Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 05/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
04. Mai 2019

Meldepflichten nach DSGVO richtig umsetzen

Meldepflichten nach DSGVO richtig umsetzen
Bild: iStock.com / aydinynr
5,00 (1)
drucken
Informationspflichten
Kommt es zu einer Datenschutz-Verletzung, treten unter bestimmten Bedingungen Meldepflichten ein. Wann genau welche Informationspflicht eintritt, regelt die Datenschutz-Grundverordnung (DSGVO).

Verfahren für Meldepflichten aufsetzen

Geht es um die Meldung einer Datenschutz-Verletzung an die zuständige Aufsichtsbehörde, steht die Frist von 72 Stunden im Mittelpunkt der Diskussionen. Es gilt nach Datenschutz-Grundverordnung:

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“

Doch die 72-Stunden-Frist ist nicht die einzige Herausforderung bei den Informationspflichten, die bei einer Datenschutz-Verletzung nach DSGVO eintreten.

Tatsächlich muss der Verantwortliche das Verfahren zur Meldung einer Datenpanne nicht nur fristgerecht gestalten. Er muss viel mehr noch weitere, grundsätzliche Maßnahmen ergreifen.

Meldepflichten: Was die DSGVO fordert

Die DSGVO setzt eine niedrige Schwelle, ab wann eine Meldepflicht an die zuständige Aufsicht besteht. Dagegen müssen die Meldungen an die betroffenen Personen eher selten erfolgen. So gilt:

  • Eine Meldung an die Aufsichtsbehörde hat bei einer Verletzung der DSGVO immer zu erfolgen. Ausnahme: Die Datenpanne führt „voraussichtlich nicht zu einem Risiko“ für den Betroffenen.
  • Eine betroffene Person muss dagegen nur benachrichtigt werden, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.
  • Tipp: In den Leitlinien 01/2021 hat der Europäische Datenschutzausschuss (EDSA) Beispiele für die Meldung von Verletzungen des Schutzes personenbezogener Daten veröffentlicht.

Neben der eingangs genannten Meldefrist gibt es nach DSGVO bestimmte Inhalte, die die Meldung an die zuständige Aufsichtsbehörde berücksichtigen muss:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder sonstigen Anlaufstelle für weitere Informationen
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Können Verantwortliche die Informationen nicht zur gleichen Zeit bereitstellen, können diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung gestellt werden.

Es zeigt sich: Sich auf die Meldefrist allein zu konzentrieren, reicht nicht aus. Es ist notwendig, den kompletten Meldeprozess zu etablieren und zu gewährleisten.

Der Verantwortliche muss jede Datenschutz-Verletzung dahin gehend überprüfen, ob die Datenpanne „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt.

Und das nicht nur bei einer Datenpanne mit besonders sensiblen Daten.

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
15. April 2024
Datenschutz-Sicherheit
Bild: iStock/Getty Images Plus/Funtap

Geschäftsführer-Daten im Handelsregister

Urteil
EuGH Urteil
08. April 2024
DP+
Verantwortlicher, Auftragsverarbeiter oder Joint Controller?
Bild: iStock.com / PeopleImages

Verantwortlicher, Auftragsverarbeiter oder Joint Controller?

Analyse
02. April 2024

Muster: Gliederungspunkte einer IT-Sicherheitsrichtlinie

Downloads
IT-Sicherheit Vorlagen
02. April 2024
Die DSGVO ist nur anwendbar, wenn die Daten, die Gegenstand der mündlichen Auskunft sind, in einem „Dateisystem gespeichert sind“ oder „in einem Dateisystem gespeichert werden sollen“.
Bild: iStock.com / bymuratdeniz

Löschung von Daten – auf wessen Veranlassung?

Urteil
EuGH Urteil
27. März 2024
DP+

Checkliste: Datenschutz-Audit von Auftragsverarbeitern

Downloads
Checklisten Vorlagen
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.