Haufe.de Shop
Service & Support
Sie verwenden eine veraltete Browser-Version. Dies kann unter Umständen zu Einschränkungen in der Funktion sowie Darstellung führen. Daher empfehlen wir Ihnen, einen aktuellen Browser wie z.B. Microsoft Edge zu verwenden.
Anmelden
  • Personal
  • Steuern
  • Finance
  • Immobilien
  • Controlling
  • Öffentlicher Dienst
  • Recht
  • Arbeitsschutz
  • Sozialwesen
  • Sustainability
  • Themen
  • Haufe
  • Finance
  • Haufe Finance Office Premium
  • Buchführung & Kontierung
  • Jahresabschluss & Bilanzierung
  • Steuern & Finanzen

Datenpannen bewältigen: So gehen Sie bei Schutzverletzun ... / 5 Meldung an die Aufsichtsbehörde und Nachricht an die Betroffenen

Anmelden und Beitrag in meinem Produkt lesen

Sie haben den Artikel bereits bewertet.
Dr. Felix Sühlmann-Faul

Im Hinblick auf die Vorgaben der Verordnung muss zukünftig genau geprüft werden, wer in welchen Fällen zu benachrichtigen ist. Es sind nicht mehr Aufsichtsbehörde und Betroffene stets gleichermaßen zu benachrichtigen. Die DSGVO enthält eine abgestufte Melde- und Benachrichtigungspflicht. Dieses ist umfangreicher als das im BDSG.

Meldepflicht gegenüber Aufsichtsbehörde (Art. 33 DSGVO)

  • Der Verantwortliche muss jede Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde melden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.
  • Bei Auftragsverarbeitung muss der Auftragsverarbeiter den Verantwortlichen unverzüglich über eine Datenschutzverletzung informieren

Benachrichtigungspflicht gegenüber Betroffenen (Art. 34 DSGVO)

  • Zusätzlich zur Meldepflicht muss der Verantwortliche die von einer Datenschutzverletzung betroffenen Personen unverzüglich benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat (siehe 3.5)
  • Eine Ausnahme von der Benachrichtigungspflicht besteht, wenn der Verantwortliche geeignete technische und organisatorische Sicherheitsmaßnahmen getroffen oder nachträglich Maßnahmen ergriffen hat, die das hohe Risiko für die Rechte und Freiheiten betroffener Personen ausschließen

Die abgestufte Melde- und Benachrichtigungspflicht dient dazu, Aufsichtsbehörden und Betroffene über Datenschutzverletzungen zu informieren und Risiken für Persönlichkeitsrechte zu minimieren. Um die Meldepflicht gegenüber der Aufsichtsbehörde auszulösen, reicht ein "normales" Risiko, das keiner besonderen Qualifizierung bedarf. Ein geringes Risiko ist hingegen auch hierfür nicht ausreichend.

Im Zweifelsfall gilt: Bei der Entscheidung, ob die Behörden oder auch die betroffenen Personen informiert werden müssen, ist auch stets die Prognosesicherheit im Einzelfall zu beachten. Das bedeutet: Je unsicherer die Risikoprognose – etwa mangels konkret bezifferbarem Ausmaß der Schutzverletzung – war, desto eher sollte – aus Gründen des Haftungsrisikos – von einer Melde- und Benachrichtigungspflicht ausgegangen werden.

Diesbezüglich bietet sich auch gerade eine enge Abstimmung mit der Aufsichtsbehörde an, die die Schutzverletzung auch gemeinsam mit dem Verantwortlichen eruiert und rechtlich bewertet. Sie wird demnach eine Einschätzung darüber abgeben, ob sie das Risiko für so hoch hält, dass auch eine Benachrichtigung der Betroffenen angezeigt ist.

5.1 Meldung an die Aufsichtsbehörde

[1] Art. 33 DSGVO.

5.1.1 Inhalt der Meldung

Hat die Risikoprognose ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen:

  • Beschreibung der Art der Verletzung (z. B. Datenverlust)
  • Kategorien von Betroffenen (z. B. Mitarbeiter, Kunden, Lieferanten)
  • (Ungefähre) Anzahl der Betroffenen, Kategorien von Datensätzen und ungefähre Anzahl der betroffenen Datensätze (z. B. Datensätze von 351 Kunden und 26 Mitarbeitern betroffen, darunter Anzahl x besonders schützenswerte Daten)
  • Name und Kontaktdaten des Datenschutzbeauftragten (DSB) oder sonstiger Anlaufstelle (z. B. Qualitätsmanager)
  • Beschreibung der wahrscheinlichen Folgen der Schutzverletzung (z. B. finanzielle Nachteile durch unbefugte Offenlegung von Bank- und Kreditkartendaten)
  • Beschreibung ergriffener und vorgeschlagener Maßnahmen, um die Schutzverletzung zu "beheben" und um mögliche Folgen abzumildern
  • Welche Maßnahmen wurden bereits ergriffen zur Reduzierung welchen Risikos und welcher Schutzverletzung? Beispiel: Zur Reduzierung physischer Schäden durch den nicht avisierten Datenverlust der Patientenakten wurde ein Datenwiederherstellungsverfahren angewandt, wodurch die Daten zu X Prozent wiederhergestellt werden konnten.
  • Welche Maßnahmen wurden – etwa aus zeitlichen Gründen – noch nicht ergriffen, können aber das Risiko weiter reduzieren?

