Art.33 DSGVO
In Art. 33 DS-GVO ist die Meldepflicht bei der Aufsichtsbehörde geregelt: Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, zum Beispiel durch einen Hacker-angriff, so muss der Verantwortliche dies unverzüglich melden.
Wann genau wird diese Meldepflicht ausgelöst und was muss inhaltlich in der Meldung aufgeführt werden? Diese Fragen werden im folgenden Artikel beantwortet.
Das Wichtigste auf einen Blick
1. Mögliche Verletzungen des Datenschutzes
Eine „Datenschutzpanne“ führt oft zu einem Verlust der Kontrolle über die Daten.
Leider geschieht so etwas öfter als vielleicht gedacht, denn nicht nur Hackerangriffe stellen eine Gefahr dar:
Möglich ist es beispielsweise, dass ein Sachbearbeiter personenbezogene Daten versehentlich veröffentlich. Dies kann passieren, wenn E-Mails oder Briefe an den falschen Adressaten versendet werden.
Auch bei dem Diebstahl eines Laptops, von Ordnern aus dem Büro oder dem Verlust des Handys handelt es sich um eine Datenverletzung und somit auch um einen Kontrollverlust.
Wenn die betroffenen Daten beispielsweise dem Berufsgeheimnis unterliegen, kann eine Verletzung einen Ruf schädigen, da das Vertrauen in den Datenschutz verloren gegangen ist. Darüber hinaus ist ein folgenschwerer Identitätsdiebstahl möglich.
Bei einer Verletzung können daher sowohl materielle als auch immaterielle Schäden entstehen.
2. Allgemeines zur Meldepflicht
Die Verletzlichkeit der personenbezogenen Daten nimmt aufgrund der steigenden Möglichkeiten der Datenverarbeitung und -nutzung weiter zu.
Die Norm des Art. 33 schafft durch die Meldepflicht die Grundlage für ein frühzeitiges Eingreifen und eine schnelle Vornahme von Gegenmaßnahmen.
Daneben wird die Aufmerksamkeit des Verantwortlichen auf die Bedeutung eines angemessenen Datenschutzes gelenkt, indem die Wichtigkeit dieses Schutzes und die Folgen der Verletzung in Form der umfangreichen Meldungsvornahme hervorgehoben werden.
2.1 Zeitpunkt der Meldung
Kommt es zu einer Verletzung des Schutzes von personenbezogenen Daten, so ist unverzügliches Handeln gefragt. Unter dem Begriff „unverzüglich“ versteht man eine sofortige Vornahme ohne schuldhaftes Zögern.
Durch die schnelle Meldung und die damit verbundenen Maßnahmen, kann das Risiko für die Rechte und Freiheiten natürlicher Personen minimiert werden.
Wird ein Fehler bemerkt, so soll dieser direkt - möglichst binnen 72 Stunden - der Aufsichtsbehörde gemeldet werden.
Die Vorgabe der 72 Stunden darf nur überschritten werden, wenn eine Meldung zu diesem Zeitpunkt nicht informativ genug wäre.
Ist dies der Fall, so muss der Meldung eine nachvollziehbare Begründung der Verzögerung beigelegt werden.
Die Pflicht entsteht in dem Zeitpunkt, in welchem die Verletzung bekannt wird.
Trotzdem ist ein früherer Zeitpunkt der Meldung dem späteren vorzuziehen.
2.2 Vornahme der Meldung
Die Meldung erfolgt durch den Verantwortlichen. Bei einer gemeinsamen Verantwortlichkeit muss festgelegt werden, wer der Meldepflicht nachkommen muss. In der Regel ist dies die Person, in deren Zuständigkeitsbereich mögliche Datenschutzverletzungen fallen.
Wird ein Auftragsverarbeiter beschäftigt, so hat er die Verletzung unverzüglich dem Verantwortlichen zu melden, damit sich dieser an die zuständige Aufsichtsbehörde wenden kann (Abs. 2). Der Auftragsverarbeiter selbst ist also nicht verpflichtet, der Aufsichtsbehörde die Datenschutzverletzung zu melden, wohl aber dem Verantwortlichen.
