Meldung eines Datenschutzverstoßes an die Aufsichtsbehörde

Gesetzgebung: DS-GVO

In der Praxis kommt es immer wieder zu Missverständnissen darüber, wer für die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde verantwortlich ist: Der Datenschutzbeauftragte, der Verantwortliche oder der Auftragsverarbeiter? Gemäß der Datenschutz-Grundverordnung (DS-GVO) ist es die Verantwortung des Verantwortlichen (üblicherweise die Geschäftsführung), Datenschutzverstöße an die zuständige Aufsichtsbehörde zu melden.
 
Artikel 33 der DS-GVO legt verbindlich fest, dass der Verantwortliche die Aufsichtsbehörde unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnisnahme des Verstoßes informieren muss, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
 
Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, ist er gemäß Art. 33 Abs. (2) DS-GVO dazu verpflichtet, diese Verletzung unverzüglich an den Verantwortlichen zu melden.

Meldung an die Aufsichtsbehörde

Im Rahmen der Meldung an die zuständige Aufsichtsbehörde ist der Verantwortliche verpflichtet, alle relevanten Informationen zum Verstoß bereitzustellen. Dazu gehören gemäß Art. 33 Abs. (1) DS-GVO zumindest folgende Informationen:
  1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
  3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Auf welchem Weg wird die Meldung erstattet?

Die DS-GVO schreibt keine bestimmte Form für die Erstattung der Meldung eines Datenschutzverstoßes an die zuständige Aufsichtsbehörde vor. Daher kann die Meldung – soweit die zuständige Aufsichtsbehörde dies ermöglicht – auf sehr verschiedenen Wegen erfolgen:
  1. Elektronisch
    Über das Online-Meldeportal der Aufsichtsbehörde. Die meisten Datenschutzaufsichtsbehörden bieten auf ihrer Webseite ein spezielles Formular an, das ausgefüllt und elektronisch eingereicht werden kann.
  2. Per E-Mail
    Einige Aufsichtsbehörden akzeptieren Meldungen auch per E-Mail. Die E-Mail-Adressen werden auf den Webseiten der jeweiligen Aufsichtsbehörden genannt.
  3. Telefonisch
    Manche Aufsichtsbehörden bieten auch die Möglichkeit, Verstöße telefonisch zu melden.
  4. Per Post
    Bei einem erfolgreichen Cyberangriff ist es dem Verantwortlichen meist nicht mehr möglich, die Meldung elektronisch einzureichen. Daher kann diese auch per Post an die zuständige Aufsichtsbehörde gesandt werden.
Es ist immer ratsam, die Webseite der jeweiligen Datenschutzbehörde zu besuchen, um die genauen Kontaktinformationen und die bevorzugten Meldewege zu erfahren.

Information der betroffenen Personen

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so verlangt die DS-GVO im Art. 34 Abs. (1) zwingend, dass der Verantwortliche die betroffene Person unverzüglich von der Verletzung benachrichtigt. Aus juristischer Sicht bedeutet "unverzüglich," dass eine Handlung ohne schuldhaftes Zögern vorgenommen werden muss.
 
Dies bedeutet, dass die Handlung so schnell wie möglich erfolgen sollte, wobei es auf die Umstände des Einzelfalls ankommt. Der Begriff ist in verschiedenen Rechtsvorschriften verankert, beispielsweise in § 121 des Bürgerlichen Gesetzbuches (BGB). Eine Verzögerung ist nur dann zulässig, wenn sie durch sachliche Gründe gerechtfertigt ist, wie zum Beispiel die Notwendigkeit, zusätzliche Informationen einzuholen. Diese sofortige Handlungspflicht soll sicherstellen, dass die betroffenen Personen umgehend Maßnahmen ergreifen können, um mögliche Schäden zu minimieren oder zu verhindern.
 
Die Benachrichtigung der betroffenen Person muss in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten beschreiben und zumindest die in Artikel 33 Absatz 3 DS-GVO genannten Informationen und Maßnahmen enthalten:
  • Art. 33 Abs. (3) Buchstabe b): Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
  • Art. 33 Abs. (3) Buchstabe c): Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • Art. 33 Abs. (3) Buchstabe d): Eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn der Verantwortliche die betroffene Person nicht bereits über die Verletzung des Schutzes personenbezogener Daten benachrichtigt hat, kann die Aufsichtsbehörde unter Berücksichtigung der Wahrscheinlichkeit, mit der die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von dem Verantwortlichen verlangen, dies nachzuholen (siehe Art. 34 Abs. (4) DS-GVO).

Maßnahmen zur Behebung

Der Verantwortliche muss unverzüglich Maßnahmen ergreifen, um den Verstoß zu beheben und weitere Verstöße zu verhindern, indem er zum Beispiel geeignete technische und organisatorische Maßnahmen implementiert, Schulungen für Mitarbeiter durchführt und regelmäßige Überprüfungen sowie Audits durchführt, um sicherzustellen, dass die Datenschutzbestimmungen eingehalten werden.

Die Rolle des Datenschutzbeauftragten

Während die Verantwortung für die Meldung eines Datenschutzverstoßes bei der Geschäftsführung (als im Sinne der DS-GVO Verantwortliche) liegt, spielt der Datenschutzbeauftragte eine wichtige unterstützende Rolle.
 
Der Datenschutzbeauftragte kann die folgenden Aufgaben übernehmen:
  1. Beratung und Unterstützung
    Unterstützt die Geschäftsführung bei der Bewertung, ob ein Verstoß meldepflichtig ist, und berät über die zu ergreifenden Maßnahmen.
  2. Dokumentation
    Hilft bei der Dokumentation des Verstoßes und der ergriffenen Maßnahmen, um sicherzustellen, dass alle Anforderungen der DS-GVO erfüllt werden.
  3. Kommunikation
    Kann als Schnittstelle zwischen dem Unternehmen und der Aufsichtsbehörde fungieren und bei der Kommunikation unterstützen.

Fazit dieses Blogbeitrags

Gemäß der Datenschutz-Grundverordnung (DS-GVO) liegt die Verantwortung für die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde bei der Geschäftsführung als Verantwortliche.
 
Artikel 33 der DS-GVO legt fest, dass Verstöße unverzüglich und innerhalb von 72 Stunden gemeldet werden müssen, es sei denn, es besteht kein Risiko für die betroffenen Personen. Auftragsverarbeiter müssen Verstöße unverzüglich an den Verantwortlichen melden.
 
Die Meldung kann auf verschiedenen Wegen erfolgen: elektronisch, per E-Mail, telefonisch oder per Post. Es ist ratsam, die Webseite der jeweiligen Datenschutzbehörde zu besuchen, um die bevorzugten Meldewege zu erfahren.
 
Die betroffenen Personen müssen benachrichtigt werden, wenn ein hohes Risiko für ihre Rechte und Freiheiten besteht. Der Verantwortliche muss Maßnahmen zur Behebung des Verstoßes und zur Verhinderung weiterer Verstöße ergreifen.
 
Der Datenschutzbeauftragte spielt eine unterstützende Rolle, indem er die Geschäftsführung berät, die Dokumentation unterstützt und als Schnittstelle zur Aufsichtsbehörde fungiert.