Meldepflichten nach DSGVO richtig umsetzen
Kommt es zu einer Datenschutz-Verletzung, treten unter bestimmten Bedingungen Meldepflichten ein. Wann genau welche Informationspflicht eintritt, regelt die Datenschutz-Grundverordnung (DSGVO) anders als das bisherige Bundesdatenschutzgesetz (BDSG).
Verfahren für Meldepflichten neu aufsetzen
Geht es um die Meldung einer Datenschutz-Verletzung an die zuständige Aufsichtsbehörde, steht die Frist von 72 Stunden im Mittelpunkt der Diskussionen. Es gilt nach Datenschutz-Grundverordnung:
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“
|
Doch die 72-Stunden-Frist ist nicht die einzige Änderung bei den Informationspflichten, die bei einer Datenschutz-Verletzung nach DSGVO eintreten.
Tatsächlich muss der Verantwortliche das Verfahren zur Meldung einer Datenpanne nicht nur beschleunigen oder auf die Frist anpassen. Er muss viel mehr noch weitere, grundsätzliche Änderungen vornehmen.
Meldepflichten: Was unter der DSGVO nicht mehr gilt
Im Vergleich zum bisherigen Bundesdatenschutzgesetz gibt es eine Reihe von Punkten, die nicht mehr stimmen. Die wichtigsten Änderungen:
- Die DSGVO beschränkt die Informationspflicht NICHT mehr auf „besonders sensible personenbezogene Daten, die Dritten unrechtmäßig zur Kenntnis gelangen, und die schwerwiegende Beeinträchtigungen für die Rechte darstellen oder schutzwürdige Interessen der Betroffenen bedrohen“.
- Die Informationspflicht betrifft NICHT mehr Datenarten wie „besondere Arten personenbezogener Daten, personenbezogene Daten, die einem Berufsgeheimnis unterliegen, personenbezogenen Daten mit Bezug zu Straftaten oder Ordnungswidrigkeiten oder personenbezogene Daten zu Bank- und Kreditkartenkonten“.
Wer sich an der Meldepflicht orientiert hat, wie es das bisherige BDSG verlangte, muss umgehend umstellen und die Artikel 33 und 34 DSGVO umsetzen.
Meldepflichten: Was die DSGVO fordert
Die DSGVO senkt die Schwellen, ab wann eine Meldepflicht an die zuständige Aufsicht besteht, ab. Dagegen müssen die Meldungen an die betroffenen Personen eher seltener als bisher erfolgen. So gilt:
- Eine Meldung an die Aufsichtsbehörde hat bei einer Verletzung der DSGVO immer zu erfolgen. Ausnahme: Die Datenpanne führt „voraussichtlich nicht zu einem Risiko“ für den Betroffenen.
- Eine betroffene Person muss nur benachrichtigt werden, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht.
Neben der eingangs genannten Meldefrist gibt es nach DSGVO bestimmte Inhalte, die die Meldung an die zuständige Aufsichtsbehörde berücksichtigen muss:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder sonstigen Anlaufstelle für weitere Informationen
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
Können Sie die Informationen nicht zur gleichen Zeit bereitstellen, können Sie diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
Es zeigt sich: Sich auf die Meldefrist allein zu konzentrieren, reicht nicht aus. Es ist notwendig, den kompletten Meldeprozess zu überprüfen und anzupassen. Der Verantwortliche muss jede Datenschutz-Verletzung dahin gehend überprüfen, ob die Datenpanne „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt. Und das nicht nur bei einer Datenpanne mit besonders sensiblen Daten. |