2.3 Form der Meldung
Da sich in Art. 33 kein Hinweis finden lässt, gelten für die Meldung an die Aufsichtsbehörde durch den Verantwortlichen keine Formanforderungen.
Für die Beweisfunktion des Meldungsnachweises und aufgrund des Umfangs der inhaltlichen Mindestanforderungen ist jedoch trotzdem die Schriftform zu empfehlen.
3. Ausnahmen der Meldepflicht
Eine Meldung ist nicht verpflichtend, wenn die Verletzung des Datenschutzes kein oder nur ein geringfügiges Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
Bei der Bewertung des Risikos ist das Verhältnis zwischen der Schwere der Verletzung, der Eintrittswahrscheinlichkeit und der Schadenshöhe zu berücksichtigen.
Nach dem Wortlaut des Art. 33 Abs. 1 ist es ausreichend, dass „voraussichtlich“ kein Risiko besteht. Das Nichtvorliegen dieses Risikos muss daher nicht bewiesen werden, eine methodisch nachvollziehbare Prognose genügt.
Die Prognose kann sich aus der Abwägung der Maßnahmen ergeben:
Haben Sie technisch-organisatorische Maßnahmen getroffen und sind diese angemessen?
Beim Beispiel des gestohlenen Laptops kann diese Maßnahme eine Verschlüsselung sein. Trotz des Diebstahls und der personenbezogenen Daten wäre es unwahrscheinlich, dass der Dieb den Laptop entschlüsseln und die Daten verwenden kann.
Wurde eine solche Verschlüsselung nicht vorgenommen, so ist das Risiko des Datenmissbrauchs höher.
4. Inhaltliche Mindestanforderungen
Die inhaltlichen Anforderungen, die mindestens in der Meldung an die Aufsichtsbehörde enthalten sein müssen, sind in Abs. 3 der Norm aufgeführt.
Abzudecken sind die Bereiche der Risikobewertung, der Darlegung der Fakten sowie die Analyse der Folgen.
Checkliste:
Beschreibung der Art der Verletzung, wenn möglich die Benennung der Kategorie; ungefähre Zahl der Betroffenen, der Kategorien und der betroffenen Datensätze.
Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle.
Beschreibung der wahrscheinlichen Folgen.
Beschreibung der ergriffenen und vorgesehenen Maßnahmen zur Behebung der Verletzung, Maßnahmen zur Abmilderung der Auswirkungen.
Die Punkte der Checkliste werden nachfolgend genauer erläutert:
4.1 Art der Verletzung, Benennung von Betroffenen, Kategorien und Zahlen
Es gibt verschiedene Arten der Verletzung vom Schutz personenbezogener Daten. Diese können vernichtet, verloren, verändert oder unbefugt offengelegt werden.
Die Angabe ist zusammen mit der Kategorie und Zahlennennung wichtig, um die Fehlerquelle ausfindig zu machen und um angemessene Maßnahmen zu bestimmen.
4.2 Kontaktdaten des Datenschutzbeauftragen
Die Nennung der Kontaktdaten des Datenschutzbeauftragen ist für die Aufsichtsbehörde wichtig, um weitere Informationen zum Thema Datenschutz im betroffenen Unternehmen oder in der jeweiligen Stelle zu erfahren sowie die Verletzung genauer bestimmen zu können.
4.3 Beschreibung möglicher Folgen
Auch sollten die Folgen der Datenschutzverletzung in der Meldung enthalten sein. Dies gewährleistet, dass die Aufsichtsbehörde den Umfang ihres möglichen Handelns und die Empfehlung von Maßnahmen genau an den Einzelfall anpassen kann.
Bei der Folgebeschreibung sind nicht alle denkbaren wirtschaftlichen, sozialen oder sonstigen Konsequenzen darzulegen, sondern nur wahrscheinliche, persönliche Folgen für die betroffenen natürlichen Personen.
4.4 Maßnahmenbeschreibung
Um die angedachten oder bereits vorgenommenen Maßnahmen einzuschätzen, sollten diese der Aufsichtsbehörde mitgeteilt und beschrieben werden.
