Nils Bergert
Elisa Härder
Ines Heck
Manuel Hemm
Ingo Hochheim
Selina Hohe
Peter Huhn
Domenic Ipta
Kathrin Klein
Sophia Laas
Dr. Alexander Lang
Julian Pfeil
Magdalena Püschel
Thomas Rotzal
Susanna Schäfer
Valeria Schmidt
Christian Stadler
Alexander Stegmann
Jörg Steinbock
Bad Kissingen 
Bamberg 
Gerbrunn 
Gotha 
Kürnach 
München 
Randersacker 
Rottendorf 
Würzburg Wann muss eine Datenpanne der Aufsichtsbehörde gemeldet werden?
Nicht selten kommt es vor, dass Daten durch Dritte abgegriffen oder anderweitig abhandengekommen sind. Aus datenschutzrechtlicher Sicht stellt sich dann immer die Frage, ob diese Datenpanne gegenüber der Aufsichtsbehörde angezeigt werden muss.
Eine Meldepflicht gegenüber der Datenschutz-Aufsichtsbehörde nach Art. 33 DSGVO besteht immer dann, wenn von einem rechtlich relevanten Risiko ausgegangen werden kann. Lediglich bei einem geringen, zu vernachlässigen Risiko kann eine Meldung unterbleiben.
Risikostufen Datenpanne / Datenleck / Datenschutzvorfall
In der Regel wird zwischen drei Risikostufen unterschieden:
- Tritt voraussichtlich kein Risiko auf – in der Sache handelt es sich um ein vernachlässigbar geringes (datenschutzrechtlich nicht relevantes) Risiko – unterbleiben sowohl die Meldung einer Datenschutzverletzung an die Datenschutz-Aufsichtsbehörde wie auch die Benachrichtigung der betroffenen Personen.
- Entsteht voraussichtlich ein (datenschutzrechtlich relevantes) Risiko, ist nach Art. 33 Abs. 1 DSGVO zu melden, aber nicht nach Art. 34 Abs. 1 DSGVO zu benachrichtigen.
- Nur wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko zur Folge hat, muss eine Meldung an die Datenschutz-Aufsichtsbehörde abgegeben werden und es müssen auch die betroffenen Personen benachrichtigt werden.
Meldefrist: 72 Stunden
Die Meldung gegenüber der Datenschutz-Aufsichtsbehörde muss unverzüglich, jedoch spätestens innerhalb von 72 Stunden erfolgen.
Die Meldefrist beginnt ab dem Zeitpunkt zu laufen, ab dem irgendjemand in dem Unternehmen des Verantwortlichen Kenntnis von den erheblichen Tatsachen der Datenpanne erhalten hat. Hierbei spielt es keine Rolle, ob bereits eine vollständige Ermittlung des Sachverhaltes stattgefunden hat, sondern vielmehr ist es notwendig eine vorläufige Meldung zu erstatten und gegebenenfalls die weitere Sachverhaltsaufklärungen nachzureichen.
Festzuhalten ist jedoch, dass der Verantwortliche die 72 Stunden nicht voll ausreizen darf, sondern vielmehr unverzüglich also auch früher melden muss. Eine Verletzung der Meldefrist ist gem. Art. 83 Abs. 4 lit. a DSGO bußgeldbewehrt.
Bei dokumentierten, außergewöhnlichen Umständen kann von dem Verantwortlichen gem. Art. 33 Abs. 1 S. 2 DSGVO dargelegt werden, aus welchen Gründen die Meldefrist nicht eingehalten werden konnte.
Wir helfen weiter!
Wir empfehlen Ihnen, bei Eintritt eines meldepflichtigen Ereignisses umgehend alle relevanten Informationen zu sammeln und die Meldung so schnell wie möglich, spätestens jedoch innerhalb von drei Tagen, bei der zuständigen Behörde einzureichen.
Für die Einschätzung sämtlicher datenschutzrelevanter Informationen stehen wir Ihnen unkompliziert und vertrauensvoll per E-Mail unter info@steinbock-partner.de oder telefonisch zur Verfügung.
