Datenpannen – warum Unternehmen die Meldefrist unbedingt einhalten sollten
2023 kletterte die Zahl der gemäß Art. 33 DSGVO an die deutschen Datenschutzaufsichtsbehörden gemeldeten Datenpannen auf 24.749 – über 2.900 wurden allein in Baden-Württemberg bekanntgemacht. Vielen Unternehmen ist allerdings nicht bewusst, dass bereits eine verzögerte Meldung schmerzhafte Bußgelder nach sich ziehen kann. Anderen ist unklar, was konkret eine zu meldende Datenpanne ausmacht. Hier das Wichtigste dazu im Überblick.
Welche Bußgelder drohen?
Aus den Artikeln 33 sowie 34 DSGVO ergeben sich Pflichten zur Meldung von Datenpannen an die Aufsichtsbehörde bzw. die Benachrichtigung der betroffenen Personen. Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des Unternehmensumsatzes. In letzter Zeit bekanntgewordene Fälle von versäumten oder verspäteten Meldungen verschiedener europäischer Firmen zogen Zahlungsaufforderungen über 60.000 bis zu 450.000 Euro nach sich. Auch wenn die von booking.com, Twitter oder einem griechischen Geldinstitut geforderten Summen weit unter der Höchstmarke blieben, stellen sie doch eine unangenehme Belastung für jedes Unternehmen dar.
Wie lang ist die Meldefrist?
Gemäß Art. 33 Abs. 1 DSGVO muss der jeweils zuständigen Aufsichtsbehörde eine erkannte Datenpanne unverzüglich gemeldet werden – spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden. Diese Frist orientiert sich an internen Unternehmensstrukturen und Informationswegen zu der Stelle, die mit der Verarbeitung personenbezogener Daten befasst ist. Die 72-Stunden-Frist schließt Wochenenden und Feiertage ein. Die Uhr tickt also. Und auch, wenn in der EU-Kommission derzeit zusätzliche Verfahrensregeln diskutiert werden, die für eine gewisse Entschärfung sorgen sollen, so ist doch Eile geboten. Wenn außerdem aufgrund dieser Datenpanne Rechte und Freiheiten von Personen bedroht sind, müssen diese ebenfalls unverzüglich über das Problem informiert werden. Für den Fall, dass sich die zuständigen Mitarbeiter in der gebotenen Frist noch kein umfassendes Bild des Problems machen konnten, gestattet die DSGVO auch eine fristgerechte vorläufige Meldung.
Was genau gilt als Datenpanne?
Die Definition für eine sogenannte Datenpanne liefert Art. 4 Nr. 12 DSGVO. Dort wird sie mit einer „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“, konkretisiert. Wenn betriebliche Datenverarbeitung von Personen betrieben wird, an die keine Zugriffsrechte vergeben wurden, oder Kunden versehentlich E-Mails erhalten, die für andere bestimmt waren, handelt es sich bereits um meldepflichtige Datenpannen. Letzteres Beispiel zeigt, wie kleinteilig eine Verletzung des Datenschutzes ablaufen kann. Daher ist es in Unternehmen aller Größenordnungen geboten, Mitarbeiter in diesem kritischen Punkt zu schulen und für das Thema zu sensibilisieren. Denn auf sie wird es bei der Einhaltung von Fristen letztlich ankommen. Eine Datenpanne kann passieren – deren anschließende Meldung sollte aber im Sinne des Unternehmenserfolgs pannenfrei sein.
Abonnieren Sie unseren kostenlosen Datenschutz-Fachinformationsdienst und bleiben Sie stets aktuell informiert:
- Datenschutz-Fokusthemen
- Veröffentlichungen der Behörden
- Relevante Gerichtsentscheidungen
Als Dankeschön für Ihre Anmeldung erhalten Sie eine Gratis-Mustervorlage für die Umsetzung eines Löschkonzepts.