Gratis
29. August 2019 - Selbstbezichtigung oder nicht?

Datenpanne: Meldung führt nicht automatisch zu Geldbuße

Drucken

Die DSGVO verpflichtet Unternehmen und andere verantwortliche Stellen, beim Auftreten einer Panne, die personenbezogene Daten betrifft, die zuständige Datenschutz-Aufsichtsbehörde zu informieren. Damit stellt sich die Frage, ob dies nicht automatisch einer Selbstbezichtigung gleichkommt und ein Bußgeld nach sich zieht.

Beduetet die meldung einer Datenpanne eine Geldbuße? Datenpanne gemeldet, Geldbuße eingehandelt? (Bild: iStock.com / baona)

Zur Frage, ob sich ein Unternehmen durch die Mitteilung einer Datenpanne selbst belastet und so automatisch eine Geldbuße erhält, bezieht der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in einer Pressemitteilung Stellung.

Meldepflicht nach DSGVO

Besteht aufgrund einer Datenpanne ein Risiko für die Rechte und Freiheiten natürlicher Personen (Art. 33 Datenschutz-Grundverordnung – DSGVO), ist die zuständige Aufsichtsbehörde darüber zu informieren.

Binnen 72 Stunden, nachdem Verantwortliche die Verletzung entdeckt haben, sollten sie die Information übermitteln. Dies dürfte den meisten Unternehmen inzwischen auch bekannt sein.

Und viele Datenschutz-Aufsichtsbehörden bieten inzwischen die Möglichkeit, über ihre Websieten Datenpannen online zu melden.

Es stellt sich allerdings die Frage, ob der Gesetzgeber im Rahmen des Art. 33 DSGVO sozusagen eine Verpflichtung zur Selbstbezichtigung eingebaut hat, die dann entsprechende Geldbußen zur Folge hat.

Kein Automatismus

In seiner Stellungnahme verneint der TLfDI genau das. Hierbei bezieht er sich ausdrücklich auf § 43 Abs. 4 Bundesdatenschutzgesetz – BDSG und § 42 BDSG.

Demnach darf in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten (OWiG) die Meldung einer Datenpanne gegen den Meldepflichtigen nur mit dessen Zustimmung verwendet werden. Die gilt auch für die Einleitung eines Strafverfahrens.

Wer diese Zustimmung also nicht erteilt, braucht somit nicht zu befürchten, dass die Datenschutz-Aufsicht auf Grundlage seiner Meldung ein Bußgeld-Verfahren einleitet, so der Landesdatenschutzbeauftragte.

Meldefristen beachten!

Wichtig ist in diesem Zusammenhang, darauf zu achten ist, die Fristen für die Meldung einzuhalten.

Denn eine verspätete oder gar versäumte Meldung über eine solche Datenpanne stellt einen Verstoß gegen die DSGVO dar.

Ein solcher Fall kann also sehr wohl ein Bußgeld-Verfahren nach sich ziehen.

Deshalb weist der TLfDI auch ausdrücklich darauf hin, dass sofern auf eine Meldung verzichtet wurde, ausführlich dokumentiert und begründet sein muss, wieso kein Risiko für Rechte und Freiheiten der Betroffenen bestanden hat.

Erfolgt die Mitteilung über einen Dritten, gilt die Einschränkung gemäß § 43 Abs. 4 BDSG allerdings nicht.

Die Meldung könnte somit letztlich doch zu einem Bußgeld führen. Denn dann muss die Datenschutzaufsicht klären, warum die eigentlich Verantwortlichen die Panne nicht gemeldet haben.

Stephan Lamprecht