Unbenanntes Dokument

Benachrichtigung der Behörde




Intro: Was ist mit der Meldepflicht gegenüber der Behörde gemeint, welche Funktion hat die Meldung und was muss bei der Umsetzung beachtet werden?

To-Dos: Wie ist bei der Benachrichtigung der Behörde und damit zusammenhängender Pflichten konkret vorzugehen?

Statements: Was haben die Datenschutzaufsichtsbehörden zum Thema Meldung gegenüber der Behörde veröffentlicht?



Datenschutzverletzungen rechtskonform an die Behörde melden





Was ist mit der Meldepflicht gegenüber der Behörde gemeint, welche Funktion hat die Meldung und was muss bei der Umsetzung beachtet werden?

Eine Meldung gegenüber der Datenschutzaufsicht ist immer dann erforderlich, wenn es zu einer Datenschutzverletzung gekommen ist und ein Risiko für Personen entstanden ist, die von der Datenschutzverletzung betroffen sind. Eine solch risikobehaftete Datenschutzverletzung liegt immer dann vor, wenn es zu einer Verletzung der Datensicherheit gekommen ist (z.B. Hackerangriff) und hierdurch ein Risiko entstanden ist (z.B. weil der Hacker auf die freiliegenden Daten nachweislich zugegriffen hat).

In einem solchen Fall muss die für das Unternehmen zuständige Datenschutzaufsicht innerhalb von 72 Stunden benachrichtigt werden und die gesetzlich definierten Informationen bereitgestellt werden. Hierzu zählen:

  • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
  • Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Zusätzlich zur Meldepflicht muss der Verantwortliche jede Verletzung des Schutzes personenbezogener Daten dokumentieren (einschließlich Beschreibung, Auswirkungen der Verletzung und ergriffene Abhilfemaßnahmen).

Die Meldung einer Datenschutzverletzung muss von dem Verantwortlichen vorgenommen werden. Erfolgt die Datenschutzverletzung auf Seiten des Auftragsverarbeiters (z.B. ein Dienstleister), ist dieser verpflichtet, den Verantwortlichen zu informieren. Die Frist für eine solche Benachrichtigung des Auftragsverarbeiters wird in der Regel in einer Vereinbarung zur Auftragsverarbeitung festgelegt.

Die Einschaltung der Behörde ermöglicht eine unabhängige Behandlung der Datenschutzverletzung. Die Behörde kann dem Verantwortlichen Weisungen erteilen, wie die Verletzung zu behandeln ist. Die Behörde hat z.B. die Befugnis, den Verantwortlichen anzuweisen, die betroffenen Personen über die Verletzung zu informieren (auch wenn der Verantwortliche der Ansicht ist, dass die Verletzung kein hohes Risiko darstellt, das eine Benachrichtigung des Betroffenen gesetzlich erforderlich machen würde).



Wie ist bei der Benachrichtigung der Behörde und damit zusammenhängender Pflichten konkret vorzugehen?

1

Information der für die Meldung zuständigen Abteilung (in der Regel Datenschutz- oder Rechtsabteilung). Eine entsprechende interne Meldepflicht sollte in einer Data-Breach-Richtlinie im Unternehmen verankert werden.


2

Bei Meldepflicht: Ermittlung der gesetzlich definierten Melde-Informationen gemeinsam mit dem jeweils betroffenen Fachbereich.


3

Erstellung eines Benachrichtigungstextes, ggf. anhand eines online abrufbaren Formulars der zuständigen Datenschutzaufsicht.


4

Kontaktaufnahme mit der Behörde, ggf. Entgegennahme von Einschätzungen/ Anordnungen dieser Behörde.


5

Dokumentation der Datenschutzverletzung.


Prüfe den anwendbaren Gesetzestext.



Prüfe relevante Gerichtsurteile.



Was haben die Datenschutzaufsichtsbehörden zum Thema Meldung gegenüber der Behörde veröffentlicht?

Article-29-Working-Party: Guidelines on Personal data breach notification under Regulation 2016/679 (06.02.2018)


Guidelines 01/2021 on Examples regarding Personal Data Breach Notification (14.12.2021)


DSAB Hamburg: Umgang mit Data-Breach-Meldungen nach Art. 33 DSGVO (02.09.2023)



>> Finde heraus, welche anderen Datenschutzpflichten im Einzelfall ggf. zu beachten sind.



Unbenanntes Dokument

Jetzt professionellen Datenschutzbeauftragten bestellen!

Sie benötigen Unterstützung bei der Implementierung von Datenschutzanforderungen? über unsere Dienstleistungen.
Unbenanntes Dokument

Wir sind
vertraut mit Eingenarten kleiner und großer Unternehmen
erfahren in der Kommunikation mit Datenschutzbehörden
seit über 10 Jahren im Datenschutz aktiv.