Gibt es eine Informationspflicht bei Datenschutzverstößen?

Veröffentlicht am 7 September 2017 | von Dr. Fabian Niemann

0

Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, ob es eine Informationspflicht bei Datenschutzverstößen wie etwa einem Hackerangriff oder Datenverlust gibt.

Nach dem geltenden deutschen Recht gibt es unter bestimmten Umständen eine Informationspflicht gegenüber Datenschutzbehörden und/oder den betroffenen Datensubjekten. Dies ist aber beschränkt auf besondere Daten (insbesondere sensitive Daten) und gilt nur für den Fall der unrechtmäßigen Kenntniserlangung durch Dritte. Nach der Datenschutzgrundverordnung
wird die Informationspflicht erheblich ausgeweitet. Zum einen beschränkt sich die Informationspflicht nicht auf die unrechtmäßige Kenntniserlangung durch Dritte, sondern gilt für jegliche Verletzung des Schutzes personenbezogener Daten. Anders als nach derzeitiger Rechtslage werden diese Informationspflichten des Weiteren nicht auf Fälle beschränkt, in denen besonders sensible Daten von dem Vorfall betroffen sind. Nach dem Wortlaut der Datenschutzgrundverordnung (Art. 33 f.) greifen somit bei jeder Verletzung des Schutzes personenbezogener Daten die abgestuften Dokumentations-, Melde-, und Informationspflichten. Die Pflichten variieren je nach den Risiken, die der Vorfall für die betroffenen Personen hat: Alle Datenschutzverletzungen sind intern zu dokumentieren. Datenschutzverletzungen sind an die Aufsichtsbehörden zu melden, außer wenn der Vorfall voraussichtlich nicht zu einem Risiko für die Betroffenen führt. Die Meldung soll binnen 72 Stunden erfolgen und eine Beschreibung des Vorfalls, der wahrscheinlichen Folgen, der vorgeschlagenen oder ergriffenen Abhilfemaßnahmen und Kontaktinformation für
Rückfragen enthalten. Ist zu befürchten, dass eine Datenschutzverletzung ein hohes Risiko für die Betroffenen auslöst, so sind diese zu benachrichtigen. Die Benachrichtigung der Betroffenen soll die vorstehend genannten Informationen enthalten. Sofern eine individuelle Benachrichtigung aller Betroffenen unverhältnismäßig aufwendig ist, kann sie durch eine öffentliche Bekanntmachung ersetzt werden. Insbesondere die Dokumentationspflichten und die Meldung an Aufsichtsbehörden von allen Datenschutzverletzungen bzw. solchen, die „voraussichtlich nicht zu einem Risiko für die Betroffenen führen“, können zu erheblichen Aufwänden führen und in der Praxis kaum praktikabel sein. Entscheidend wird sein, welche Maßstäbe Aufsichtsbehörden in der Zukunft tatsächlich an die Beurteilung eines „Risikos für die Betroffenen“ stellen und ob es de minimis Verstöße gibt, die nicht zu dokumentieren sind. Unternehmen müssen aber in diesem Bereich in jedem Fall in Zukunft sehr viel mehr als in der Vergangenheit tun, auch vor dem Hintergrund der hohen Strafen, die bei Verstößen drohen (siehe dazu Frage 33). Dazu gehört es, unternehmensinterne Verhaltensprozesse für den Fall einer wesentlichen Datenschutzverletzung einzuführen, insbesondere eines Datendiebstahls oder Hackings.

Checkliste zur Datenschutzgrundverordnung zum kostenlosen Download

Dieser Beitrag ist ein Auszug aus der „Checkliste: 37 Fragen zu Datenschutzgrundverordnung“ von artegic und Bird&Bird. Die vollständige Checkliste finden Sie zum kostenlosen Download unter https://www.artegic.de/checkliste-datenschutzgrundverordnung

Checkliste: 37 Fragen zur Europäischen Datenschutzgrundverordnung

Checkliste: 37 Fragen zur Europäischen Datenschutzgrundverordnung

Übersicht

Artikel Name
Gibt es eine Informationspflicht bei Datenschutzverstößen?
Beschreibung
Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, ob es eine Informationspflicht bei Datenverlusten, einem Hackerangriff oder gar Datenverstößen im allgemeinen gibt.
Autor
artegic AG


Autor:


Die artegic AG unterstützt Unternehmen beim Aufbau von kundenzentriertem, digitalen, Best-In-Class Dialogmarketing. artegic hat über 10 Jahre Erfahrung im Bereich Marketing Engineering. Das Leistungsportfolio umfasst Beratung, IT-Integration und Technologie für Realtime Marketing Automation und Online CRM. artegic ist der führende deutsche Spezialanbieter von Standardsoftware für Realtime Marketing Automation mit E-Mail und Mobile sowie Betreiber einer der größten Software-as-a-Service Plattformen für digitales Marketing in Europa. Mit 65 Mitarbeitern an den deutschen Standorten Bonn und München sowie internationalen Repräsentanzen steht artegic für nachhaltig erfolgreiches Dialogmarketing mit signifikant besseren Ergebnissen und weniger operativem Aufwand. Kern der Lösungen von artegic ist die vielfach prämierte ELAINE Online Dialog CRM Suite für beeindruckendes digitales Cross-Channel Dialogmarketing in Echtzeit. 2015 wurde die Lösung von der Fachpresse zur besten europäischen Marketing Suite für kundenzentriertes Marketing gekürt. Über artegic Technologie stehen rund 82 Prozent der Deutschen Internetnutzer mit Unternehmen in Kontakt. Jeder dritte DAX Konzern sowie internationale Key-Player wie BMW, PAYBACK, RTL, BURDA, REWE, Web.de, und maxdome zählen zu den Kunden von artegic. Weltweit werden jeden Monat über artegic Technologie rund 2,7 Mrd. E-Mails, SMS und Social Media Messages in 141 Länder versandt. artegic ist vom TÜV Rheinland unternehmensweit nach dem internationalen Standard für IT- und Datensicherheit ISO/IEC 27001 zertifiziert. Das 2005 gegründete Fraunhofer Spin-Off wurde vielfach ausgezeichnet für Innovation und die richtungweisende Umsetzung datenschutzrechtlicher Anforderungen u.a. mit dem eco Internet Award, dem Cased Security Award und dem International Business Award (Stevie).

Tags: ,



Nach Oben ↑