Die Meldepflicht bei Datenschutzverletzungen (Art. 33 DSGVO) ist eine der zentralen Pflichten der DSGVO. Ihre Verletzung kann schwerwiegende Konsequenzen haben.
Die Meldepflicht im Überblick:
- Jede Verletzung des Schutzes personenbezogener Daten muss unverzüglich, möglichst innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde gemeldet werden (Art. 33 Abs. 1 DSGVO).
- Ausnahme: Die Verletzung führt voraußichtlich nicht zu einem Risiko für die Betroffenen.
- Alle Datenschutzverletzungen - auch nicht meldepflichtige - müßen dokumentiert werden (Art. 33 Abs. 5 DSGVO).
- Auftragsverarbeiter müßen den Verantwortlichen unverzüglich über Datenpannen informieren (Art. 33 Abs. 2 DSGVO).
Konsequenzen bei Nichtmeldung:
Bußgeld nach Art. 83 Abs. 4 lit. a DSGVO: Verstöße gegen die Meldepflicht fallen unter Stufe 1 - bis zu 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes. In der Praxis verhängen Aufsichtsbehörden regelmäßig Bußgelder für verspätete oder unterlassene Meldungen.
Erschwerend bei späterem Bekanntwerden: Wenn die Aufsichtsbehörde auf anderem Wege von der Datenpanne erfährt (z.B. durch Betroffene, Medien oder eigene Ermittlungen), wird die unterlassene Meldung als erschwerender Umstand gewertet. Die fehlende Kooperationsbereitschaft erhöht das Bußgeld (Art. 83 Abs. 2 lit. f DSGVO).
Schadensersatzansprüche: Betroffene können Schadensersatz nach Art. 82 DSGVO geltend machen. Wurden sie nicht rechtzeitig informiert und konnten daher keine Schutzmassnahmen ergreifen (z.B. Passwörter ändern), erhöht sich der Schaden.
Vertrauensverlust: Datenpannen, die erst nachträglich bekannt werden, verursachen oft größeren Reputationsschaden als zeitnah und transparent kommunizierte Vorfälle.
Selbstbelastungsschutz (Paragraph 42 Abs. 4, Paragraph 43 Abs. 4 BDSG):
Um die Meldebereitschaft nicht zu unterlaufen, dürfen Meldungen nach Art. 33 und Benachrichtigungen nach Art. 34 DSGVO im Straf- und Ordnungswidrigkeitenverfahren gegen den Meldepflichtigen nur mit dessen Zustimmung verwendet werden.