Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

29. April 2024

Meldepflichten nach DSGVO richtig umsetzen

Meldepflichten nach DSGVO richtig umsetzen
Bild: iStock.com / aydinynr
5,00 (3)
Informationspflichten - ein kurzer Überblick
Kommt es zu einer Datenschutz-Verletzung, treten unter bestimmten Bedingungen Meldepflichten ein. Wann genau welche Informationspflicht eintritt, regelt die Datenschutz-Grundverordnung (DSGVO).

Verfahren für Meldepflichten aufsetzen

Geht es um die Meldung einer Datenschutz-Verletzung an die zuständige Aufsichtsbehörde, steht oft die Frist von 72 Stunden im Mittelpunkt der internen Diskussionen um Prozesse. Es gilt nach Datenschutz-Grundverordnung (DSGVO):

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“

Doch die 72-Stunden-Frist ist nicht die einzige Herausforderung bei den Informationspflichten, die bei einer Datenschutz-Verletzung nach DSGVO eintreten.

Tatsächlich muss der Verantwortliche das Verfahren zur Meldung einer Datenpanne nicht nur fristgerecht gestalten. Er muss viel mehr noch weitere, grundsätzliche Maßnahmen ergreifen.

Meldepflichten: Was die DSGVO fordert

Die DSGVO setzt eine niedrige Schwelle, ab wann eine Meldepflicht an die zuständige Aufsicht besteht. Dagegen müssen die Meldungen an die betroffenen Personen eher selten erfolgen. So gilt:

  • Eine Meldung an die Aufsichtsbehörde hat bei einer Verletzung der DSGVO immer zu erfolgen. Ausnahme: Die Datenpanne führt „voraussichtlich nicht zu einem Risiko“ für den Betroffenen.
  • Eine betroffene Person muss dagegen nur benachrichtigt werden, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.
  • Tipp: In den Leitlinien 01/2021 hat der Europäische Datenschutzausschuss (EDSA) Beispiele für die Meldung von Verletzungen des Schutzes personenbezogener Daten veröffentlicht.

Neben der Meldefrist gibt es nach DSGVO bestimmte Inhalte, die die Meldung an die zuständige Aufsichtsbehörde berücksichtigen muss:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  • den Namen und die Kontaktdaten des / der Datenschutzbeauftragten oder sonstigen Anlaufstelle für weitere Informationen
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Können Verantwortliche die Informationen nicht zur gleichen Zeit bereitstellen, können sie diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.

Wichtig
Sich auf die Meldefrist allein zu konzentrieren, reicht also nicht aus. Es ist notwendig, den kompletten Meldeprozess zu etablieren und zu gewährleisten.

Der Verantwortliche muss, gegebenenfalls mit Unterstützung des oder der Datenschutzbeauftragten, jede Datenschutz-Verletzung dahin gehend überprüfen, ob die Datenpanne „voraussichtlich nicht zu einem Risiko“ für die betroffene Person führt. Und das nicht nur bei einer Datenpanne mit besonders sensiblen Daten.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.