Meldefrist für Datenpannen
Trotz umfangreicher Sicherheitsmaßnahmen kommt es immer wieder zu Datenpannen. Häufig sind diese auf menschliches Versagen zurückzuführen, wie etwa eine fehlgeleitete E-Mail. In anderen Fällen sind Cyber-Attacken der Auslöser.
Eine Datenpanne liegt vor, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt, die unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu personenbezogenen Daten führt.
Aufsichtsbehörde informieren
Gemäß Artikel 33 der EU-Datenschutz-Grundverordnung (DSGVO) muss die verantwortliche Stelle die zuständige Aufsichtsbehörde unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der Verletzung informieren. Erfolgt die Meldung nicht innerhalb dieser Frist, ist die Begründung für die Verzögerung beizufügen. Eine Benachrichtigung der Aufsichtsbehörde kann jedoch auch unterbleiben, wenn die Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.
Folgen bei Nichteinhaltung
Gemäß Art. 83 Abs. 4 lit. a DSGVO kann bei einem Verstoß gegen die jeweilige Meldepflicht sowohl dem Verantwortlichen als auch dem Auftragsverarbeiter ein Bußgeld auferlegt werden. Darüber hinaus regelt Art. 83 Abs. 2 lit. h DSGVO, dass die Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag berücksichtigt werden soll. So sind Strafen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres möglich.
Fazit: Gut organisierte Reaktion erforderlich
Die gesetzliche Meldefrist von 72 Stunden bei Datenpannen erfordert von Unternehmen eine schnelle und gut organisierte Reaktion. Um im Ernstfall richtig zu handeln, ist die Expertise der Datenschutzbeauftragten unverzichtbar. Diese Person unterstützt bei der Einschätzung, ob eine Datenpanne meldepflichtig ist, und stellt sicher, dass die Meldung form- und fristgerecht bei der Aufsichtsbehörde eingeht. Darüber hinaus kann sie bei der Entwicklung und Implementierung interner Prozesse unterstützen, damit im Falle eines Vorfalls alle erforderlichen Schritte rechtzeitig erfolgen.
Jonas Knieknecht, Analyst
Weitere Artikel des Autoren
- Muss bald jede Website barrierefrei sein?
- Neuer Referentenentwurf zum Beschäftigtendatenschutz: Ein Schritt in die Zukunft
- Warum das Barrierefreiheitsstärkungsgesetz für Unternehmen wichtig ist
- Ende der Consent-Banner? Alles, was Sie über die Cookie-Verordnung wissen müssen
- Barrierefreiheitsstärkungsgesetz: Wird das in allen Bundesländern gleich umgesetzt?