Datenschutzverletzungen rechtskonform an die Behörde melden

Was ist mit der Meldepflicht gegenüber der Behörde gemeint, welche Funktion hat die Meldung und was muss bei der Umsetzung beachtet werden?

Eine Meldung gegenüber der Datenschutzaufsicht ist immer dann erforderlich, wenn es zu einer Datenschutzverletzung gekommen ist und ein Risiko für Personen entstanden ist, die von der Datenschutzverletzung betroffen sind. Eine solch risikobehaftete Datenschutzverletzung liegt immer dann vor, wenn es zu einer Verletzung der Datensicherheit gekommen ist (z.B. Hackerangriff) und hierdurch ein Risiko entstanden ist (z.B. weil der Hacker auf die freiliegenden Daten nachweislich zugegriffen hat (detailliert dazu: Cluster Datenschutzverletzung).

In einem solchen Fall muss die für das Unternehmen zuständige Datenschutzaufsicht innerhalb von 72 Stunden benachrichtigt werden und die gesetzlich definierten Informationen bereitgestellt werden. Hierzu zählen:

Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Zusätzlich zur Meldepflicht muss der Verantwortliche jede Verletzung des Schutzes personenbezogener Daten dokumentieren (einschließlich Beschreibung, Auswirkungen der Verletzung und ergriffene Abhilfemaßnahmen).

Die Meldung einer Datenschutzverletzung muss von dem Verantwortlichen vorgenommen werden. Erfolgt die Datenverletzung auf Seiten des Auftragsverarbeiters, ist dieser verpflichtet, den Verantwortlichen zu informieren. Die Frist für eine solche Benachrichtigung des Auftragsverarbeiters wird in der Regel in einer Vereinbarung zur Auftragsverarbeitung festgelegt.

Die Einschaltung der Behörde ermöglicht eine unabhängige Behandlung der Datenverletzung. Die Behörde kann dem Verantwortlichen Weisungen erteilen, wie die Verletzung zu behandeln ist. Die Behörde hat z. B. die Befugnis, den Verantwortlichen anzuweisen, die betroffenen Personen über die Verletzung zu informieren (auch wenn der Verantwortliche der Ansicht ist, dass die Verletzung kein hohes Risiko darstellt).

Wie ist bei der Benachrichtigung der Behörde und damit zusammenhängender Pflichten konkret vorzugehen?

1

Information der für die Meldung zuständigen Abteilung (in der Regel Datenschutz- oder Rechtsabteilung) – eine entsprechende interne Meldepflicht sollte in einer Data Breach-Richtlinie im Unternehmen verankert werden.

2

Ermittlung der gesetzlich definierten Informationen gemeinsam mit dem jeweils betroffenen Fachbereich

3

Erstellung eines Benachrichtigungstextes, ggf. anhand eines online abrufbaren Formulars der zuständigen Datenschutzaufsicht

4

Kontaktaufnahme mit der Behörde, ggf. Entgegennahme von Einschätzungen/ Anordnungen dieser Behörde

5

Dokumentation der Datenschutzverletzung

6

7

Prüfe den anwendbaren Gesetzestext.

Prüfe relevante Gerichtsurteile.

Was haben die Datenschutzaufsichtsbehörden zum Thema Meldung gegenüber der Behörde veröffentlicht?

Article-29-Working-Party: Guidelines on Personal data breach notification under Regulation 2016/679 (06.02.2018)

Guidelines 01/2021 on Examples regarding Personal Data Breach Notification (14.12.2021)

DSAB Hamburg: Umgang mit Data-Breach-Meldungen nach Art. 33 DSGVO (02.09.2023)

>> Finde heraus, welche anderen Datenschutzpflichten im Einzelfall ggf. zu beachten sind.

Ihr Unternehmen

Ihr Vorname*

Ihr Nachname*

Ihre E-Mailadresse*

Ihre Telefonnummer

Betreff*

Frage zu einem unserer Produkte?

Ihre Nachricht

Benachrichtigung der Behörde