Datenpannen - Pflichten nach der DSGVO

Schon bisher sind Unternehmen verpflichtet, die Aufsichtsbehörden oder die Betroffenen bei Datenschutzverstößen in Form von Datenpannen zu informieren. Diese Verpflichtungen werden mit der DSGVO deutlich verschärft.

Bisherige Regelung von Datenpannen im BDSG

Bisher sind Datenpannen nach § 42a BDSG unter zwei Voraussetzungen meldepflichtig. Es müssen sog. „Risikodaten“ betroffen sein. Diese sind in § 42a Satz 1 BDSG abschließend aufgezählt und beinhalten u.a. besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG oder Daten zu Bank und Kreditkartenkonten. Darüber hinaus müssen durch die Datenpanne schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des Betroffenen drohen, so dass die Anzahl meldepflichtigen Vorfälle bislang nicht sehr groß ist.

Regelung von Datenpannen in der DSGVO

Die DSGVO sieht ab Mai 2018 eine deutlich verschärftere Meldepflicht bei Datenpannen vor. Wann eine solche Verpflichtung besteht, richtet sich nach den Art. 33 DSGVO für Meldungen an die Aufsichtsbehörde und Art. 34 DSGVO für Meldungen an die Betroffenen.

Künftig muss grundsätzlich jede Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde gemeldet werden. Eine Beschränkung auf die oben bezeichneten Risikodaten kennt die DSGVO nicht. Eine Ausnahme besteht nach Art 33 Abs. 1 DSGVO nur dann, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Es ist also stets eine Risikoabwägung durchzuführen. Hierbei sollte in jedem Falle der Risikokatalog des Erwägungsgrundes 75 DSGVO berücksichtigt und die Abwägung dokumentiert werden

Entsprechend sind Meldungen an die Betroffenen unter Berücksichtigung der formalen Kriterien, innerhalb der Gesetzlichen Meldefrist durchzuführen. Das gleicht gilt für die Meldung an die Aufsichtsbehörde gem. § 42a BDSG.

Verstöße gegen die Pflichten aus Art. 33, 34 DSGVO, z.B. bei unterlassener oder nicht rechtzeitiger Meldung oder Verletzungen der Dokumentationspflicht, können durch die Aufsichtsbehörde mit einem Bußgeld von bis zu 10.000.000,00 EUR oder 2% des weltweit erzielten Jahresumsatzes sanktioniert werden.

Empfehlungen für Unternehmen:

Angesichts der kurzen Fristen für eine solche Meldung, der gesteigerten Anforderungen an Dokumentation sowie die Höhe der drohenden Bußgelder sollte die Übergangszeit genutzt werden, um effiziente Prozesse zu implementieren, durch die Datenpannen schnell erkannt und die entsprechenden Meldepflichten umgesetzt werden können.

F27A2824

Neben den hier aufgezählten Änderungen gibt es noch viele mehr. Unser Experte zum Thema Datenschutzgrundverordnung, Herr Mirko Tasch, berät Sie gerne was getan werden muss um auch 2018 datenschutz-konform zu arbeiten. Wir beraten und unterstützen Sie bei einer datenschutz-konformen Umstellung von BDSG auf DSGVO.

 

Zum Kontaktformular