Maßgebliche Rechtsgrundlagen:
- Art. 33 DSGVO
- § 83a SGB X i.V.m. § 35 SGB I für Sozialdaten
- § 2a II, V AO (firmenbezogene Steuerdaten)
Besteht ein konkretes Risiko für Betroffene, wird der Landesbeauftragte für den Datenschutz unverzüglich, spätestens
aber innerhalb von 72 Stunden informiert. Bei einem voraussichtlich hohen Risiko werden die von der Datenschutzverletzung betroffenen Personen unverzüglich darüber informiert.
Entbehrlichkeit der Meldung lediglich, wenn Datenschutzvorfall voraussichtlich nicht zu einem Risiko führt.
Meldezeitraum
Unverzüglich, binnen 3 Tagen,
auch schrittweise, kein Abwarten, bis alle melderelevanten Details zusammengetragen sind.
Kenntnis der Behördenleitung vom Datenschutzverstoß entscheidend
Inhalt der Meldung
Die Meldung enthält mindestens folgende Informationen:
(1) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen
Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
(2) den
Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
(3) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
(4) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur
Abmilderung ihrer möglichen nachteiligen Auswirkungen.
s.a. https://www.bfdi.bund.de/DE/Service/Datenschutzverstoesse/datenschutzverstoesse_node.html
Organisation der Meldepflicht
Festlegung des Meldewegs
Ø Festlegung, dass die Meldung
nur durch den Behördenleiter erfolgt
Ø Sicherstellung der
Unverzüglichkeit
Ø Sicherstellung der
Vertraulichkeit der Meldungen
Ø Sicherstellung der Beteiligung
des DSB
Ø Verfahren zur Bewertung der
Meldepflicht
Vordruck für die Meldung
Dokumentation:
Ø Darstellung der
Begleitumstände (Aufdeckung, Aufklärungsmaßnahmen, Zeit des Erlangens der Kenntnis auf der Sachbearbeiterebene, Information der Behördenleitung)
Ø Beschreibung der bestehenden
TOM
Ø Vorkehrungen zur künftigen
Vermeidung gleichgelagerter Ursachen
Ø Gründe für die Bewertung, dass
keine Meldepflicht besteht.
Kernproblem der praktischen Realisierung:
„Selbstbezichtigung“ des Beschäftigten mit möglichen
arbeits-/dienstrechtlichen Konsequenzenzen
Weitere Informationen:
https://www.datenschutz-notizen.de/der-hamburgische-beauftragte-fuer-datenschutz-und-informationsfreiheit-veroeffentlicht-leitfaden-fuer-data-breach-meldungen-0521593/
Darüber hinaus können Datenschutzverletzungen folgende Rechtsfolgen nach sich
ziehen:
1. Art. 82 DSGVO: Haftung und Recht auf Schadenersatz
(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder
immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
2. Art. 83 DSGVO: Verhängung von Geldbußen
(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem
Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
3. § 42 BDSG 2018: Strafvorschriften
(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer
wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein,
- einem Dritten übermittelt oder
- auf andere Art und Weise zugänglich macht
und hierbei gewerbsmäßig handelt.
(2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer
personenbezogene Daten, die nicht allgemein zugänglich sind,
- ohne hierzu berechtigt zu sein, verarbeitet oder
- durch unrichtige Angaben erschleicht
und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen
anderen zu bereichern oder einen anderen zu schädigen.
