Wir werden häufig gefragt, welche Datenschutzverstöße bei der Aufsichtsbehörde gemeldet werden müssen. Wir haben Ihnen in unserem Artikel “Wann muss ein Datenschutzverstoß gemeldet werden?” die wichtigste Punkte bereits zusammengefasst.
Grundsätzlich gilt: Meldung jedes Datenschutzverstoßes
Gemäß Art. 33 I DSGVO muss Ihr Unternehmen im Falle einer Verletzung des Schutzes personenbezogener Daten (Datenschutzverstoß / Datenschutzverletzung) unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung dem Unternehmen bekannt wurde, diese der zuständigen Aufsichtsbehörde melden. Es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.
Dies bedeutet, dass Sie grundsätzlich jede Datenschutzverletzung / jeden Datenschutzverstoß der Aufsichtsbehörde melden müssen!
Greift die Ausnahmeregelung?
Sie müssen einen Datenschutzverstoß nur dann nicht melden, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Ausnahmeregelung des Art. 33 Abs. 1, 2.Halbsatz DSVO).
Ob diese Ausnahmeregelung greift, sollten Sie bei Vorliegen eines Datenschutzverstoßes aber nur durch einen ausreichend qualifizierten Rechtsanwalt prüfen lassen. Sollten Sie nämlich irrtümlich annehmen, dass die Ausnahmeregelung greift, geht die fehlerhafte Einschätzung zu Ihren Lasten.
Hilfe durch den Europäischen Datenschutzausschuss (EDSA)
Um Unternehmen die Einordnung zu erleichtern, ob eine Meldung bei einem Datenschutzverstoß erforderlich ist, hat der Europäische Datenschutzausschuss (EDSA) einen Entwurf von Richtlinien mit Beispielen veröffentlicht.
Das Dokument gibt anhand von mehreren Beispielen Hinweise, wann eine Meldung von Datenschutzverstößen bei der Aufsichtsbehörde erforderlich ist und wann nicht.
Besprochen werden folgende Beispiele:
- Ransomware-Befall mit angemessenem Backup und ohne Abfluss von Daten
- Ransomware-Befall ohne angemessenes Backup
- Ransomware-Befall mit angemessenem Backup und ohne Abfluss von Daten in einem Krankenhaus
- Ransomware-Befall ohne angemessenes Backup und mit Datenabfluss
- Angriff auf ein Job-Bewerbungsformular einer Website mit Datenabfluss
- Abgriff von Passwörtern in einem „gehashten“ Format von einer Website
- Credential-Stuffing-Attacke auf eine Bank-Website (massenhafte Login-Versuche mit z.B. gestohlenen oder geratenen Login-Daten)
- Datenweitergabe durch ehemalige Beschäftigte
- Ungewollte Datenübermittlung an eine vertrauenswürdige dritte Stelle
- Gestohlener Datenträger mit verschlüsselten Daten
- Gestohlener Datenträger mit unverschlüsselten Daten
- Gestohlene Papiere mit besonderen Kategorien von personenbezogenen Daten Falsch versendete Briefpost
- Besonders schutzbedürftige Daten ungewollt per E-Mail versendet
- Personenbezogene Daten ungewollt per E-Mail versendet
- Identitätsdiebstahl
- Ungewollter Zugriff auf (und Abfluss von) E-Mails
Der Entwurf gibt bei jedem Beispiel Hinweise zur Risikobewertung. Weiter enthält der Entwurf Einschätzungen, ob neben einer Meldung bei der Aufsichtsbehörde ggf. auch eine Information der Betroffenen erforderlich ist.
Den Entwurf können Sie in englischer Sprache hier herunterladen.
Ein ähnliches Dokument hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit in deutscher Sprache veröffentlicht.
Dieses Dokument können Sie hier herunterladen.
Bei Fragen rund um das Thema “Meldung von Datenschutzverstößen/Datenschutzverletzungen” und zu allen Fragen des Datenschutzrechts stehen wir Ihnen gerne zur Verfügung.
GoldbergUllrich Rechtsanwälte 2021
Rechtsanwalt Michael Ullrich, LL.M. (Informationsrecht)
Fachanwalt für gewerblichen Rechtsschutz
Fachanwalt für Informationstechnologierecht
