Wann muss ein Datenschutzverstoß gemeldet werden?

Kurz vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) hatten viele Unternehmen davor Angst, dass die DSGVO mit ihren hohen Bußgeldern viele Unternehmen ruinieren wird. Die Unternehmen wollten daher schnellstmöglich die Prozesse in ihrem Unternehmen auf die DSGVO anpassen.

Nun, nach einem Jahr DSGVO, hat der Elan bei vielen Unternehmen nachgelassen.

Dies mag damit zusammenhängen, dass in Deutschland bisher in der Masse noch keine erheblichen Bußgelder verhängt wurden. Dies wird sich jedoch ändern.

Daher lautet unser erster Appell: Treiben Sie die notwendigen Maßnahmen zur Umsetzung der DSGVO und zur Einführung eines Datenschutzmanagementsystems in Ihrem Unternehmen weiter voran.

Vermeiden Sie datenschutzrechtliche Verstöße!

Wir weisen Sie nämlich auf ein datenschutzrechtliches Thema hin, dass bei vielen Unternehmen nicht bekannt ist.

Gemäß Art. 33 I DSGVO muss Ihr Unternehmen im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung dem Unternehmen bekannt wurde, diese der zuständigen Aufsichtsbehörde melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Dies bedeutet, dass grundsätzlich jede Datenschutzverletzung der Aufsichtsbehörde zu melden ist!

Es sei denn, es greift die Ausnahmeregelung des Art. 33 Abs. 1, 2.Halbsatz DSVO.

Ob diese Ausnahmeregelung greift, sollten Sie bei Vorliegen eines Datenschutzausstoßes nur durch einen ausreichend qualifizierten Rechtsanwalt oder Ihren Datenschutzbeauftragten überprüfen lassen. Sollten Sie nämlich irrtümlich annehmen, dass die Ausnahmeregelung greift, geht die fehlerhafte Einschätzung zu Ihren Lasten.

Weiter ist darauf hinzuweisen, dass allein eine fehlerhaft unterlassene Meldung bei der Aufsichtsbehörde die Verhängung von Geldbußen bis zu 10 Millionen € oder bei Unternehmen von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem welcher Betrag höher ist, vorsieht.

Hinzu kommt dann noch das Bußgeld für den eigentlichen Datenschutzverstoß.

Die ordnungsgemäße Meldung eines Datenschutzverstoßes bedeutet aber nicht, dass kein Bußgeld für den Datenschutzverstoß gegen Ihr Unternehmen verhängt wird. Durch die ordnungsgemäße Meldung eines Datenschutzverstoßes können Sie nur vermeiden, dass ein Bußgeld wegen einer unterlassenen Meldung gegen Ihr Unternehmen verhängt wird.

Daher lautet unser zweiter Appell: Wenden Sie sich umgehend an Ihren datenschutzrechtlichen Berater, wenn Sie einen Datenschutzverstoß in Ihrem Unternehmen feststellen. 72 Stunden sind nicht lang!

Für Rückfragen zu diesem Thema oder bei Datenschutzvorfällen stehen wir Ihnen gerne zur Verfügung.

GoldbergUllrich Rechtsanwälte 2020

Rechtsanwalt Michael Ullrich, LL.M. (Informationensrecht)
Fachanwalt für Informationstechnologierecht