Für die Umsetzung braucht der Verantwortliche nicht die Zustimmung der Aufsichtsbehörde.
Die Maßnahmenbeschreibung dient nur zur Information.
5. Schrittweise Zurverfügungstellung der geforderten Informationen
Können die inhaltlichen Mindestanforderungen nicht direkt im vollen Umfang an die Auf-sichtsbehörde weitergeleitet werden, so ist es nach Abs. 4 möglich, diese schrittweise nachzuliefern. Dies hat ohne unangemessene Verzögerung zu erfolgen.
Die unverzügliche Meldung ist wichtiger als die vollständige, vor allem bei einer hohen Risikobehaftung.
6. Dokumentationspflicht des Verantwortlichen
Neben der Meldepflicht hat der Verantwortliche nach Abs. 5 alle Verletzungen des Schutzes personenbezogener Daten und alle damit verbundenen Einzelheiten zu dokumentieren.
Eine Dokumentation erfolgt auch dann, wenn es nicht zu einer Meldung gekommen ist, beispielsweise weil kein Risiko der Gefahren für Rechte und Freiheiten von Betroffenen bestanden hat oder dieses im Anschluss einer Abwägung sehr niedrig bis unbeachtlich gewesen ist.
In solchen Fällen ist die Dokumentation wichtig, um die Entscheidung einer Nichtvornahme der Meldung zu begründen und die Richtigkeit der Entscheidung nachweisen zu können.
In Abs. 5 wird daher nochmal der Grundsatz der Rechenschaftspflicht der DS-GVO betont.
Durch die Dokumentation kann die Aufsichtsbehörde alle Verletzungen und die Einhaltung der Meldepflicht überprüfen und kontrollieren.
Es ist kein fester Zeitpunkt vorgegeben, in dem die Pflicht zur Dokumentation beginnt. Die Entscheidung muss unter Berücksichtigung des Einzelfalls betroffen werden.
7. Fazit
Die Meldepflicht des Art. 33 DS-GVO dient der flächendeckenden Beachtung von Datenschutzunfällen. Der Schutz personenbezogener Daten ist schnellstmöglich wiederher-zustellen und diese sind in der Zukunft vor Verletzungen zu schützen.
Wenn ein Fehler passiert, so soll aus diesem gelernt und Sicherheitslücken umgehend geschlossen werden.
Bei der Meldung sind einige inhaltliche Voraussetzungen zu beachten und zu integrieren.
Es gilt jedoch, dass eine schnelle Meldung wichtiger ist als eine, in der alle angeforderten Punkte lückenlos beinhaltet sind. Dies gilt vor allem für Datenverletzungen, bei denen ein sehr hohes Risiko für die Rechte und Freiheiten personenbezogener Daten besteht.
Fehlende Informationen werden im besten Fall schnellstmöglich nachgereicht.
Ähnliche spannende Beiträge
Artikel 28 DSGVO
Artikel 28 DSGVO (auch genannt Gemeinsame Verantwortlichkeit). Worauf müssen Unternehmen achten? Welche Vorgaben gelten? Alle Infos für die Praxis.
Art 33 DSGVO
Haftung und Recht auf Schadensersatz nach Art 82 DSGVO. Was gibt es zu beachten und für welche Fälle ist eine Haftung vorgesehen?
Art 26 DSGVO
Art 26 DSGVO behandelt die gemeinsame Verantwortlichkeit von Unternehmen und Auftraggebern. Wir informieren Sie über alles Wichtige.
Art 82 DSGVO
Haftung und Recht auf Schadensersatz nach Art 82 DSGVO. Was gibt es zu beachten und für welche Fälle ist eine Haftung vorgesehen?
Artikel 15 DSGVO
In Artikel 15 DSGVO sind die Betroffenenrechte normiert. In diesem Artikel erfahren Sie, welche das sind und was es in der Praxis zu beachten gibt.
Art 32 DSGVO
Art 32 DSGVO behandelt die technisch-organisatorischen Maßnahmen. Wir informierenm Sie, wie diese umgesetzt werden müssen.