Der Datenschutz hat in Europa einen hohen rechtlichen Stellenwert. Die Datenschutzgrundverordnung ist dafür die rechtliche Grundlage. Mit dieser sind eine Vielzahl an rechtliche Verpflichtungen verbunden. Das gilt gerade dann, wenn es zu einer Datenpanne kommt. Je nach Datenpanne muss es nämlich zu einer Meldung bei den Aufsichtsbehörden kommen. Doch wann ist das notwendig und was passiert, wenn die Meldung nicht oder zu spät erfolgt? Nachfolgend die Antworten basierend auf der Datenschutzgrundverordnung.
Datenpanne ist nicht gleich Datenpanne
Eine Datenpanne kann leicht passieren. Sei es der Verlust von einer CD oder einem USB-Stick mit Kundendaten, ein Hackerangriff oder selbst auch die versehentliche Versendung einer Mail an einen falschen Empfänger. Gerade hinsichtlich der Meldepflicht stellt sich da eine Frage: Muss diese schon den Aufsichtsbehörden für Datenschutz gemeldet werden? Grundsätzlich muss nicht jede Datenpanne gemeldet werden. Vielmehr kommt es hier auf den Schweregrad an. So macht es schon einen Unterschied, ob es einen oder mehrere Betroffene gibt. Wobei das nur ein Maßstab bei der Beurteilung ist.
Was eine meldepflichtige Datenpanne ist
Im Artikel 33 der Datenschutzgrundverordnung ist die Rede von einem hohen Risiko für Rechte und Freiheiten der Betroffenen. Neben der Anzahl der Betroffenen, wird man eine schwere Datenpanne auch bejahen können, wenn es sich um sensible Daten wie Bankdaten handelt. Ist einem das zu schwammig, kann man als Unternehmen auch auf Nummer sicher gehen und grundsätzlich jede Datenpanne melden.
Diese Frist muss bei Datenpanne beachtet werden
Liegt eine meldepflichtige Datenpanne vor, muss diese binnen 72 Stunden den Aufsichtsbehörden gemeldet werden. Die Frist wird dabei auch nicht von Wochenende oder Feiertagen unterbrochen. Die Meldung muss dabei schriftlich erfolgen und umfassende Informationen umfassen. Neben der Art der Datenpanne bis hin zu den Maßnahmen, muss diese umfassende Informationen beinhalten.
Dieses Bußgeld kann fällig werden bei Versäumnis
Die Meldung und deren Tragweite an die Aufsichtsbehörden darf man aus rechtlichen Gründen nicht unterschätzen. Wird diese vollständig versäumt oder erfolgt die Meldung verspätet, so kann dieses ein Bußgeld umfassen. Je nach Schweregrad von der Datenpanne und der Meldung, kann das Bußgeld bis zu 20 Millionen Euro umfassen. Alternativ von diesem maximalen Bußgeld, kann diese auch vier Prozent den Vorjahresumsatz umfassen. Rechtsgrundlage dafür ist der Artikel 83 Nummer 4 der Datenschutzgrundverordnung.
Auch Betroffene müssen beachtet werden
Bei der Meldung des Problems im Datenschutz muss man noch eines beachten und das ist der Kreis der Empfänger. So kann eine Meldung nur an die Aufsichtsbehörden nicht ausreichend sein. Vielmehr müssen nach Artikel 33 der Datenschutzgrundverordnung auch die Betroffenen informiert werden. Handelt es sich m eine größere Anzahl an Betroffenen, kann die Benachrichtigung mit einem zu hohen Aufwand verbunden sein. In einem solchen Fall muss die Information durch öffentliche Bekanntmachung erfolgen. Das kann per Pressemeldung, auf der eigenen Internetseite und auf andere Weise erfolgen.
Datenschutz ist komplex
Alleine die Tragweite der Meldung bei den Aufsichtsbehörden nach der Datenschutzgrundverordnung ist schon groß. Doch mit der Datenschutzgrundverordnung sind noch viele weitere Regelungen verbunden. Tipps für Unternehmer gibt es auch auf dem neuen Projekt Business-Nachrichten.de. Diese Tipps rund um den Datenschutz können den betrieblichen Alltag erleichtern und vor Strafen schützen.
