Ab Mai 2018 mit Inkrafttreten der EU Datenschutz Grundverordnung (EU-DSGVO) müssen alle Datenpannen, die im Unternehmen passieren, dokumentiert werden (Art. 33 Abs. 5 EU-DSGVO).

Kann nicht ausgeschlossen werden, dass ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, müssen solche Datenpannen zudem innerhalb von 72 Stunden aktiv an die zuständige Datenschutzaufsichtbehörde gemeldet werden. Die Betroffenen müssen nur dann informiert werden, wenn durch die Datenpanne ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.

Beispiele für Datenpannen können sein:

  • Fehlversendungen per Post oder E-Mail
  • Verlust von Aktenordnern
  • Verlust von Datenträgern

sofern personenbezogene Daten enthalten oder gespeichert sind.

Heute sind Datenpannen nur dann meldepflichtig, wenn bestimmte, im § 42a BDSG aufgeführte, Arten von Daten betroffen sind und schwerwiegende Beeinträchtigungen für die Betroffenen drohen. Vergleichbar mit dem oben genannten hohen Risiko für die Rechte und Freiheiten der Betroffenen. Viele Datenpannen unterliegen heute deswegen keiner Meldepflicht.

Da irgendein denkbares Risiko für die Rechte und Freiheiten der Betroffenen wohl fast immer vorliegen dürfte, werden ab Mai 2018 die aktiven Meldung an die Aufsichtsbehörde viel häufiger erfolgen müssen.

Damit Sie bei einer Datenpanne richtig reagieren können, sollten Sie in Ihrem Unternehmen unbedingt Ihre Mitarbeiter entsprechend informieren und einen Meldeprozess definieren. Außerdem besteht ab Mai 2018 auf Grund der EU Datenschutz Grundverordnung (EU-DSGVO) eine Dokumentationspflicht für Datenpannen bei der Sie zusammen mit Ihrem Datenschutzbeauftragten eine Bewertung durchführen müssen. Ist ein Risiko für die Betroffenen nicht auszuschließen, muss die Datenpanne aktiv an die für Ihr Unternehmen zuständige Datenschutzaufsichtsbehörde innerhalb von 72 Stunden gemeldet werden.

Die Inhalte einer solchen Meldung müssen gem. Art. 33 Abs. 2 EU-DSGVO Folgendes umfassen:

  • Sachverhaltsschilderung der Datenpanne mit Angabe der Kategorien und der Zahl der Betroffenen sowie der betroffenen Datensätze
  • Name und Kontaktdaten Ihres Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Nachfragen
    eine Beschreibung der wahrscheinlichen Folgen der Datenpanne
  • eine Beschreibung der von Ihnen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der durch die Datenpanne möglichen nachteiligen Auswirkungen
  • Besteht voraussichtlich ein hohes Risiko für die Betroffenen, müssen auch die Betroffenen in klarer und einfacher Sprache über die Datenpanne informiert werden.

Sollten Sie die Pflichten zur Dokumentation und ggf. Meldung einer Datenpanne nicht beachten, so kann ein solcher Verstoß mit einem Bußgeld von bis zu 10.000.000,- EUR oder 2% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem welche Zahl höher ist) führen.

Gehen Sie beim Datenschutz auf Nummer sicher! Konzentrieren Sie Ihre Ressourcen auf Ihr Kerngeschäft und überlassen Sie es spezialisierten Experten, Ihnen im Datenschutz den Rücken freizuhalten. Mit den Datenschutz-Experten.NRW an Bord können Sie Datenschutzfragen Ihrer Vertragspartner und Prüfungen durch Aufsichtsbehörden gelassen entgegensehen.