Bekannt gewordene Bußgelder aufgrund zu spät gemeldeter Datenpannen nehmen weiter zu. Die Aufsichtsbehörden schöpfen diesbezüglich selbst bei kleinen und mittelständischen Unternehmen zunehmend den Bußgeldrahmen des Art. 83 Abs. 4 lit. a DSGVO aus, um Bußgelder bis zu 10.000.000 € oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs zu verhängen.

Beispiele zu Bußgeldern wegen u.a. verspäteter Meldung

Wann ist eine Meldung verspätet gemeldet?

Art. 33 Abs. 1 DSGVO folgend, hat der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten diese unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, gegenüber der zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Verantwortliche sind daher mit Bekanntwerden des Vorfalls angehalten, umgehend und unverzüglich Maßnahmen einzuleiten, um festzustellen, ob es sich um einen meldepflichtigen Verstoß im Sinne des Art. 33 Abs. 1 DSGVO handelt. Hierzu zählt insbesondere eine Risikobewertung des Vorfalls, insbesondere im Hinblick für die Rechte und Freiheiten natürlicher Personen.

Fristbeginn für die Meldung ist, sobald der Verantwortliche aufgrund der zugrundeliegenden Tatsachen mit hinreichender Wahrscheinlichkeit davon ausgehen muss, dass eine meldepflichtige Datenpanne vorliegt. Die Wissens- und Kenntniszurechnung des Vorfalls bemisst sich an den allgemeinen Grundsätzen der Wissenszurechnung in Organisationseinheiten.

Verantwortlichen ist folglich die Kenntnisnahme einer meldepflichtigen Datenpanne ab dem Zeitpunkt zuzurechnen ist, ab dem von einer Person der internen Organisation, welche für die Verarbeitung personenbezogener Daten verantwortlich ist oder von dem dies aufgrund seiner Stellung im Unternehmen erwartet werden kann, hiervon Kenntnis erlangt zu haben. Derjenige, der sich Dritter bedient, um seine eigenen Angelegenheiten zu erledigen, darf daraus zudem keine Vorteile im Verhältnis zu der Situation erlangen, in der er alle Pflichten selbst wahrnimmt.

Etablieren und standardisieren Sie Prozesse zum Umgang mit Datenschutzvorfällen

Prozesse und gelebte Standards in einer funktionierenden Datenschutzorganisation sind daher essenziell, um in dieser kurzen Reaktionsphase nicht nur schnellst- und bestmöglich reagieren zu können, sondern auch die hierfür benötige Dokumentation bereitstellen zu können.

Art. 33 Abs. 5 DSGVO folgend sind die Verantwortlichen verpflichtet, alle Datenschutzverletzungen zu dokumentieren, und zwar unabhängig davon, ob der Aufsichtsbehörde eine Verletzung gemeldet werden muss oder nicht. Insofern findet hierrüber eine Konkretisierung der in Art. 5 Abs. 2 und 24 DSGVO bestimmten Rechenschaftspflicht statt.

Wir unterstützen Sie bei der Etablierung und Optimierung ihrer Prozesse. Nutzen Sie unsere persönliche Beratung oder Vorlagen und Checklisten für eine effiziente und professionelle Dokumentation und Risikobeurteilung nach Art. 33 und 34 DSGVO.