Die Gründe für Datenschutzverstöße können vielfältig sein, wie z.B. falsches Verhalten von Mitarbeitern oder fehlerhaft konfigurierte IT-Systeme. Ob Datenpanne oder vorsätzlicher Verstoß, bei Bekanntwerden ist eine Meldung notwendig. Andernfalls droht ein noch erheblich größerer Schaden.

Was logisch klingt, führt dennoch in der Praxis immer wieder zu Schwierigkeiten. Hier einige Beispiele, weshalb Verletzungen im Datenschutz nicht weitergetragen werden.

  • Kein oder geringes Bewusstsein der Mitarbeiter zur Relevanz von Datenschutz und IT-Sicherheit und wenig praktisches Verständnis (Awareness).
  • Angst vor Repressalien, z.B. bei Verlust eines USB-Sticks durch einen Mitarbeiter.
  • Unklare Zuständigkeiten aufgrund des Fehlens einer zentralen Meldestelle oder einer nicht definierten Informationskette.
  • Es ist kein Meldeprozess implementiert, Mitarbeitern steht keine Meldevorlage zur Verfügung.

Arten der Meldung

Je nach Kontext ist womöglich nicht immer klar, was mit einer Meldung gemeint ist bzw. an wen sich diese richten sollte. Wir unterscheiden zwischen zwei Arten.

  1. Meldung innerhalb der eigenen Organisation
    an die für den Datenschutz verantwortliche Person, wie z.B. den externen Datenschutzbeauftragten.
  2. Meldung an die zuständige Aufsichtsbehörde
    durch den für den Datenschutz Verantwortlichen.

Rechtsgrundlagen zur Meldepflicht von Datenschutzverstößen

Art. 33, Abs. 1 DSGVO:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Risiken im Zusammenhang mit der Meldung von Verstößen im Datenschutz

Sobald jemand innerhalb der Organisation von einem Verstoß gegen datenschutzrechtliche Vorschriften erfährt, ist richtiges Handeln gefragt. Immerhin bestehen erhebliche Risiken, die es auszuschließen oder wenigstens zu reduzieren gilt.

  • Verspätete Meldung
    Wird ein meldepflichtiger Datenschutz-Verstoß erst nach Ablauf der Meldefrist an die Aufsichtsbehörde übermittelt, kann sich dies auf die Höhe des Bußgeldes auswirken.
  • Keine zeitnahe fachliche Bewertung des Risikos
    Folgt die interne Mitteilung über einen Verstoß nicht zeitnah oder setzt sich der Verantwortliche nicht umgehend mit dem Vorgang auseinander, führt dies zu einer unnötigen Verschärfung der Situation.
  • Fahrlässiges Verhalten
    Ein Fehlverhalten, wie z.B. das Verschweigen meldepflichtiger Vorfälle, ist besonders riskant. Bei Bekanntwerden kann eine drakonische Strafe drohen.
  • Vergrößerung des Schadens
    Wird ein Vorfall nicht umgehend intern weitergetragen, könnte sich dessen Ausmaß noch vergrößern, weil z.B. ein Datenleck bestehen bleibt.

Verletzungen im Datenschutz zeitnah melden – so gelingt es

Awareness der Mitarbeiter stärken: Zunächst ist es entscheidend, dass Datenpannen und andere Verstöße im Datenschutz von den Mitarbeitern als solche erkannt werden. Andernfalls können diese über längere Zeit bestehen und werden womöglich zuerst von außerhalb (z.B. durch Kunden, Partner oder gar die Medien) entdeckt.

  • Zuständigkeiten regeln
    Klar definierte Verantwortlichkeiten helfen dabei, die notwendigen Hebel in Bewegung zu setzen und damit Ausmaß sowie Konsequenzen des Vorgangs so gering wie möglich zu halten.
  • Meldeprozess entwickeln und implementieren
    Der richtige Prozess stellt sicher, dass Verletzungen im Datenschutz rasch intern gemeldet werden können und hierbei den richtigen Weg nehmen. Darüber hinaus lässt er sich so abstimmen, dass im Ernstfall schnell entschieden ist, ob eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde besteht und welche konkreten Informationen an diese weiterzuleiten sind.

Welche Art von Verstoß ist zu melden?

Der Aufsichtsbehörde ist ein Datenschutz-Verstoß zu melden, sofern dieser ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Dies ist üblicherweise der Fall, wenn unberechtigte Dritte Zugang zu personenbezogenen Daten haben oder hatten.

Ein kurzer Auszug an Beispielen:

  • Lohn- und Gehaltsdaten waren aufgrund eines Softwarefehlers für alle Mitarbeiter einsehbar
  • Gesundheitsdaten wurden ohne vorherige Zustimmung der Betroffenen an Auftragsverarbeiter übermittelt
  • Kreditkartendaten wurden von Hackern erbeutet

Welche Meldefrist gilt?

Sofern es um einen meldepflichtigen Vorfall geht, ist dieser der zuständigen Behörde innerhalb von 72 Stunden ab Bekanntwerden mitzuteilen. Eine verspätete Mitteilung ist zwingend zu begründen.

Bei welchen Behörden ist Meldung zu machen?

In Deutschland ansässige Unternehmen melden Verstöße nicht an eine zentrale Stelle, sondern an die zuständige Aufsichtsbehörde im jeweiligen Bundesland. Sofern ein Unternehmen in mehreren Bundesländern ansässig ist, wird im Regelfall das Bundesland herangezogen, in welchem sich der Hauptsitz befindet.

Übersicht der Behörden nach Bundesländern

Baden-Württemberg
Bayern
Berlin
Brandenburg
Bremen
Hamburg
Hessen
Mecklenburg-Vorpommern
Niedersachsen
Nordrhein-Westfalen
Rheinland-Pfalz
Saarland
Sachsen
Sachsen-Anhalt
Schleswig-Holstein
Thüringen

Wie unsere Datenschutzspezialisten weiterhelfen

Unsere Unterstützung erfolgt zielgerichtet nach Bedarf. Angenommen es besteht noch kein Meldeprozess, so führen wir zunächst eine Analyse durch und entwickeln anschließend eine maßgeschneiderte Lösung. Ebenso ist es möglich, bereits umgesetzte Datenschutzlösungen auf den Prüfstand zu stellen.

Profitieren Sie hierbei von unserer langjährigen Erfahrung im betrieblichen Datenschutz und unserer praxisnahen Herangehensweise. Deren Ergebnis sind zuverlässige und wirtschaftlich attraktive Lösungen.

Gerne leisten wir Unterstützung bei Ihren Schulungen, beispielsweise indem wir mit Ihnen gemeinsam Inhalte abstecken. Auf Wunsch führen wir auch Schulungen durch.

Ob Meldung von Datenschutzverstößen oder andere Fachthemen, wie der sichere Umgang mit Bewerberdaten, Löschanfragen oder Datenschutz-Folgeabschätzungen, unsere Datenschutzexperten unterstützen Sie gerne. Nutzen Sie jetzt unsere kostenlose Erstberatung.