Unsere Datenschutzberater diskutieren über die DSGVO: Meldepflicht von Datenschutzverletzungen

Die DSGVO steht im Mittelpunkt der Arbeit unseres Teams. Das bedeutet, dass wir täglich mit den Regulierungen der DSGVO arbeiten, ihre Texte analysieren, die dort festgelegten Verpflichtungen verstehen und vor allem, diese in praktische Lösungen für unsere Kunden umsetzen. Welche Artikel liegen unseren Beratern besonders am Herzen? Wie helfen wir unseren Kunden bei der Umsetzung der DSGVO? In dieser Blog-Serie spricht unser Team über jeweils einen Artikel. Heute diskutieren wir über die Pflicht, Datenschutzverletzungen an die Datenschutzbehörde zu melden.

Erwin

Unternehmen müssen personenbezogene Daten angemessen und ordnungsgemäß schützen. Das bedeutet, dass Sie als Unternehmen sorgfältig über das Risiko der Verarbeitungstätigkeit nachdenken und Sicherheitsmaßnahmen auf dieser Grundlage anwenden müssen. Wenn diese Sicherheitsmaßnahmen verletzt werden, kann es zu einer Datenschutzverletzung kommen. Die Verpflichtung zur Meldung von Datenlecks an die Datenschutzbehörde ist für Deutschland nicht neu; diese Verpflichtung bestand bereits - allerdings in eingeschränkter Form - durch § 42a Bundesdatenschutzgesetz (BDSG-alt). Mit dem Inkrafttreten der DSGVO gilt diese Meldepflicht nach Artikel 33 für alle EU-Länder. Erwin schreibt dazu folgendes:

Im Jahr 2017 wurden 10.000 Datenlecks an die niederländische Datenschutzbehörde gemeldet (Niederländisch). Das ist eine Steigerung von mehr als 70% gegenüber 2016. Ist die Zahl der Datenschutzverletzungen wirklich so stark gestiegen? Das ist schwer zu sagen. Es ist aber eher wahrscheinlich, dass Unternehmen eine Datenschutzverletzung mittlerweile früher melden. Die tatsächliche Anzahl der Datenlecks wurde für 2016 auf 24.000 geschätzt (Niederländisch). Dies wirft die Frage auf, wie sich das Meldeverhalten von Organisationen weiterentwickeln wird. Und wie können wir Statistiken über Berichte interpretieren? Ich habe viele offene Fragen hierzu und werde ich diese Entwicklung in den kommenden Jahren mit Sicherheit verfolgen. Zumal seit Mai alle EU-Länder der Meldepflicht unterliegen.

Anouk

Neben der Verpflichtung, der Datenschutzbehörde in bestimmten Fällen einen Datenschutzverletzung zu melden, gibt es einen weiteren Artikel aus der DSGVO, der in dieser Hinsicht wichtig ist. Gemäß Artikel 34 DSGVO muss das Unternehmen die betroffenen Personen, deren Daten weitergegeben wurden, informieren und sie über die Maßnahmen informieren, die sie ergreifen können. Anouk sagt über diese Verpflichtung:

Der Schutz der betroffenen Personen ist das Ziel der DSGVO. Daher verlangt Artikel 34, dass Unternehmen die betroffene Person informieren, wenn ein Verstoß gegen die Datenschutzbestimmungen ein hohes Risiko für sie darstellt. Aber kann ein Unternehmen die Folgen für den Einzelnen richtig einschätzen? Manchmal nicht, da bin ich mir sicher. Deshalb halte ich es für wichtig, dass dabei auch die Sorgfaltspflicht und die Kundenorientierung eine Rolle spielen. Um einen wirklichen Schutz für die betroffene Person zu erreichen.

Sind Sie gespannt, welche anderen Aspekte der DSGVO unsere Kollegen diskutieren werden? Im nächsten Blogpost werden Iris und Frank über die Folgenabschätzung zum Datenschutz, die Verhaltenskodizes und die Zertifizierung sprechen!

Author image
Jill Baehring
Referentin für Datenschutz & Recht auf Privatsphäre bei Privacy Company