.
Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen und die folgenden Punkte beinhalten:
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle;
- Beschreibung der Art der Verletzung und der vermutlichen Folgen;
- Gerichtete Empfehlungen zur Abmilderung der negativen Auswirkungen dieser Verletzung;
- Erfolgte / geplante Maßnahmen zur Behebung der Datenpanne.
Solche Benachrichtigungen müssen außerdem so rasch wie nach allgemeinem Ermessen möglich erfolgen, in enger Absprache mit der Aufsichtsbehörde und gemäß den Anweisungen der Aufsichtsbehörde oder anderer zuständiger Behörden (wie Strafverfolgungsbehörden). Um beispielsweise das Risiko eines unmittelbaren Schadens zu mindern, müssten die Betroffenen sofort benachrichtigt werden. Eine längere Benachrichtigungsfrist kann gerechtfertigt sein, wenn es darum geht, geeignete Maßnahmen gegen laufende oder ähnliche Verletzungen des Schutzes personenbezogener Daten zu ergreifen.
Wann ist keine Meldung notwendig
Die Benachrichtigung der Betroffenen ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
- Der Verantwortliche hat ausreichende technische und organisatorische Maßnahmen getroffen, um sicherzustellen, dass das Risiko für die Rechte und Freiheiten der betroffenen Personen nicht länger besteht (z.B., wenn eine ausreichende Verschlüsselung für die verlorenen Daten vorhanden ist);
- Der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht;
- Die Benachrichtigung ist mit einem unverhältnismäßigen Aufwand verbunden. Dann muss der Verantwortliche eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme durchführen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
Zusammenfassung: Meldung oder keine Meldung?
Bei Sicherheitsvorfällen und Datenschutzverletzungen empfehlen wir Dir, Dich an Deinen DSB zu wenden, der Dich bei der Behebung des Vorfalls unterstützen kann.
DS-Aufsichtsbehörden:
Nachfolgend findest Du die Links zu den Formularen der Aufsichtsbehörden, bei denen Du den Datenschutzverstoß melden kannst.
Aufsichtsbehörde: | Link: |
Baden-Württemberg | https://www.baden-wuerttemberg.datenschutz.de/meldung-von-datenpannen/ |
Bayern | |
Berlin | |
Brandenburg | |
Bremen | https://www.datenschutz.bremen.de/wir-ueber-uns/online-meldungen/datenschutzverletzung-melden-15665 |
Hamburg | |
Hessen | |
Mecklenburg-Vorpommern | https://www.datenschutz-mv.de/kontakt/meldung-einer-datenpanne/
|
https://www.navo.niedersachsen.de/navo2/portal/csend/8916/fileget/artikel_33.html | |
Nordrhein-Westfalen | |
Saarland | https://www.datenschutz.saarland.de/online-dienste/meldung-datenpanne |
Sachsen | |
Sachsen-Anhalt | https://datenschutz.sachsen-anhalt.de/service/online-formulare/datenschutzverletzung/ |
| https://www.ihk-schleswig-holstein.de/recht/aktuelle-rechtsthemen/eu-datenschutz-grundverordnung-nr11-3844548 | |
Thüringen |
Wenn Du Dein Sicherheitsniveau noch nicht mit unserer kostenlosen Anwendung analysiert hast, registriere Dich hier!
