Ab dem 25.5.2018 entfaltet die Europäische Datenschutz-Grundverordnung (kurz DSGVO) unmittelbare Wirkung in allen Mitgliedsstaaten der Europäischen Union. Gemäß Art. 33 DSGVO muss eine Verletzung des Schutzes personenbezogener Daten (häufig auch als "Datenpanne" bezeichnet) unverzüglich und möglichst binnen 72 Stunden nach Kenntnis an die zuständige Datenschutzaufsichtsbehörde gemeldet werden.
Dem Verantwortlichen für die Verarbeitung personenbezogener Daten obliegt die Pflicht, bei der Verarbeitung von personenbezogenen Daten das Risiko für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Kommt es dennoch zu einer Verletzung des Schutzes personenbezogener Daten, so ist der Verantwortliche nach Art. 33 DSGVO verpflichtet, diesen Verstoß der zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Definition "Verletzung des Schutzes personenbezogener Daten"
Eine Verletzung des Schutzes personenbezogener Daten ist nach Art. 4 Nr. 12 DSGVO eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
(Kein) Risiko für die Rechte und Freiheiten natürlicher Personen
Eine Verpflichtung zur Meldung besteht allerdings dann nicht, wenn die Verletzung zumindest voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Nach Erwägungsgrund 85 der DSGVO liegt ein Risiko für die Rechte und Freiheiten natürlicher Personen dann vor, wenn bei Betroffenen ein physischer, materieller oder immaterieller Schaden entsteht. Als nicht abschließende Beispiele werden genannt:
- Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte
- Diskriminierung
- Identitätsdiebstahl oder -betrug
- finanzielle Verluste
- unbefugte Aufhebung der Pseudonymisierung
- Rufschädigung
- Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten
- andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile
Mindestinhalt einer Meldung
Art. 33 Abs. 3 DSGVO listet auf, welchen Inhalt eine Meldung nach Art. 33 Abs. 1 DSGVO mindestens enthalten muss:
- Beschreibung der Art der Verletzung
- Angabe der Kategorien der Betroffenen und ungefähre Anzahl
- Angabe der Kategorien der Datensätze und ungefähre Anzahl
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Ansprechperson
- Beschreibung der wahrscheinlichen Folgen der Verletzung
- Beschreibung der getroffenen Abhilfemaßnahmen zur Behebung der Verletzung und gegebenenfalls getroffene Abmilderungsmaßnahmen
Dokumentation der Meldung und der Abhilfemaßnahmen
Der Verantwortliche muss die Verletzungen, die zu einer Meldepflicht führen, einschließlich aller in Zusammenhang mit der Verletzung stehenden Fakten, dokumentieren. Ebenfalls zu dokumentieren sind die getroffenen Abhilfemaßnahmen.
Wichtig: Bußgeld droht
Über § 43 Bundesdatenschutzgesetz bleibt der Grundsatz "nemo tenetur se ipsum accusare" (niemand ist verpflichtet, sich selbst anzuklagen) gewahrt. Die nach Art. 33 DSGVO erforderlichen Meldungen dürfen aufgrund von § 43 Abs. 4 BDSG in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten nur mit Zustimmung des Meldepflichtigen bzw. des Benachrichtigenden verwendet werden. Eine trotz bestehender Verpflichtung unterlassene Meldung kann jedoch mit einem Bußgeld geahndet werden.