Es ist jedoch nicht erforderlich, dass alle Informationen, die in der Meldung an die Aufsichtsbehörde enthalten sein müssen, gleich nach Feststellung der Schutzverletzung vorliegen. Die Meldung muss nämlich nicht zwingend als Ganzes in einem Paket erfolgen. Art. 33 Abs. 4 DSGVO gestattet ein stufenweises Vorgehen. Das ist praxisgerecht, da nur in seltenen Fällen gleich zu Beginn alle relevanten Informationen über die Schutzverletzung vorliegen dürften. So kann etwa das Schadensausmaß eines IT-Angriffs häufig erst sukzessive ermittelt werden.

Nach Art einer "Erstmeldung" kann es erforderlich sein, weitere Meldungen an die Aufsichtsbehörde zu schicken. Immer dann, wenn neue Informationen bekannt werden, sind diese in einer Folgemeldung weiterzugeben, die einen Verweis auf vorausgehende Meldungen enthält.

Die kumulative Meldung zieht sozusagen eine "Ermittlungspflicht" des Verantwortlichen nach sich, bis alle Informationen zusammengetragen sind, die die Aufsichtsbehörde benötigt, um den Vorfall zu prüf...

Dieser Inhalt ist unter anderem im Haufe Finance Office Premium enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Produktempfehlung
haufe-product

Meistgelesene Beiträge
  • Renten / 11.2.3 Umwandlung einer Erwerbsminderungsrente in eine Altersrente
    5.180
  • Steuern und Nebenleistungen, Betriebsausgaben
    4.106
  • Kleinunternehmer / 2 Voraussetzungen
    4.022
  • Betriebsbedarf
    3.807
  • Innergemeinschaftlicher Erwerb: Umsatzsteuerlich richtig zuordnen und buchen
    3.686
  • Reisekosten Inland für Arbeitnehmer: Verpflegungskosten / 4.2 Kürzung der Verpflegungspauschale bei Gestellung von Mahlzeiten
    3.389
  • Anzahlungen, geleistete
    3.296
  • Software, Anschaffung und Abschreibung
    3.287
  • Geldbußen, Ordnungsgelder und Verwarnungsgelder
    3.233
  • Firmen-Pkw, Privatnutzung von Elektrofahrzeugen / 3 Privatnutzung des Unternehmers von Elektro- und Hybridelektrofahrzeugen: Anwendung der 1-%-Regelung
    3.215
  • Mahnung und Mahnverfahren / 7.3 Buchung Mahngebühren und Verzugszinsen
    3.200
  • Degressive Abschreibung bei beweglichen Wirtschaftsgütern / 2.2 Wie hoch ist die degressive AfA?
    3.173
  • Größenklassen
    3.095
  • Darlehen: Zinsen, Disagio und Tilgung richtig abgrenzen und buchen
    3.073
  • Geschenke, Geschäftsfreunde
    2.997
  • Vermietung und Verpachtung / 2 Umsatzsteuer
    2.753
  • Abschreibung, gebrauchte Wirtschaftsgüter / 6 Gebrauchter Firmen-Pkw: Besonderheiten bei der Schätzung der Nutzungsdauer
    2.646
  • Sonderabschreibung: Voraussetzungen, Höhe und Buchung / 7 Sonderabschreibung: Übersicht
    2.640
  • Kleinbetragsrechnung (zu § 33 UStDV)
    2.639
  • Arbeitsessen mit Arbeitnehmern
    2.468
Top-Themen
Downloads
Zum Haufe Shop
Produktempfehlung

Zum Thema Finance
Datenschutz: Eine Datenpanne melden
Hand verknüpft Big Data visuell auf Screen
Bild: mauritius images / Denis Putilov / Alamy

Eine Datenpanne passiert schneller, als man denkt und kann schwerwiegende Konsequenzen mit sich bringen. Deshalb ist es für Unternehmen wichtig zu wissen, wie sie sich bei einer Datenpanne zu verhalten haben.
DSGVO: Hohe Bußgelder für offene E-Mail-Verteiler
Mehrere @-Zeichen auf abstraktem Hintergrund
Bild: Corbis

