Neues Datenschutzrecht: Datenschutzverstöße sind meldepflichtig!

Pressemitteilung der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg vom 01.10.2018.

Die seit dem 25. Mai 2018 anzuwendende Datenschutz-Grundverordnung (DS-GVO) sieht eine deutliche Verschärfung der Verpflichtung vor, die Aufsichtsbehörde im Falle eines Verstoßes gegen den Datenschutz zu informieren. Erwartungsgemäß ist die Zahl der Meldungen solcher „Datenpannen“ seit diesem Stichtag massiv angestiegen: Während die Landesbeauftragte zwischen Januar und Mai nur in sechs Fällen benachrichtigt worden war, erhielt sie in den vergangenen vier Monaten bereits 60 Meldungen. Dass der Datenschutz auf diese Weise stärker in das Bewusstsein der Verantwortlichen in Unternehmen, Behörden und Vereinen rückt, bewerten wir positiv.

Beispielsweise meldete eine Kita den Diebstahl ihrer Digitalkamera mit den Fotos der Kinder, eine Klinik übergab die Kopie eines Schwerbehindertenausweises versehentlich an den falschen Patienten und einige Bankkunden konnten beim Online-Banking die Kontoauszüge Dritter einsehen. Bei einem Hackerangriff auf einen Webshop wurden Kundendaten unbefugt kopiert; ein Hotel konnte nicht ausschließen, dass durch einen erpresserischen Hackerangriff Kreditkarten- oder andere Kundendaten aus seinem Buchungssystem in falsche Hände gerieten. Dagmar Hartge:

Die Meldepflicht für Datenschutzverstöße trägt dazu bei, aus Pannen oder Fehlern schnell die richtigen Konsequenzen zu ziehen. Damit ich notfalls eingreifen kann, genügt es nicht, mir irgendwann mitzuteilen, dass etwas passiert ist. Vielmehr sind umgehende und ausführliche Angaben zu Umfang, Folgen und Risiko sowie zu den getroffenen Maßnahmen erforderlich. Diese Anforderungen an die Meldung von Datenpannen werden jedoch oft nicht erfüllt. Unvollständige oder verspätete Meldungen oder die trotz hohen Risikos unterbliebene Information der betroffenen Personen können mit einem Bußgeld geahndet werden. Davon werde ich künftig Gebrauch machen. Grundsätzlich gilt: Lieber einmal zu viel als einmal zu wenig melden.

Rechtsgrundlage der Meldepflicht ist Artikel 33 DS-GVO. Der Verantwortliche meldet der Aufsichtsbehörde die Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem sie ihm bekannt wurde, es sei denn, dass voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Die Vorschrift führt im Einzelnen auf, welche Angaben notwendig sind. Eine vollständige Dokumentation ist erforderlich. Im Falle eines hohen Risikos sind nach Artikel 34 DS-GVO die betroffenen Personen zu informieren. Sozialleistungsträger müssen, sofern es um Sozialdaten geht, zusätzlich die Fach- und Rechtsaufsicht unterrichten (§ 83a Zehntes Buch Sozialgesetzbuch). Im Falle gemeldeter Datenschutzverstöße ist es Aufgabe der Landesbeauftragten, sicherzustellen, dass die Verantwortlichen den Schaden für die betroffenen Personen begrenzen, diese ggf. informieren und Maßnahmen ergreifen, um künftige Vorfälle zu verhindern. Die Verantwortlichen sollten organisatorisch sicherstellen, dass sie ihrer Meldepflicht im Bedarfsfall schnell und umfassend nachkommen können.

Die Pressemitteilungen der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg können hier abgerufen werden.