Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
News
29. August 2019

Datenpanne: Meldung führt nicht automatisch zu Geldbuße

Gratis
Zukünftig dürften Geldbußen höher ausfallen
Bild: iStock.com / baona
0,00 (0)
Selbstbezichtigung oder nicht?
Die DSGVO verpflichtet Unternehmen und andere verantwortliche Stellen, beim Auftreten einer Panne, die personenbezogene Daten betrifft, die zuständige Datenschutz-Aufsichtsbehörde zu informieren. Damit stellt sich die Frage, ob dies nicht automatisch einer Selbstbezichtigung gleichkommt und ein Bußgeld nach sich zieht.

Zur Frage, ob sich ein Unternehmen durch die Mitteilung einer Datenpanne selbst belastet und so automatisch eine Geldbuße erhält, bezieht der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in einer Pressemitteilung Stellung.

Meldepflicht nach DSGVO

Besteht aufgrund einer Datenpanne ein Risiko für die Rechte und Freiheiten natürlicher Personen (Art. 33 Datenschutz-Grundverordnung – DSGVO), ist die zuständige Aufsichtsbehörde darüber zu informieren.

Binnen 72 Stunden, nachdem Verantwortliche die Verletzung entdeckt haben, sollten sie die Information übermitteln. Dies dürfte den meisten Unternehmen inzwischen auch bekannt sein.

Und viele Datenschutz-Aufsichtsbehörden bieten inzwischen die Möglichkeit, über ihre Websieten Datenpannen online zu melden.

Es stellt sich allerdings die Frage, ob der Gesetzgeber im Rahmen des Art. 33 DSGVO sozusagen eine Verpflichtung zur Selbstbezichtigung eingebaut hat, die dann entsprechende Geldbußen zur Folge hat.

Kein Automatismus

In seiner Stellungnahme verneint der TLfDI genau das. Hierbei bezieht er sich ausdrücklich auf § 43 Abs. 4 Bundesdatenschutzgesetz – BDSG und § 42 BDSG.

Demnach darf in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten (OWiG) die Meldung einer Datenpanne gegen den Meldepflichtigen nur mit dessen Zustimmung verwendet werden. Die gilt auch für die Einleitung eines Strafverfahrens.

Wer diese Zustimmung also nicht erteilt, braucht somit nicht zu befürchten, dass die Datenschutz-Aufsicht auf Grundlage seiner Meldung ein Bußgeld-Verfahren einleitet, so der Landesdatenschutzbeauftragte.

Meldefristen beachten!

Wichtig ist in diesem Zusammenhang, darauf zu achten ist, die Fristen für die Meldung einzuhalten.

Denn eine verspätete oder gar versäumte Meldung über eine solche Datenpanne stellt einen Verstoß gegen die DSGVO dar.

Ein solcher Fall kann also sehr wohl ein Bußgeld-Verfahren nach sich ziehen.

Deshalb weist der TLfDI auch ausdrücklich darauf hin, dass sofern auf eine Meldung verzichtet wurde, ausführlich dokumentiert und begründet sein muss, wieso kein Risiko für Rechte und Freiheiten der Betroffenen bestanden hat.

Erfolgt die Mitteilung über einen Dritten, gilt die Einschränkung gemäß § 43 Abs. 4 BDSG allerdings nicht.

Die Meldung könnte somit letztlich doch zu einem Bußgeld führen. Denn dann muss die Datenschutzaufsicht klären, warum die eigentlich Verantwortlichen die Panne nicht gemeldet haben.

Stephan Lamprecht
Verfasst von
DP
Stephan Lamprecht

Stephan Lamprecht ist Tech-Autor und Journalist. Er hat sich auf die Fahnen geschrieben, komplizierte Dinge einfach zu erklären.

Seit über 25 Jahren ist er für Verlage, Unternehmen und PR-Agenturen tätig. Er übernimmt Aufgaben als Redakteur, Blogger und Ghostwriter.

Kontakt: https://lamprecht.net

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen.