Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

17. April 2019

Erste Erfahrungen mit der neuen Meldepflicht

DP+
Erste Erfahrungen mit der neuen Meldepflicht
Bild: iStock.com / PeopleImages
0,00 (0)
Datenschutzverletzungen im Fokus
Seit Mai letzten Jahres steigt die Zahl der Meldungen über Datenschutzverletzungen massiv. Sinn der Vorschrift nach Art. 33 DSGVO ist dabei nicht das reine Dokumentieren von Datenpannen. Stattdessen sollten Verantwortliche dazulernen, um weitere Verletzungen zu vermeiden.

Erfahrenen Datenschutzbeauftragten ist noch die „alte“ gesetzliche Vorschrift zur Meldung von Datenpannen gemäß § 42a des alten Bundesdatenschutzgesetzes (BDSG-alt) bzw. § 15a des Telemediengesetzes (TMG) bekannt.

Bis zum 25. Mai 2018 waren Vorfälle bei der Datenschutzaufsicht unter zwei Voraussetzungen meldepflichtig:

  • Zum einen mussten ganz bestimmte Datenkategorien betroffen sein (z.B. Gesundheitsdaten, Kreditkartendaten).
  • Zum anderen mussten gleichzeitig schwerwiegende Beeinträchtigungen für die betroffenen Personen drohen.

Unternehmen mussten daher nur selten über einen Datenschutzvorfall informieren. Die Statistiken der deutschen Aufsichtsbehörden belegen, dass die Meldung solcher Pannen bislang kein prägendes Element im Datenschutzalltag war.

Meldepflicht nach DSGVO

Unter der Datenschutz-Grundverordnung (DSGVO) hat sich diese Situation jedoch entscheidend geändert: Die Meldeverpflichtung bei Datenschutzverletzungen setzt nun keine besonderen Datenkategorien mehr voraus und orientiert sich zudem streng am risikoorientierten Ansatz.

Dieser Umstand führt dazu, dass Verantwortliche Sicherheitsvorfälle nun häufiger an die Aufsichtsbehörde melden müssen.

Wesentliches Kriterium dafür, ob überhaupt eine Meldung erforderlich ist oder nicht, stellt das Risiko für die Rechte und Freiheiten natürlicher Personen dar.

Zu unterscheiden ist in der Praxis zwischen einer Mitteilung an die zuständige Aufsichtsbehörde (Art. 33 DSGVO) und an die betroffenen Personen (Art. 34 DSGVO):

  • Bei einer Datenschutzverletzung ohne Risiko für die betroffenen Personen m…
Alexander Buckel
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Alexander Buckel
Alexander Buckel
Alexander Buckel ist Buchautor und stellvertretender Leiter des Referats für Cybersicherheit und technischen Datenschutz im BayLDA.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.