Umsetzung der DSGVO: Warum die Einhaltung der Meldefristen unbedingt ratsam ist
Allein im vergangenen Jahr wurden den Aufsichtsbehörden der Länder knapp 25.000 Pannen im Zusammenhang mit Daten gemeldet, davon allein 2.900 in Baden-Württemberg. Vielen Unternehmen ist allerdings nicht bewusst, dass bereits eine verzögerte Meldung schmerzhafte Bußgelder nach sich ziehen kann. Anderen ist unklar, was konkret eine zu meldende Datenpanne ausmacht. Hier die Fakten dazu aus der DSGVO in einer kompakten Zusammenstellung.
Wann sind Bußgelder fällig?
Teuer kann es werden, wenn Meldepflichtige gegen Artikel 33 beziehungsweise 34 der DSGVO verstoßen. Hierin ist geregelt, an wen gemeldet werden muss und ob betroffene Personen zu informieren sind. Bei Verstößen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des Unternehmensumsatzes. In letzter Zeit bekanntgewordene Fälle von versäumten oder verspäteten Meldungen verschiedener europäischer Firmen zogen Zahlungsaufforderungen über 60.000 bis zu 450.000 Euro nach sich. Wenngleich die Bußgeldbescheide gegen beispielsweise booking.com, Twitter und einem griechischen Geldinstitut nicht die maximal möglichen Beträge beinhalteten, so wirken sie sich dennoch negativ auf die finanzielle Unternehmensbilanz aus.
Welche Fristen gelten für die Meldung?
Maximal 72 Stunden hat ein Unternehmen Zeit, eine Panne, bei der Daten abhandengekommen sind, an die zuständige Aufsichtsbehörde zu melden. So steht es in Artikel 33 der DSGVO. Diese Frist orientiert sich an internen Unternehmensstrukturen und Informationswegen zu der Stelle, die mit der Verarbeitung personenbezogener Daten befasst ist. Die 72-Stunden-Frist schließt Wochenenden und Feiertage ein. Die Uhr tickt also. Und auch, wenn in der EU-Kommission derzeit zusätzliche Verfahrensregeln diskutiert werden, die für eine gewisse Entschärfung sorgen sollen, so ist doch Eile geboten. Wenn außerdem aufgrund dieser Datenpanne Rechte und Freiheiten von Personen bedroht sind, müssen diese ebenfalls unverzüglich über das Problem informiert werden. Eine fristgerechte „vorläufige“ Meldung geht in Ordnung, wenn das Unternehmen nachweisen kann, dass das Problem noch nicht in vollem Umfang dokumentiert werden konnte.
Wie ist eine Datenpanne definiert?
Das wird in Art. 4 Nr. 12 der DSGVO erläutert. Dort wird sie mit einer „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“, konkretisiert. Wenn betriebliche Datenverarbeitung von Personen betrieben wird, an die keine Zugriffsrechte vergeben wurden, oder Kunden versehentlich E-Mails erhalten, die für andere bestimmt waren, handelt es sich bereits um meldepflichtige Datenpannen. Letzteres Beispiel zeigt, wie kleinteilig eine Verletzung des Datenschutzes ablaufen kann.
Daher ist es in Unternehmen aller Größenordnungen geboten, Mitarbeiter in diesem kritischen Punkt zu schulen und für das Thema zu sensibilisieren. Diese werden nämlich in aller Regel dafür verantwortlich sein, die gesetzlich definierten Fristen einzuhalten. Denn auf sie wird es bei der Einhaltung von Fristen letztlich ankommen. Auch wenn Datenpannen selbst kaum zu 100 Prozent vermeidbar zu sein scheinen, dann kann aber wenigstens durch entsprechende Vorkehrungen sichergestellt werden, dass die Fristen eingehalten und Datenpannen rechtzeitig gemeldet werden.
Hier bloggt Ihre Redaktion.