Und wenn es mal richtig brennt?

Im Datenschutz kann es immer zu unvorhergesehenen Situationen kommen, in denen fachkundiger Rat wichtig ist:

  • Sie haben einen meldepflichtigen Datenschutzvorfall.
  • Sie wurden gehackt und müssen damit rechnen, dass Daten vernichtet oder sogar entwendet wurden.
  • Sie wurden wegen einer Beschwerde von einer Datenschutzaufsichtsbehörde angeschrieben und um Auskunft gebeten.
  • Eine Aufsichtsbehörde hat sich zu einer verdachtsunabhängigen Kontrolle angekündigt.
  • Sie wurden wegen einer Datenschutzverletzung verklagt.
  • Sie haben einen Arbeitsrechtsstreit, in dem der gegnerische Anwalt den Datenschutz-Joker zieht.
  • Sie wollen einen großen Kunden gewinnen und der verlangt plötzlich Datenschutzdinge, von denen Sie noch nie gehört haben.
 

In all diesen Fällen stehe ich Ihnen als zertifizierter Datenschutzbeauftragter (TÜV) zur Seite und helfe Ihnen, die Situationen bestmöglich zu meistern.

Ziel unserer Zusammenarbeit ist es, dass Sie vor solchen Ereignissen keine Sorge mehr haben müssen. Es ist hier wie überall im Leben, Prävention ist preiswerter und weniger aufregend als gefährliche Brände löschen zu müssen. Schauen Sie sich deshalb auch gerne die Option an, mich als Ihr eDSB zu benennen.

Nach einem meldepflichtigen Datenschutzvorfall bleiben Ihnen nur 72 Stunden für die Meldung bei der Datenschutzaufsichtsbehörde. Dabei zählen auch Wochenende und Feiertage mit. 

Was ist ein meldepflichtigster Datenschutzvorfall?

Die DSGVO schreibt in Artikel 33 vor, dass bestimmte Datenschutzvorfälle innerhalb von 72 Stunden ab Kenntnis an die zuständige Aufsichtsbehörde gemeldet werden müssen. 

Was ist ein Datenschutzvorfall?

Zunächst ist jeder Umstand, bei dem es zu einer Verletzung der Pflichten der DSGVO kommt, ein Datenschutzvorfall. Die Pflichtverletzungen können ganz unterschiedlicher Natur sein und oft haben sie keine direkte Auswirkung auf Betroffene, z.B. wenn bestimmte Verträge nicht geschlossen wurden. Ein Datenschutzvorfall wird dann meldepflichtig, wenn sich durch ihn ein Risiko für die Rechte und Freiheiten der betroffenen Personen ergeben kann. Dies ist z.B. der Fall, wenn Daten von einem Hacker entwendet und z.B. im Internet veröffentlicht wurden. Aber auch das versehentliche Löschen von Daten oder eine fehlerhaft versendete E-Mail können schon erhebliche Auswirkungen haben und sind im Zweifel meldepflichtig.

Meldefrist beachten

Ab Kenntnis des Vorfalls beginnt die Frist von 72 Stunden zu laufen. Anders als Tages-Fristen werden sie wirklich stundengenau gezählt, wobei Samstage und Sonntage oder Feiertage keine Rolle bei der Fristbemessung spielen. Ein Vorfall am Freitagabend um 19:00 Uhr muss also entsprechend bis Montagabend 19:00 Uhr bei der Behörde gemeldet werden. Dabei handelt es sich um den spätesten Zeitpunkt, denn das Gesetz sieht eine unverzügliche Meldung vor. 

Ab wenn gilt der Vorfall als bekannt?

Der Vorfall ist nicht erst dann bekannt, wenn keinerlei Zweifel mehr bestehen, dass es sich um einen meldepflichtigen Vorfall handelt. Der Gesetzgeber hat die Stundenfrist mit dem Blick auf die Geschwindigkeit der Meldung gewählt. Insofern läuft die Frist bereits dann, wenn es hinreichende Verdachtsmomente gibt, dass ein Datenschutzvorfall vorliegt, der für Betroffene ein Risiko bedeuten könnte. Man sollte also lieber früher als später melden. Auch Teilmeldungen sind möglich, wenn für eine vollständige Meldung noch weitere Sachverhalte zu ermitteln sind.

Sinn einer Meldung ist aus Sicht der Aufsichtsbehörde, dieser möglichst frühzeitig die Möglichkeit der Intervention zu geben und die weitere Vorgehensweise abzustimmen.