Meldefrist für Datenpannen
Geschrieben von Jonas Knieknecht, veröffentlicht am 09.01.2025Trotz umfangreicher Sicherheitsmaßnahmen kommt es immer wieder zu Datenpannen. Häufig sind diese auf menschliches Versagen zurückzuführen, wie etwa eine fehlgeleitete E-Mail. In anderen Fällen sind Cyber-Attacken der Auslöser.
Eine Datenpanne liegt vor, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt, die unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt.
Aufsichtsbehörde informieren
Gemäß Artikel 33 der EU-Datenschutz-Grundverordnung (DSGVO) muss die verantwortliche Stelle die zuständige Aufsichtsbehörde unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der Verletzung informieren. Erfolgt die Meldung nicht innerhalb dieser Frist, ist die Begründung für die Verzögerung beizufügen. Eine Benachrichtigung der Aufsichtsbehörde kann jedoch auch unterbleiben, wenn die Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.
Folgen bei Nichteinhaltung
Gemäß Art. 83 Abs. 4 lit. a DSGVO kann bei einem Verstoß gegen die jeweilige Meldepflicht sowohl dem Verantwortlichen als auch dem Auftragsverarbeiter ein Bußgeld auferlegt werden. Darüber hinaus regelt Art. 83 Abs. 2 lit. h DSGVO, dass die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag berücksichtigt werden soll. So sind Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres möglich.
Fazit: Gut organisierte Reaktion erforderlich
Die gesetzliche Meldefrist von 72 Stunden bei Datenpannen erfordert von Unternehmen eine schnelle und gut organisierte Reaktion. Um im Ernstfall richtig zu handeln, ist die Expertise der Datenschutzbeauftragten unverzichtbar. Diese Person unterstützt bei der Einschätzung, ob eine Datenpanne meldepflichtig ist, und stellt sicher, dass die Meldung form- und fristgerecht bei der Aufsichtsbehörde eingeht. Darüber hinaus kann sie bei der Entwicklung und Implementierung interner Prozesse unterstützen, damit im Falle eines Vorfalls alle erforderlichen Schritte rechtzeitig erfolgen.
Jonas Knieknecht,
Analyst
Weitere Artikel
- Neuer Referentenentwurf zum Beschäftigtendatenschutz: Ein Schritt in die Zukunft
- Muss bald jede Website barrierefrei sein?
- Überblick zum europäischen Data Act
- Das korrekte Vorgehen bei Auskunftsanfragen
- Ende der Consent-Banner? Alles, was Sie über die Cookie-Verordnung wissen müssen
- Warum das Barrierefreiheitsstärkungsgesetz für Unternehmen wichtig ist
Verwandte Artikel
- Fördermöglichkeiten für BFSG-Projekte in Deutschland
- Verhaltenskodizes auf freiwilliger Basis: Art. 95 KI-VO und Erwägungsgrund 165
- BFSG Umsetzung meistern: Der 9-Schritte-Plan für Unternehmen
- 5 häufig gestellte Fragen und Antworten zum Barrierefreiheitsstärkungsgesetz
- Muss jeder Online-Shop bald barrierefrei sein?
- Barrierefreiheitsstärkungsgesetz: Wird das in allen Bundesländern gleich umgesetzt?