Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
29. April 2024

Meldepflichten nach DSGVO richtig umsetzen

Meldepflichten nach DSGVO richtig umsetzen
Bild: iStock.com / aydinynr
5,00 (3)
drucken
Informationspflichten - ein kurzer Überblick
Kommt es zu einer Datenschutz-Verletzung, treten unter bestimmten Bedingungen Meldepflichten ein. Wann genau welche Informationspflicht eintritt, regelt die Datenschutz-Grundverordnung (DSGVO).

Verfahren für Meldepflichten aufsetzen

Geht es um die Meldung einer Datenschutz-Verletzung an die zuständige Aufsichtsbehörde, steht oft die Frist von 72 Stunden im Mittelpunkt der internen Diskussionen um Prozesse. Es gilt nach Datenschutz-Grundverordnung (DSGVO):

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“

Doch die 72-Stunden-Frist ist nicht die einzige Herausforderung bei den Informationspflichten, die bei einer Datenschutz-Verletzung nach DSGVO eintreten.

Tatsächlich muss der Verantwortliche das Verfahren zur Meldung einer Datenpanne nicht nur fristgerecht gestalten. Er muss viel mehr noch weitere, grundsätzliche Maßnahmen ergreifen.

Meldepflichten: Was die DSGVO fordert

Die DSGVO setzt eine niedrige Schwelle, ab wann eine Meldepflicht an die zuständige Aufsicht besteht. Dagegen müssen die Meldungen an die betroffenen Personen eher selten erfolgen. So gilt:

  • Eine Meldung an die Aufsichtsbehörde hat bei einer Verletzung der DSGVO immer zu erfolgen. Ausnahme: Die Datenpanne führt „voraussichtlich nicht zu einem Risiko“ für den Betroffenen.
  • Eine betroffene Person muss dagegen nur benachrichtigt werden, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.
  • Tipp: In den Leitlinien 01/2021 hat der Europäische Datenschutzausschuss (EDSA) Beispiele für die Meldung von Verletzungen des Schutzes personenbezogener Daten veröffentlicht.

Neben der Meldefrist gibt es nach DSGVO bestimmte Inhalte, die die Meldung an die zuständige Aufsichtsbehörde berücksichtigen muss:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  • den Namen und die Kontaktdaten des / der Datenschutzbeauftragten oder sonstigen Anlaufstelle für weitere Informationen
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Können Verantwortliche die Informationen nicht zur gleichen Zeit bereitstellen, können sie diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.

Wichtig
Sich auf die Meldefrist allein zu konzentrieren, reicht also nicht aus. Es ist notwendig, den kompletten Meldeprozess zu etablieren und zu gewährleisten.

Der Verantwortliche muss, gegebenenfalls mit Unterstützung des oder der Datenschutzbeauftragten, jede Datenschutz-Verletzung dahin gehend überprüfen, ob die Datenpanne „voraussichtlich nicht zu einem Risiko“ für die betroffene Person führt. Und das nicht nur bei einer Datenpanne mit besonders sensiblen Daten.

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
21. November 2024
DP+
Wenn Krankenhäuser mit externen Dienstleistern zusammenarbeiten, um personenbezogene Daten verarbeiten zu lassen, wirft das Fragen im Bereich Datenschutz auf. Die DSGVO erlaubt zwar die externe Verarbeitung von Patientendaten, verlangt aber besondere Schutzvorkehrungen.
Bild: iStock.com/metamorworks

Auftragsverarbeitung von Patientendaten

Ratgeber
Checklisten
21. November 2024
DP+
Kanban ist eine Arbeitsmanagementmethode, die dabei hilft, Abläufe in Organisationseinheiten effektiv zu steuern, anzupassen und zu optimieren. Der Datenschutz darf bei der Ntzung von Kanban-Boards jedoch nicht außer Acht gelassen werden.
Bild: iStock.com/AndreyPopov

Datenschutz bei Kanban-Boards

Ratgeber
Checklisten
21. November 2024
DP+
VerIm Gegensatz zu anderen Datenschutzmanagement-Methoden liegt der Fokus beim Standard-Datenschutzmodell ausschließlich auf Verarbeitungstätigkeiten
Bild: iStock.com/ipuwadol

Das Standard-Datenschutzmodell in der Praxis (Teil 1)

Praxisbericht
20. November 2024
DP+
Es besteht die reale Gefahr, dass Angreifer KI-Algorithmen und Trainingsdaten manipulieren, so die EU-Agentur für Cybersicherheit
Bild: iStock.com/FotografieLink

KI als doppeltes Datenrisiko

Ratgeber
Cybersicherheit KI
20. November 2024
DP+
Ziel der KI-Verordnung ist es, Risiken der Künstlichen Intelligenz mit einem sektorübergreifenden, risikobasierten und menschzentrierten Ansatz zu reduzieren
Bild: iStock.com/style-photography

KI-VO: Das müssen Datenschutzbeauftragte wissen

Ratgeber
EuGH KI
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.