Nach der Datenschutz-Grundverordnung sind die für Datenverarbeitung Verantwortlichen (die „Datenschutzbeauftragten“) eines Unternehmens verpflichtet, bei einer wie auch immer zustande kommenden Panne – bei der personenbezogene Daten im Spiel sind – die zuständige Datenschutzbehörde zu informieren. Dabei stellt sich natürlich die Frage, ob die Meldung einer Datenpanne eventuell zu einem Bußgeldverfahren führt – also quasi die Verpflichtung besteht, sich selbst zu belasten. Das ist so einfach nicht der Fall.
Binnen 72 Stunden, nachdem Verantwortliche ein Problem entdeckt haben, sollten die entsprechenden Information übermittelt werden. Viele Datenschutz-Aufsichtsbehörden bieten dazu inzwischen die Möglichkeit über ihre Webseiten entsprechende Datenpannen online zu melden. Es ist also ein eher geringer Aufwand, der aber nicht dazu verleiten sollte, auf eine solche Meldung zu verzichten.
In bestimmten Fällen muss ein Unternehmen die Datenpanne auch den direkt Betroffenen, also etwa den Kunden melden. Voraussetzung ist, dass die Verletzung zu einem voraussichtlich hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Als Firma muss man also eine Prognose treffen, ob ein solcher Fall eintreten wird. Übrigens: die Benachrichtigung muss unverzüglich erfolgen und zudem in einer klaren und einfachen Sprache übermittelt werden.
Um es klar zu sagen: Versäumte oder verspätete Meldungen stellen einen Verstoß dar und können mit Bußgeld geahndet werden. Sofern von einer Meldung abgesehen wird, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen zu bestehen scheint, ist dies sorgfältig zu dokumentieren und zu begründen.
Wie muss man als Unternehmer bei einer Datenpanne vorgehen?
Liegt hingegen die Verletzung personenbezogener Daten vor, sind für eine Risikobeurteilung insbesondere folgende Fragen zu stellen:
- In welcher Form ist eine Datenpanne aufgetreten?
- Welche Schäden können für die betroffene Person eintreten?
- Durch welche Handlung und Umstände kann ein solches Schadensereignis eintreten?
So führt beispielsweise der Verlust von Kreditkartendaten durch ein Problem mit dem Server des Betreibers zum Risiko eines Kreditkartenmissbrauchs – und eventuell auch zu einem materiellen Schaden in Form einer unbefugten Kreditkarten-Nutzung.
Wobei nach dem Bundesdatenschutzgesetz einschränkend gilt, dass die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen nur mit dessen Zustimmung verwendet werden darf. Das gilt auch für die Einleitung eines Strafverfahrens. Wer diese Zustimmung also nicht erteilt, braucht somit nicht zu befürchten, dass die Datenschutz-Aufsicht auf Grundlage der eigenen Meldung ein Bußgeld-Verfahren einleitet.
Aber, sollten Dritte die Datenpanne melden – so steht die gegebenenfalls bußgeldbewehrte Frage im Raum, warum die Verantwortlichen diese Panne nicht gemeldet haben.
Foto: fizkes– stock.adobe.com