Meldepflichten bei Datenpannen unter der DSGVO
Ob bei Vorliegen einer Datenschutzpanne eine Meldung an die Aufsichtsbehörde und an den oder die Betroffenen zu erfolgen hat, wird derzeit in § 42a BDSG geregelt. Die dort definierten Voraussetzungen für eine Verpflichtung zur Meldung einer Datenpanne (unbefugter Datenzugriff) stellen recht hohe Hürden dar und werden nur in seltenen Fällen erfüllt.
Zum Einen muss es sich um sensible Daten handeln (beispielsweise Gesundheitsdaten, Daten, die einem Berufsgeheimnis unterliegen, personenbezogene Daten zu Bank- oder Kreditkartenkonten). Darüber hinaus ist eine Meldung nur dann verpflichtend, wenn schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen.
Dies führte in der Vergangenheit dazu, dass nur in relativ seltenen Fällen tatsächlich Meldungen an die Behörden zu erfolgen hatten. Großer Vorteil einer durchgeführten Meldung war allerdings, dass diese in einem späteren Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten nicht mehr gegen den Meldenden verwendet werden durfte. Es war also möglich, durch eine Meldung Bußgelder zu vermeiden.
Wenn eine meldepflichtige Datenpanne vorlag, dann hatte diese grundsätzlich sowohl an die Aufsichtsbehörde als auch an den Betroffenen zu erfolgen.
Neue Regelung nach der DSGVO
Nach der DSGVO gibt es zukünftig unterschiedliche Voraussetzungen zur Auslösung einer Meldepflicht an die Aufsichtsbehörde und zur Auslösung einer Meldepflicht an den Betroffenen. Die Voraussetzungen zur Meldung an die Aufsichtsbehörde sind deutlich geringer, sodass in der Praxis entweder nur an die Aufsichtsbehörde oder an die Aufsichtsbehörde und die Betroffenen zu melden sein wird.
Meldung an die Aufsichtsbehörde
Die Meldepflicht an die Aufsichtsbehörde ist in Artikel 33 DSGVO geregelt. Demnach hat eine Meldung an die Aufsichtsbehörden grundsätzlich bei jeder Datenpanne zu erfolgen, es sein denn, der Verantwortliche kann sicherstellen, dass „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Neu ist auch, dass der Gesetzgeber eine konkrete Frist festlegt, bis wann die Meldung zu erfolgen hat. Und zwar hat der Verantwortliche „unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde“, diese der zuständigen Aufsichtsbehörde zu melden.
Ist dies es in begründeten Ausnahmefällen nicht möglich, die Meldung innerhalb der Frist von 72 Stunden durchzuführen, so ist der Aufsichtsbehörde zusammen mit der verspätet durchgeführten Meldung, die Begründung für die Verzögerung zu übermitteln.
Meldung an die betroffenen Personen
Die Hürden für die Pflicht zur Meldung einer Datenpanne an die betroffenen Personen liegen deutlich höher, als diejenigen zur Meldung an die Aufsichtsbehörde. Die betroffenen Personen sind nur dann zu unterrichten, wenn die „Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Hier verlangt der Gesetzgeber also ein „hohes Risiko“ zur Auslösung einer Meldepflicht, während es zur Auslösung einer Meldepflicht an die Behörden bereits ausreicht, dass überhaupt ein Risiko besteht. Auch bezüglich einer Frist, bis wann die Meldung zu erfolgen hat, finden sich in der DSGVO keine eindeutigen Vorgaben. Die Meldung hat lediglich „unverzüglich“ zu erfolgen. Analog zur bisherigen Regelung im BDSG wird dies wohl so zu interpretierten sein, dass keine „schuldhafte Verzögerung“ seitens des Verantwortlichen vorliegen darf.
Bußgelder
Wie meistens, wenn über die DSGVO berichtet wird, ist auch ein Blick auf die drohenden Bußgelder bei Verstößen zu werfen. Ein Verstoß gegen die gegen die Artikel 33 und 34 kann Bußgelder von bis zu 10 Mio. EUR oder 2% des jährlichen weltweit erzielten Umsatzes nach sich ziehen. Es ist also zu empfehlen erforderliche Meldungen vollständig und innerhalb der gesetzten Frist zu erstatten. Hierzu ist es notwendig auch intern ein Meldesystem einzurichten, damit Meldewege klar definiert sind und nicht durch interne Reibungsverluste notwendige Meldungen versäumt werden. Selbstverständlich bietet es sich an, den betrieblichen Datenschutzbeauftragten in den Meldeprozess einzubeziehen.
Form der Meldung
Grundsätzlich ist die Meldung nicht an eine bestimmte Form gebunden. Um im Zweifelsfall nachweisen zu können, dass eine Meldung fristgerecht erfolgt ist, bietet sich an, die Meldung per Fax oder noch besser als Einschreiben durchzuführen. Da die Behörden künftig mit deutlich mehr Meldungen rechnen als bisher, wird auch über alternative Meldewege nachgedacht, die den Verwaltungsaufwand in den Behörden minimieren. So bereitet das die bayerische Aufsichtsbehörde (BayLDA) derzeit einen Online-Service zur effizienten Meldung von Datenpannen vor.
Datenpannen und unterlassene Meldungen können einen enormen Imageverlust ebenso wie hohe Bußgelder nach sich ziehen. Gerne unterstützen wir Sie dabei, Maßnahmen zu etablieren, die das Risiko für Datenpannen minimieren und Prozesse zu definieren, die sicherstellen, dass erforderliche Meldungen vollständig und fristgerecht durchgeführt werden. Sprechen Sie uns an!