Datenschutzverletzungen müssen, je nachdem wie schwer sie sind, unter Umständen der Behörde und den betroffenen Personen gemeldet werden. Die Meldung muss schnell erfolgen.

Datenschutzverletzungen können sehr unterschiedliche Formen annehmen. Zu den häufigsten Verstößen gehören jedoch der unbeabsichtigte Verlust oder die unbefugte Offenlegung gegenüber Dritten. Liegt eine Meldepflicht vor, muss diese innerhalb von 72 Stunden erfolgen. Jede Verzögerung dieser Frist muss begründet werden.

Aufsichtsbehörden müssen bei Datenschutzverletzungen grundsätzlich immer informiert werden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die betroffenen Personen. Geht zum Beispiel ein Laptop verloren, auf dem Kunden- oder Mitarbeiterdaten vorhanden sind, diese jedoch allesamt verschlüsselt wurden, kann von einer Meldung oft abgesehen werden. Dazu muss der Fall jedoch genau geprüft und dokumentiert werden, um das Risiko einschätzen zu können.

Die Benachrichtigung der Personen, die von der Verletzung betroffen sind, muss immer dann erfolgen, wenn von der Verletzung ein hohes Risiko für die Personen ausgeht. Damit sind sowohl materielle Risiken als auch immaterielle Risiken (z.B. Reputationsverlust) gemeint. Ausnahmen von der Meldepflicht bestehen nur dann, wenn ausreichende Sicherheitsvorkehrungen ergriffen wurden, die das Risiko für eine Person minimieren oder die Meldung unzumutbar wäre (z.B. weil tausende Kunden betroffen sind). In solchen Fällen kann die Meldung auch durch eine öffentliche Bekanntmachung auf der Homepage o.ä. erfolgen.

••• Sie benötigen noch mehr Informationen und/oder haben einige unbeantwortete Fragen? Das Datenschutzfabrik-Team hilft Ihnen gerne weiter! Melden Sie sich ganz einfach bei uns!