Ja - die Meldepflicht bei Datenschutzverletzungen ("Data Breach Notification") ist eine der wichtigsten operativen Pflichten der DSGVO.
Wann besteht die Meldepflicht? (Art. 33 Abs. 1 DSGVO)
Bei jeder Verletzung des Schutzes personenbezogener Daten, es sei denn, die Verletzung führt voraußichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Im Zweifelsfall sollte gemeldet werden.
Was ist eine Datenschutzverletzung?
Jede Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung/zum unbefugten Zugang zu personenbezogenen Daten führt (Art. 4 Nr. 12 DSGVO). Typische Fälle: Hackerangriffe, Ransomware, verlorene Laptops/USB-Sticks, Fehlversand von E-Mails mit personenbezogenen Daten, offene Datenbankzugänge.
Die 72-Stunden-Frist (Art. 33 Abs. 1 DSGVO):
Die Meldung muss unverzüglich, möglichst innerhalb von 72 Stunden nach Bekanntwerden erfolgen. Bei Verspätung muss eine Begründung beigefügt werden. Eine schrittweise Bereitstellung der Informationen ist zuläßig (Art. 33 Abs. 4 DSGVO).
Inhalt der Meldung (Art. 33 Abs. 3 DSGVO):
- Art der Verletzung mit ungefähren Zahlen (betroffene Personen und Datensätze)
- Name und Kontaktdaten des Datenschutzbeauftragten
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder vorgeschlagene Abhilfemassnahmen
Besonderheit Auftragsverarbeiter (Art. 33 Abs. 2 DSGVO):
Der Auftragsverarbeiter meldet eine Datenpanne nicht direkt an die Aufsichtsbehörde, sondern unverzüglich an den Verantwortlichen. Dieser entscheidet dann über die Meldung an die Behörde.
Dokumentationspflicht (Art. 33 Abs. 5 DSGVO):
ALLE Datenschutzverletzungen müßen dokumentiert werden - auch solche, die nicht meldepflichtig sind. Diese Dokumentation muss der Aufsichtsbehörde auf Verlangen vorgelegt werden können.