Meldung von Datenpannen an Aufsichtsbehörden
Wenn es zu einer Datenpanne kommt und personenbezogene Daten im Spiel sind, muss das der zuständigen Datenschutzaufsichtsbehörde gemeldet werden. Es spielt keine Rolle, was der Grund dafür ist. Oft kommt es zu einem Softwarefehler oder die Hardware funktioniert nicht richtig, bzw. fällt aus. Manchmal wird so ein Problem auch durch den Fehler oder das Versehen eines Sachbearbeiters verursacht, im schlimmsten Fall geht es tatsächlich um einen gezielten Cyber Angriff aus dem Netz. In jedem Fall ist das Unternehmen immer dafür verantwortlich, diese Verletzung des Schutzes der personenbezogenen Daten zu melden. Nun stellt sich für viele Unternehmen aber die Frage, auf welche Art und Weise das erfolgen sollte.
Die Datenschutzaufsichtsbehörde
Die Datenschutzaufsichtsbehörde stellt beispielsweise ein online Formular zur Verfügung, um die Datenpanne zu melden. Die Datenpanne nur dann nicht gemeldet werden, wenn es kein Risiko für Freiheiten oder Rechte von natürlichen Personen gibt.
Wenn das Unternehmen allerdings zu dem Schluss kommt, dass es um eine Meldepflicht geht, muss die Situation unverzüglich gemeldet werden. Seitens der DSGVO wird verlangt, sämtliche Verletzungen in Bezug auf den Datenschutz unverzüglich zu melden. Immer wieder gibt es Schlagzeilen, wie zum Beispiel von sensiblen Daten, die durch eine Datenpanne einer Bank in die Öffentlichkeit geraten. Nie zuvor kam es derartig häufig zu Meldungen, wie heute.
Die Meldung der Aufsichtsbehörde beinhaltet unter anderem folgende Punkte:
- Die Beschreibung von Art und Weise des persönlichen Schutzes auf die personenbezogenen Daten
- jeweilige Kategorie der Datenbank
- wie viele Personen sind betroffen?
- Jeweilige Kategorie der betroffenen Personen
- wie viele Datensätze ungefähr betroffen sind
- Kontaktdaten und Name des Datenschutzbeauftragten
- konkrete Erläuterung der ergriffenen oder vorgeschlagenen Massnahmen, um diese Verletzung zu beheben und für den Schutz der personenbezogenen Daten zu sorgen
Die Frist einhalten
Grundsätzlich muss eine Datenpanne innerhalb von 72 Stunden gemeldet werden. Wird diese Frist überschritten, drohen entsprechende Konsequenzen. Nur in begründeten Fällen wird davon abgesehen. Die Begründung ist einer solchen Meldung einer Datenpanne beizufügen. Es gibt auch eine so genannte Benachrichtigungspflicht in Bezug auf die betroffene Person, die unbedingt eingehalten werden muss.
Wird diese Meldepflicht bei einer Datenschutzverletzung nicht erfüllt oder dagegen verstossen, sind Bussgelder in einer Höhe von bis zu 10 Millionen Euro fällig bzw. muss das Unternehmen einen Teil des weltweit gesamt erzielten Jahresumsatzes des vorigen Geschäftsjahres abgeben.