ZUSATZ INFORMATIONEN
Juristisch korrekt ausgedrückt handelt es sich bei „Datenpannen“ um Verletzungen des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO, also um eine „[…] Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Klassische Beispiele hierfür sind falsch versendete E-Mails, (versehentlich) falsch vergebene Zugriffsrechte in Datenverarbeitungssystemen, Datenkompromittierungen durch Ransomware etc.
Führt die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen, resultieren daraus für den Verantwortlichen (Art. 4 Nr. 7 DSGVO) Meldepflichten gemäß Art. 33 Abs. 1 DSGVO gegenüber der zuständigen Aufsichtsbehörde. Diese Meldung muss sodann unverzüglich, spätestens jedoch 72 Std. nach Kenntnis erfolgen. Die Zurechnung der Kenntnis des Vorfalls bemisst sich hierbei an den allgemeinen Grundsätzen der Wissenszurechnung in Organisationseinheiten. Das bedeutet, dass dem Verantwortlichen die Kenntnisnahme einer meldepflichtigen Datenpanne ab dem Zeitpunkt zuzurechnen ist, ab dem ein Beschäftigter der internen Organisation, der für die Verarbeitung personenbezogener Daten verantwortlich ist oder von dem dies aufgrund seiner Stellung im Unternehmen erwartet werden kann, hiervon Kenntnis erlangt.
Derzeit läuft die Frist von 72 Stunden auch über Wochenend- und Feiertage. Der aktuelle Vorschlag der EU-Kommission „zur Festlegung von zusätzlichen Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679“ könnte in diesem Zusammenhang jedoch wesentliche Erleichterungen für Verantwortliche schaffen und Wochenenden und Feiertage künftig von der Fristberechnung ausnehmen. Entstehen aufgrund der Umstände durch die Datenpanne hohe Risiken für die Rechte und Freiheiten der betroffenen natürlichen Personen, entsteht zusätzlich die Verpflichtung die betroffenen Personen gemäß Art. 34 DSGVO zu benachrichtigen. Dies hat unverzüglich zu erfolgen. Die Benachrichtigung muss hierbei zumindest die nach Art. 33 Abs. 3 lit. b-d DSGVO geforderten Informationen enthalten.
Konsequenzen bei Verstößen gegen die Melde- bzw. Benachrichtigungspflicht
Verstöße gegen die Verpflichtungen aus Art. 33 DSGVO (Meldung an die Aufsichtsbehörde) bzw. Art. 34 DSGVO (Benachrichtigung der betroffenen Personen) können von den Aufsichtsbehörden mit Bußgeldern von bis zu 10 Mio. Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes des Unternehmens (= Wirtschaftliche Einheit) geahndet werden.
Nicht vergessen werden darf hierbei, dass auch Verletzungen des Schutzes personenbezogener Daten, die zu keinem Risiko für natürliche Personen führen, einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen gemäß Art. 33 Abs. 5 DSGVO dokumentiert werden müssen. Letztlich sind auch Verstöße gegen die Dokumentationspflicht nach Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt.
(Quelle: DSN Group, datenschutz notizen vom 11. April 2024)