Die Verordnung sieht für den Fall der Verletzung des Schutzes personenbezogener Daten Melde- und Informationspflichten vor (Artikel 33 und 34). Die Aufsichtsbehörde ist unverzüglich - spätestens binnen 72 Stunden - zu informieren, wenn die Verletzung voraussichtlich zu einem Risiko für persönlichen Rechte und Freiheiten der betroffenen Personen führt. Besteht die Wahrscheinlichkeit eines "hohen" Risikos, so müssen auch die betroffenen Personen unverzüglich informiert werden. Im Einzelnen:

Meldung an die Aufsichtsbehörde, Artikel 33

Die Meldung von Datenschutzverletzungen hat zumindest folgende Informationen zu enthalten:

1. Beschreibung der Verletzungsart, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen Datensätze;
2. Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle;
3. Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung;
4. Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und gegebenenfalls Abmilderungsmaßnahmen möglicher Auswirkungen.

Können die Informationen nicht sofort bereitgestellt werden, so kann der Verantwortliche sie auch baldmöglichst schrittweise zur Verfügung stellen.

Benachrichtigung der betroffenen Person, Artikel 34

Sie muss in klarer und einfacher Sprache die Art der Datenschutzverletzung beschreiben und zumindest die oben als b, c und d beschriebenen Informationen und Maßnahmen enthalten.

Nicht erforderlich ist die Information des Betroffenen, wenn geeignete technische und organisatorische Maßnahmen vorhanden sind, die den Unbefugten einen Datenzugang praktisch nicht ermöglichen, wie z.B. Verschlüsselung. Weiter ist die Benachrichtigung des Betroffenen verzichtbar, wenn wirksame Maßnahmen zur Schadensbegrenzung ergriffen worden sind und dadurch das hohe Risiko, das zum Zeitpunkt der Datenpanne bestanden hatte, aller Wahrscheinlichkeit nach nicht mehr besteht. Schließlich kann eine nur mit unverhältnismäßigem Aufwand mögliche Benachrichtigung unterbleiben, wenn etwa durch öffentliche Bekanntmachung vergleichbar wirksam informiert werden kann.

Tipp:

Um diesen Informationspflichten ausreichend gerecht werden zu können und um eine möglichst zuverlässige Reaktion auf Datenschutzverstöße sicherzustellen, sind organisatorische Maßnahmen im Unternehmen zu treffen. Jedem Mitarbeiter muss bekannt sein, an wen Datenschutzverstöße im Unternehmen zu melden sind. Entsprechend sind die Auftragsverarbeiter zu einer Durchmeldung zu verpflichten, die eine rechtzeitige Informationdurch das Unternehmen ermöglicht.

Zur Vertiefung: DDV-Best Practice Guide Europäische Datenschutz-Grundverordnung, 3. überarbeitete Auflage Juli 2019