Ein lässiger Umgang mit E-Mail-Adressen kann teuer werden: Immer wieder werden hohe Bußgelder verhängt, weil personenbezogene E-Mail-Adressen in einem offenen Verteiler an zahlreiche Adressaten verschickt werden. Da Bußgelder nach der DSGVO wirksam, abschreckend und verhältnismäßig sein müssen, dürfen auch Privatpersonen bei Verstößen nicht mit Milde rechnen.
DSGVO: Hohe Bußgelder für offene E-Mail-Verteiler
Mehrere @-Zeichen auf abstraktem Hintergrund
Bild: Corbis

Ein lässiger Umgang mit E-Mail-Adressen kann teuer werden: Immer wieder werden hohe Bußgelder verhängt, weil personenbezogene E-Mail-Adressen in einem offenen Verteiler an zahlreiche Adressaten verschickt werden. Da Bußgelder nach der DSGVO wirksam, abschreckend und verhältnismäßig sein müssen, dürfen auch Privatpersonen bei Verstößen nicht mit Milde rechnen.
Haufe Shop: HGB Bilanz Kommentar
HGB Bilanz Kommentar
Bild: Haufe Online Redaktion

Mit dem Praktiker-Kommentar in neuer Auflage lösen Sie auch schwierige Fragen zu Bilanzierung, Jahresabschluss und Lagebericht sicher. Alle Änderungen sind mit Fallbeispielen und Buchungssätzen praxisgerecht dargestellt und erläutert. Im Praktiker-Kommentar inklusive: Die stets aktuelle Online-Version
Datenpannen bewältigen: So gehen Sie bei Schutzverletzungen korrekt vor
Datenpannen bewältigen: So gehen Sie bei Schutzverletzungen korrekt vor

Zusammenfassung Überblick Im Zeitalter von Big Data, in dem immer mehr Daten und Informationen gesammelt werden, steigt auch die Gefahr einer Datenschutzverletzung bei dem Daten sammelnden Unternehmen. Eine generelle europaweite Verpflichtung zur Meldung ...

4 Wochen testen
Newsletter Finance
Bild: Haufe Online Redaktion
Newsletter Steuern und Buchhaltung

Aktuelle Informationen aus den Bereichen Steuern und Buchhaltung frei Haus - abonnieren Sie unseren Newsletter:

  • Für Praktiker im Rechnungswesen
  • Buchhaltung und Lohnbuchhaltung
  • Alles rund um betriebliche Steuern
Pflichtfeld: Bitte geben Sie eine gültige E-Mail Adresse ein.
Sie müssen den AGB zustimmen
Haufe Fachmagazine
Zum Finance Archiv
Themensuche A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #
Haufe Group
Haufe Onboarding Software
Haufe Fachwissen
Haufe Onlinetraining
Haufe HR Services
Haufe Digitale Personalakte
Lexware
rudolf.ai - Haufe meets AI
Weiterführende Links
RSS
Newsletter
FAQ
Mediadaten
Presse
Editorial Code of Conduct
Redaktionsrichtlinie zum KI-Einsatz
Netiquette
Sitemap
Buchautor:in werden bei Haufe
Kontakt

Kontakt & Feedback
Datenschutz

AGB
Impressum
Haufe Rechnungswesen Shop
Rechnungswesen Produkte
Buchführung Software und Bücher
Bilanzierung & Jahresabschluss Lösungen
Produkte zu Kostenrechnung
Produkte zur IFRS-Rechnungslegung
Haufe Shop Buchwelt

    Weitere Produkte zum Thema:

    × Profitieren Sie von personalisierten Inhalten, Angeboten und Services!

    Unser Ziel ist es, Ihnen eine auf Ihre Bedürfnisse zugeschnittene Website anzubieten. Um Ihnen relevante und nützliche Inhalte, Angebote und Services präsentieren zu können, benötigen wir Ihre Einwilligung zur Nutzung Ihrer Daten. Wir nutzen den Service eines Drittanbieters, um Ihre Aktivitäten auf unserer Website zu analysieren.

    Mit Ihrer Einwilligung profitieren Sie von einem personalisierten Website-Erlebnis und Zugang zu spannenden Inhalten, die Sie informieren, inspirieren und bei Ihrer täglichen Arbeit unterstützen.

    Wir respektieren Ihre Privatsphäre und schützen Ihre Daten. Sie können sich jederzeit darüber informieren, welche Daten wir erheben und wie wir sie verwenden. Sie können Ihre Einwilligung jederzeit widerrufen. Passen Sie Ihre Präferenzen dafür in den Cookie-Einstellungen an.

    Mehr Informationen Nein, Danke Akzeptieren