Der Stichtag am 25. Mai 2018 rückt immer näher. Was sich in Hinblick auf den Newsletter-Versand, Cookies & Co. ändert und was hinter dem Recht auf Datenübertragung steckt, haben Sie in den letzten Beiträgen unserer DSGVO-Themenreihe bereits gelernt. Das neue Datenschutzrecht sieht ebenfalls eine Verschärfung der Meldepflicht an die Behörden bei Datenpannen vor. Wie Sie sich in einem solchen Fall künftig verhalten müssen, erklärt der folgende Beitrag.
Die Meldepflichten bei Datenpannen werden künftig in zwei Vorschriften geregelt. Während Art. 33 DSGVO die Informationspflicht gegenüber der Datenschutzaufsichtsbehörden bestimmt, definiert Art. 34 DSGVO die Benachrichtigung der Betroffenen.
Grundsätzlich meint eine Datenschutzverletzung im Rahmen der DSGVO einen Vorfall, der zu einer unbeabsichtigten oder unrechtmäßigen "(...) Vernichtung, zum Verlust (...), zur Veränderung (...) oder zur unbefugten Offenlegung (...) von personenbezogenen Daten" geführt hat (Art. 4 Abs. 12 DSGVO). Demnach muss eine Meldung dann erfolgen, wenn der Schutz personenbezogener Daten verletzt wurde und Risiken für den Betroffenen bestehen.
Tritt ein solcher Fall ein, muss der Verantwortliche gemäß Art. 33 DSGVO dies unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntniserlangung der zuständigen Aufsichtsbehörde melden. Diese Meldepflicht gilt nur dann nicht, wenn keinerlei Risiken für die Betroffenen zu erwarten sind.
Während die Meldepflicht unter der bisherigen Rechtslage nur bei besonders sensible Daten wie zum Beispiel Bank- oder Gesundheitsdaten greift, wird diese künftig auf jegliche personenbezogenen Daten ausgeweitet.
Das neue Datenschutzrecht sieht zudem eine umfassende Dokumentationspflicht (siehe Art. 33 Abs. 5 DSGVO) vor. Demnach muss die Meldung einer Datenpanne "eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten (...), den Namen und die Kontaktdaten des Datenschutzbeauftragten (...), eine Beschreibung der wahrscheinlichen Folgen (...) sowie eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung (...)" enthalten.
Fazit
Grundsätzlich gilt es, jede Datenpanne mit den entsprechenden relevanten Inhalten zu dokumentieren und schriftlich festzuhalten. Um für einen Ernstfall gut vorbereitet zu sein, ist es empfehlenswert, vorab eine Art Mustervorlage zu konzipieren, die dann schnell ausgefüllt und an die Datenschutzbehörde weitergeleitet werden kann.
An dieser Stelle möchten wir Sie außerdem darauf aufmerksam machen, dass dies keine rechtliche Beratung ist. Vielmehr möchten wir Sie mit diesem Artikel informieren. Für notwendige Handlungsmaßnahmen Ihrerseits konsultieren Sie am besten eine Rechtsberatung.